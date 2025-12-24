Il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato le raccomandazioni sulle basi giuridiche per la creazione di account utente sui siti di e-commerce. Il documento interviene sulla prassi di richiedere agli utenti la creazione di un account per finalizzare un acquisto, che spesso non è giustificabile alla luce dell’articolo 6(1)(b) del GDPR.

L’EDPB sottolinea che la creazione di un account non è sempre necessaria per l’esecuzione di un contratto e che, in molti casi, è motivata da strategie di marketing o di fidelizzazione. La registrazione obbligatoria comporta una raccolta e conservazione di dati più ampia rispetto a quella richiesta per un acquisto singolo, con conseguente aumento dell’esposizione ai rischi di sicurezza.

Le raccomandazioni dell’EDPB mirano a chiarire i limiti della “necessità” ai sensi del GDPR e a distinguere ciò che è realmente indispensabile per fornire un bene o un servizio da ciò che rappresenta un’opzione aggiuntiva. Il flusso di acquisto come ospite dovrebbe essere la scelta predefinita, coerente con i principi di “data protection by design and by default”.

L’EDPB osserva che la registrazione obbligatoria è spesso motivata da strategie di marketing, come la profilazione o l’estensione nel tempo della relazione commerciale con l’utente. Tuttavia, la mera utilità commerciale o l’opportunità di offrire servizi accessori non coincidono con la necessità giuridica richiesta dal regolamento.

Le raccomandazioni dell’EDPB rappresentano una risposta a un uso ampio e spesso improprio dell’articolo 6(1)(b) del GDPR. L’EDPB chiarisce che la registrazione obbligatoria non è giustificabile sulla base dell’articolo 6(1)(b) e che le imprese devono dimostrare in modo trasparente perché un account sarebbe necessario e quali dati aggiuntivi verrebbero trattati.

La pubblicazione del documento avviene in una fase in cui l’Unione europea sta rafforzando il quadro della digital identity, attraverso iniziative come l’European Digital Identity Wallet. Le raccomandazioni dell’EDPB dialogano implicitamente con questa evoluzione, minimizzando i trattamenti dei dati e preparando un terreno più coerente con l’identità digitale europea di domani.

Le indicazioni dell’EDPB costringono gli operatori dell’e-commerce a ripensare l’architettura dei propri servizi, riducendo la frizione e aumentando le conversioni. Il guest checkout deve essere inteso come il modello più vicino ai principi del GDPR. La transazione occasionale deve essere un atto circoscritto nel tempo e nei dati trattati, senza che la persona sia costretta a creare e mantenere un profilo che non utilizzerà.

Le raccomandazioni dell’EDPB potrebbero inaugurare una stagione dell’e-commerce europeo più sobria nel trattamento dei dati, più coerente con le aspettative dei consumatori e più capace di competere grazie alla qualità dell’esperienza offerta. La creazione dell’account deve rappresentare una scelta consapevole e win-win per utenti e aziende, senza che queste ultime ricorrano alla logica dell’accumulo indiscriminato di informazioni personali, con i rischi connessi anche a livello di sicurezza.