Oggigiorno, comprare su internet è frequentissimo. Ma come si contempera il diritto alla tutela dei dati personali con le attività commerciali dei siti web? Vero è che non poche piattaforme di e-commerce impongono agli utenti la creazione di un account per accedere alle offerte di servizi, o per completare l'acquisto di un prodotto. Sono i casi in cui la registrazione diventa una condizione obbligatoria, per qualsiasi interazione.
Spesso giustificate con esigenze di profitto o organizzative, secondo l'European Data Protection Board (EDPB), quelle in oggetto costituiscono pratiche commerciali non neutre, dal punto di vista della protezione delle informazioni private del cliente e consumatore. Anzi, è uno scenario che potenzialmente può comportare rischi significativi per i diritti e le libertà individuali, rendendo necessaria una valutazione rigorosa alla luce del Regolamento generale sulla protezione dei dati (GDPR).
Tali pericoli non si esauriscono nella mera possibilità di sottrazione o violazione dei dati personali, ma comprendono anche l'accumulo non necessario di dati, la loro conservazione per periodi prolungati e difficilmente giustificabili, il tracciamento sistematico delle attività dell'utente e l'eventuale riutilizzo dei dati per finalità ulteriori, come la profilazione commerciale. L'obbligo di registrazione, soprattutto nei casi di acquisti occasionali, finisce così per comprimere la libertà dell'utente e amplificare l'impatto di ogni trattamento, spesso oltre quanto strettamente necessario. Senza dimenticare, inoltre, il ricorso a interfacce o design ingannevoli per indurre l'utente a fornire più informazioni del dovuto.
È ben chiaro, allora, che favorire lo sviluppo di ambienti interamente logged-in, in cui l'utente è sistematicamente identificato per compiere qualsiasi azione - dal semplice accesso ai contenuti all'eventuale acquisto - amplifica i rischi connessi al trattamento dei dati personali.
Ebbene, in questo delicato quadro, le recenti raccomandazioni fornite dall'EDPB si rivolgono proprio alle piattaforme di commercio elettronico, comprese quelle che operano come intermediari tra commercianti professionali e consumatori. Restano, invece, esclusi dall'ambito di applicazione altri servizi online, come i social network, i motori di ricerca, le applicazioni software online, i servizi audiovisivi e i siti di informazione, così come le piattaforme che mettono in contatto privati per la vendita di beni o servizi.
I sopra accennati elementi di rischio rendono l'account obbligatorio una scelta che, per l'EDPB, dovrebbe essere limitata ai soli casi in cui risulti realmente indispensabile all'utente consumatore. In breve, la creazione di un account e-commerce non dovrebbe qualificarsi come un'imposizione, nell'interesse di profilazione della piattaforma, ma come un semplice strumento. È un principio fondamentale rimarcato nelle Raccomandazioni n. 2/2025 dell'EDPB, adottate nel dicembre scorso. In quanto strumento, deve o dovrebbe essere sempre sorretto da una base giuridica valida, ai sensi dell'art. 6 del GDPR sulla liceità del trattamento dei dati personali.
Il Board analizza così tre possibili basi giuridiche, che potrebbero essere invocate per giustificare l'obbligo di registrazione. Anzitutto con riferimento all'esecuzione del contratto (art. 6, par. 1, lett. b, GDPR), la posizione dell'EDPB è netta:
Spesso giustificate con esigenze di profitto o organizzative, secondo l'European Data Protection Board (EDPB), quelle in oggetto costituiscono pratiche commerciali non neutre, dal punto di vista della protezione delle informazioni private del cliente e consumatore. Anzi, è uno scenario che potenzialmente può comportare rischi significativi per i diritti e le libertà individuali, rendendo necessaria una valutazione rigorosa alla luce del Regolamento generale sulla protezione dei dati (GDPR).
Tali pericoli non si esauriscono nella mera possibilità di sottrazione o violazione dei dati personali, ma comprendono anche l'accumulo non necessario di dati, la loro conservazione per periodi prolungati e difficilmente giustificabili, il tracciamento sistematico delle attività dell'utente e l'eventuale riutilizzo dei dati per finalità ulteriori, come la profilazione commerciale. L'obbligo di registrazione, soprattutto nei casi di acquisti occasionali, finisce così per comprimere la libertà dell'utente e amplificare l'impatto di ogni trattamento, spesso oltre quanto strettamente necessario. Senza dimenticare, inoltre, il ricorso a interfacce o design ingannevoli per indurre l'utente a fornire più informazioni del dovuto.
È ben chiaro, allora, che favorire lo sviluppo di ambienti interamente logged-in, in cui l'utente è sistematicamente identificato per compiere qualsiasi azione - dal semplice accesso ai contenuti all'eventuale acquisto - amplifica i rischi connessi al trattamento dei dati personali.
Ebbene, in questo delicato quadro, le recenti raccomandazioni fornite dall'EDPB si rivolgono proprio alle piattaforme di commercio elettronico, comprese quelle che operano come intermediari tra commercianti professionali e consumatori. Restano, invece, esclusi dall'ambito di applicazione altri servizi online, come i social network, i motori di ricerca, le applicazioni software online, i servizi audiovisivi e i siti di informazione, così come le piattaforme che mettono in contatto privati per la vendita di beni o servizi.
