Lo scorso anno, lo European Data Protection Board (EDPB) è intervenuto su una prassi da tempo consolidata nel mondo dell’e-commerce: la creazione obbligatoria di un account come condizione per l’acquisto online. Adottando una lettura particolarmente restrittiva del principio di necessità, il Comitato impone di fatto il guest check-out come standard di riferimento per tutti gli operatori di un settore strategico che plasma l’economia globale da più di trent’anni.
Analizziamo di seguito la posizione dell’autorità, collocandola nel più ampio contesto delle recenti spinte politiche verso la semplificazione della regolazione digitale europea e mettendone in luce le tensioni con un enforcement del GDPR sempre più formalistico. Il testo interroga la direzione della strategia europea in materia di dati, innovazione e tutela dei diritti, oltre alle ricadute operative per e-commerce, imprese digitali e utenti.
Indice degli argomenti
Il quadro di riferimento tra semplificazione e ruolo delle autorità di controllo
Negli ultimi mesi il dibattito sulla semplificazione e razionalizzazione del modello europeo di regolamentazione dei dati e del mondo digitale ha assunto toni nuovi e più urgenti. Le prime avvisaglie si sono manifestate nel celebre “Rapporto Draghi” sul rilancio della competitività dell’Unione Europea del settembre 2024, trovando poi voce e formale riconoscimento nel pacchetto di riforme noto come “Digital Omnibus”, proposto dalla Commissione il 19 novembre 2025.
Questa importante spinta politica verso la deregulation ha tratto ulteriore vigore anche in considerazione di una dinamica di segno opposto sviluppatasi sul piano applicativo. Le autorità di controllo – e, sempre più spesso, anche gli organi giurisdizionali – hanno progressivamente adottato interpretazioni particolarmente rigorose e formalistiche del Regolamento (UE) 2016/679 (GDPR), ampliando la portata dei principi previsti e restringendo gli spazi di flessibilità per gli operatori.
In diversi casi, si è arrivati ad arresti che, pur formalmente coerenti con il dettato normativo, rischiano di tradursi in una burocratizzazione dei trattamenti e risultano difficilmente conciliabili con esigenze e limiti più pratico-operativi. Con effetti che vengono avvertiti come peggiorativi non solo dagli operatori, ma anche dagli stessi soggetti che la normativa intende tutelare.
In questa traiettoria si collocano le recentissime Raccomandazioni 2/2025 dell’European Data Protection Board (EDPB), dedicate all’individuazione della corretta base giuridica per la creazione di account sulle piattaforme di e-commerce. Un documento che, pur nascendo con ambizioni interpretative, finisce per assumere un valore che va ben oltre la linea guida, con la pretesa di identificare lo standard di riferimento per l’intero mondo dell’e-commerce.
E-commerce e account utenti: la posizione dell’EDPB e le implicazioni per il mercato
Le Raccomandazioni 2/2025, pubblicate il 3 dicembre scorso, nascono con un obiettivo dichiarato e circoscritto: chiarire se e in quali casi la creazione di un account utente possa essere legittimamente imposta come condizione per accedere a servizi di e-commerce. L’intento è fornire un quadro interpretativo comune volto a evitare applicazioni divergenti del regolamento e a ricondurre tali prassi entro limiti ritenuti compatibili con l’impianto del GDPR.
Il Comitato muove dalla constatazione che il “mandatory login” – ossia la prassi di richiedere agli utenti di creare un account per procedere con gli acquisti – sia divenuto negli ultimi decenni uno standard di mercato ampiamente diffuso. Una prassi che, secondo le Autorità di controllo, espone tuttavia gli interessati a rischi specifici sotto il profilo della protezione dei dati personali, riconducibili principalmente a tre fattori: lo scostamento rispetto al principio di minimizzazione, l’aumento della superficie di vulnerabilità rispetto ad attacchi esterni e l’esposizione a forme di tracciamento e profilazione.
Definito il perimetro di intervento, l’EDPB procede con un’analisi sistematica, passando in rassegna i casi d’uso più frequenti e analizzando le principali basi giuridiche selezionate dagli operatori per fondare il trattamento connesso alla creazione degli account: esecuzione del contratto, adempimento di obblighi legali e legittimo interesse.
Secondo il Comitato, funzionalità come il tracciamento dell’ordine, la gestione dei resi, l’assistenza post-vendita o la prevenzione delle frodi, sebbene di per sé perfettamente lecite, non richiedono necessariamente la creazione di un account persistente da parte dell’utente. Questi obiettivi, infatti, possono essere garantiti attraverso strumenti meno “invasivi”, quali link temporanei o comunicazioni puntuali via e-mail.
Solo in ipotesi residuali – come l’erogazione di servizi in abbonamento o l’accesso a comunità effettivamente chiuse – la creazione di un account persistente può ritenersi parte integrante della prestazione e, dunque, conforme al principio di necessità di cui agli artt. 5 e 6 del GDPR.
Il messaggio che emerge dalle Raccomandazioni è inequivoco: la creazione obbligatoria di un account rappresenta, nella quasi totalità dei casi, un trattamento non necessario e, dunque, illecito. La scelta di creare un account deve essere libera, separata dal processo di acquisto e giustificata da benefici ulteriori, non imposta come condizione di accesso al servizio.
E il riflesso pratico di questa impostazione è altrettanto evidente: il guest check-out non è più una semplice opzione liberamente valutabile dagli operatori nell’ambito delle scelte di business, ma diventa di fatto lo standard di riferimento per l’e-commerce a livello europeo.
Questa impostazione comporta un impatto significativo sui modelli di business digitali. Per anni, l’account ha rappresentato il fulcro dell’e-commerce, nonché una prassi spesso apprezzata dagli stessi consumatori: strumento di identificazione delle community, leva di marketing, base per la personalizzazione dei contenuti e delle offerte.
Le Raccomandazioni dell’EDPB ridimensionano radicalmente questa centralità, imponendo una progettazione di user experience e customer journey orientata alla minimizzazione strutturale dei dati, nella quale i principi di necessità, data protection by default e by design vengono declinati in modo particolarmente rigoroso. Fino a comprimere in misura significativa il margine di discrezionalità originariamente riconosciuto ai titolari dal principio di responsabilizzazione.
Iper-rigidità applicativa: un fenomeno strutturale
Le Raccomandazioni in commento non rappresentano un episodio isolato, ma si inseriscono in una tendenza interpretativa più ampia che, sin dal 2018, ha visto l’adozione di letture sempre più rigorose e formalistiche del GDPR, sia a livello amministrativo sia giurisdizionale.
Emblematiche, in tal senso, sono due recenti pronunce della Corte di Giustizia dell’Unione Europea. In primo luogo, la sentenza relativa alla causa C-394/23, del 9 gennaio 2025, con la quale è stata ritenuta non conforme al GDPR la richiesta, in fase di acquisto di un biglietto ferroviario, di indicare il titolo “Monsieur” o “Madame”.
Tale prassi era stata ritenuta originariamente accettabile dall’Autorità di controllo francese, con decisione emessa nel marzo del 2021, in quanto funzionale alla personalizzazione delle comunicazioni con la clientela e giustificabile sulla base giuridica dell’esecuzione del contratto di trasporto. La Corte ha invece escluso che tale trattamento potesse ritenersi necessario, affermando che anche il trattamento di informazioni apparentemente neutre o raccolte per mera prassi amministrativa deve essere sorretto da una rigorosa giustificazione funzionale, pena la violazione dei principi di minimizzazione e necessità.
Altro esempio particolarmente significativo è rappresentato dalla sentenza Lindenapotheke del 4 ottobre 2024, causa C-21/23, con cui la CGUE ha stabilito che i dati dei clienti raccolti in connessione all’ordine di un medicinale tramite una piattaforma online – quali il nome, l’indirizzo di consegna e gli elementi necessari all’individualizzazione dei medicinali – devono considerarsi a tutti gli effetti “dati relativi alla salute” ai sensi dell’art. 9 GDPR, anche qualora la vendita di tali medicinali non sia soggetta a prescrizione medica.
Secondo la Corte, infatti, le informazioni concernenti i prodotti acquistati sono idonee a rivelare, anche indirettamente, lo stato di salute o le condizioni mediche dell’interessato, estendendo in modo significativo l’ambito applicativo della nozione di dato sanitario e, con esso, il regime di tutela rafforzata previsto dalla normativa.
Accanto alla giurisprudenza europea, un’analoga impostazione emerge anche sul piano amministrativo, a livello locale. In tale contesto si colloca il documento di indirizzo del Garante per la protezione dei dati personali in materia di trattamento dei metadati delle e-mail in ambito lavorativo.
Pur muovendo dall’esigenza, legittima e condivisibile, di prevenire forme indirette di controllo a distanza dei lavoratori, il provvedimento individua limiti temporali particolarmente stringenti – e arbitrari – per la conservazione dei log. Questo solleva interrogativi rilevanti in ordine al bilanciamento con esigenze parallele di sicurezza informatica, continuità operativa e gestione degli incidenti: ambiti, questi, al centro di ulteriori corpi normativi, anch’essi di matrice europea, che presuppongono al contrario la disponibilità di dati tecnici per periodi più estesi.
Considerati nel loro insieme, questi interventi mostrano come l’iper-rigidità applicativa non sia il risultato di singole decisioni contingenti, ma l’espressione di un orientamento strutturale. In questa cornice, la ricerca di una conformità formale sempre più spinta finisce per incidere in modo significativo sulle prassi operative e sulla progettazione dei servizi digitali, ben oltre i casi di evidente abuso o trattamento eccedente.