I sopra accennati elementi di rischio rendono l'account obbligatorio una scelta che, per l'EDPB, dovrebbe essere limitata ai soli casi in cui risulti realmente indispensabile all'utente consumatore. In breve, la creazione di un account e-commerce non dovrebbe qualificarsi come un'imposizione, nell'interesse di profilazione della piattaforma, ma come un semplice strumento. È un principio fondamentale rimarcato nelle Raccomandazioni n. 2/2025 dell'EDPB, adottate nel dicembre scorso. In quanto strumento, deve o dovrebbe essere sempre sorretto da una base giuridica valida, ai sensi dell'art. 6 del GDPR sulla liceità del trattamento dei dati personali.
Il Board analizza così tre possibili basi giuridiche, che potrebbero essere invocate per giustificare l'obbligo di registrazione. Anzitutto con riferimento all'esecuzione del contratto (art. 6, par. 1, lett. b, GDPR), la posizione dell'EDPB è netta:
- per una vendita occasionale, non è mai necessario imporre la creazione di un account;
- infatti, i dati indispensabili per gestire l'ordine (ad es. nome, indirizzo di spedizione e informazioni di pagamento) possono essere raccolti legittimamente anche attraverso una modalità di acquisto come ospite (guest checkout).
Distinto è però il caso dei servizi in abbonamento, o delle offerte riservate a comunità chiuse e selezionate. In queste ipotesi, spiega l'EDPB:
- l'account può essere giustificato, soltanto se l'appartenenza alla comunità rappresenta un elemento essenziale del contratto;
- non è invece sufficiente, ai fini del GDPR, offrire semplici sconti o vantaggi accessibili a chiunque decida di registrarsi.
Un'altra base giuridica potrebbe essere l'obbligo legale. In proposito, il Board chiarisce che il titolare del trattamento può imporre la creazione di un account, soltanto se una norma UE o del diritto nazionale lo richiede espressamente. Tuttavia, nella maggior parte dei casi, le normative applicabili impongono meramente la raccolta di dati per finalità fiscali, contabili o di tracciabilità. Si tratta di obiettivi raggiungibili anche senza registrazione.
Una possibile terza base giuridica, su cui si è pronunciato l'EDPB, è il legittimo interesse. Quest'ultimo è, a sua volta, limitato dal cosiddetto principio di minimizzazione dei dati, di cui al GDPR. In particolare, per il Board, esigenze come la gestione pratica degli ordini, la prevenzione delle truffe o il servizio di assistenza post-acquisto non richiedono per forza la creazione di un profilo. Ci sono, infatti, alternative meno invasive che consentono di raggiungere gli stessi obiettivi, nel rispetto del suddetto principio di minimizzazione.
L'EDPB rimarca così che un e-commerce operante in conformità al GDPR deve sempre offrire all'utenza un'alternativa alla registrazione, permettendo al potenziale cliente di effettuare acquisti, in qualità di semplice ospite. In sostanza, il guest checkout non è solo tecnicamente praticabile, ma rappresenta anche la soluzione più coerente con il principio di protezione dei dati by design e by default, sancito dall'art. 25 del GDPR. In altre parole, i sistemi devono essere progettati fin dall'origine per raccogliere solo i dati necessari e per garantire, come impostazione predefinita, il massimo livello di tutela della privacy dell'utente.
Concludendo, la tutela della riservatezza non può essere rimessa a scelte successive dell'utente, ma deve essere incorporata fin dalla progettazione delle piattaforme digitali. L'assenza di un account obbligatorio diventa così la regola, e non l'eccezione, quando non strettamente necessaria. In questo modo, si realizza un corretto bilanciamento tra libertà economica dell'operatore e diritti fondamentali del consumatore, evitando trattamenti sproporzionati o eccedenti rispetto alle finalità perseguite.
Una possibile terza base giuridica, su cui si è pronunciato l'EDPB, è il legittimo interesse. Quest'ultimo è, a sua volta, limitato dal cosiddetto principio di minimizzazione dei dati, di cui al GDPR. In particolare, per il Board, esigenze come la gestione pratica degli ordini, la prevenzione delle truffe o il servizio di assistenza post-acquisto non richiedono per forza la creazione di un profilo. Ci sono, infatti, alternative meno invasive che consentono di raggiungere gli stessi obiettivi, nel rispetto del suddetto principio di minimizzazione.
L'EDPB rimarca così che un e-commerce operante in conformità al GDPR deve sempre offrire all'utenza un'alternativa alla registrazione, permettendo al potenziale cliente di effettuare acquisti, in qualità di semplice ospite. In sostanza, il guest checkout non è solo tecnicamente praticabile, ma rappresenta anche la soluzione più coerente con il principio di protezione dei dati by design e by default, sancito dall'art. 25 del GDPR. In altre parole, i sistemi devono essere progettati fin dall'origine per raccogliere solo i dati necessari e per garantire, come impostazione predefinita, il massimo livello di tutela della privacy dell'utente.
Concludendo, la tutela della riservatezza non può essere rimessa a scelte successive dell'utente, ma deve essere incorporata fin dalla progettazione delle piattaforme digitali. L'assenza di un account obbligatorio diventa così la regola, e non l'eccezione, quando non strettamente necessaria. In questo modo, si realizza un corretto bilanciamento tra libertà economica dell'operatore e diritti fondamentali del consumatore, evitando trattamenti sproporzionati o eccedenti rispetto alle finalità perseguite.