I rischi di un cortocircuito tra enforcement e politica legislativa
La traiettoria delineata nel paragrafo precedente appare difficilmente conciliabile con le più recenti iniziative di politica legislativa europea in materia di digitale, che muovono dal presupposto che la frammentazione regolatoria e l’eccesso di oneri di compliance si siano tradotti in un freno strutturale all’innovazione. Con una conseguente erosione della capacità del mercato europeo di innovare e competere su scala globale, soprattutto nel confronto con potenze quali Stati Uniti e Cina.
In questo quadro, il Digital Omnibus si propone esplicitamente di recuperare proporzionalità e coerenza sistemica, intervenendo su temi che negli ultimi anni hanno generato incertezza interpretativa e un significativo aggravio organizzativo per gli operatori.
Le proposte di chiarimento sulla nozione di dato personale, sull’utilizzo del legittimo interesse per lo sviluppo dei sistemi di intelligenza artificiale, sulla gestione delle richieste di accesso abusive, sulla disciplina dei cookie e degli strumenti di tracciamento, sugli obblighi informativi e sulla disciplina delle notifiche di data breach – seppur incomplete e spesso sin troppo conservative – riflettono una logica di riequilibrio tra tutela dei diritti fondamentali e sostenibilità operativa.
Ed è proprio in questo frangente che emergono la debolezza e l’incoerenza dell’attuale quadro normativo europeo. Mentre il legislatore tenta di introdurre elementi di semplificazione e prevedibilità, l’enforcement del GDPR continua a svilupparsi lungo una direttrice marcatamente formalistica, nella quale gli interpreti finiscono per comprimere sistematicamente gli spazi di discrezionalità riconosciuti agli operatori. Al punto da relegare il principio di accountability – una delle innovazioni più significative del regolamento – a un mero orpello legislativo.
Questo disallineamento strutturale comporta molteplici rischi. Sul piano sistemico, la cornice normativa europea in materia di dati e digitale viene sempre più percepita come un vincolo rigido e imprevedibile, capace di incidere anche su pratiche commerciali consolidate e su trattamenti caratterizzati da un livello di rischio contenuto, se non minimo. Non come uno strumento di governance equilibrata.
Sul piano operativo, invece, assistiamo a un incremento dei costi di compliance e a una crescente incertezza normativa, con conseguente difficoltà per le imprese di progettare servizi digitali che siano al tempo stesso innovativi e conformi.
Tale dinamica risulta ulteriormente accentuata dal fatto che questo irrigidimento applicativo si sviluppa spesso attraverso interventi di istituzioni che, pur svolgendo un ruolo centrale nel garantire un’applicazione coerente del GDPR, non dispongono di reali poteri legislativi né giurisdizionali. Ne deriva un quadro nel quale indicazioni che dovrebbero essere prive di valore vincolante finiscono per produrre effetti sostanzialmente regolatori, aggravando l’incertezza in cui gli operatori sono chiamati a operare.
Conclusioni
Le Raccomandazioni 2/2025 dell’EDPB rappresentano un sintomo, ormai difficilmente ignorabile, di una fase di transizione critica della regolamentazione europea dei dati e dei modelli di business digitali. Non perché introducano obblighi radicalmente nuovi, ma perché cristallizzano una lettura del GDPR nella quale ciò che per anni è stato considerato uno standard di mercato diventa, improvvisamente, un fattore di rischio regolatorio.
In questo contesto, gli operatori non possono permettersi di trattare queste indicazioni come un mero esercizio interpretativo. L’indicazione secondo cui la creazione obbligatoria di un account costituisce, nella quasi totalità dei casi, un trattamento non necessario impone una revisione dei processi di acquisto, delle interfacce utente e delle basi giuridiche attualmente utilizzate.
Il mantenimento di flussi “account-centrici” non più giustificabili espone le imprese a contestazioni difficilmente difendibili, proprio perché il parametro interpretativo è ormai stato chiaramente fissato da una delle massime autorità europee in materia.
Le imprese saranno ora chiamate a intervenire su elementi molto concreti:
- sottoporre a revisione i propri processi di acquisto e creazione degli account;
- ripensare le funzionalità post-vendita affinché siano accessibili anche senza un profilo persistente;
- rivedere informative e meccanismi di raccolta del consenso per tutte quelle finalità che, venendo meno l’account obbligatorio, non potranno più essere ricondotte all’esecuzione del contratto;
- riesaminare i tempi di conservazione e le logiche di utilizzo dei dati raccolti tramite gli account esistenti.
Chi saprà attivarsi in maniera mirata e strutturale avrà l’occasione di sfruttare questa situazione in ottica strategica, mantenendo il controllo sui propri processi e continuando a sfruttare i dati come asset competitivo. Rimandare, al contrario, significa esporsi a un adeguamento reattivo, inevitabilmente più oneroso, con margini di manovra sempre più ridotti e un impatto crescente sui modelli di business, aprendo la strada a rischi sanzionatori e reputazionali sempre meno teorici.
