Febbraio 2026 – Acquisti online: il sito non può obbligare a registrarsi (salvo eccezioni)

Nel commercio elettronico, la creazione di un account è spesso presentata come passaggio inevitabile per concludere un acquisto. Ma è davvero così? Secondo le Raccomandazioni n. 2/2025 dell’European Data Protection Board (EDPB), l’obbligo generalizzato di registrazione non è, di regola, conforme ai principi del GDPR.

Imporre l’apertura di un account, soprattutto in caso di acquisti occasionali, comporta infatti un trattamento di dati più ampio del necessario: accumulo di informazioni, conservazione prolungata, tracciamento sistematico e possibili attività di profilazione. Un impatto che può risultare sproporzionato rispetto alla semplice finalità di vendita.

L’EDPB chiarisce che, per le vendite singole, i dati indispensabili alla gestione dell’ordine possono essere raccolti anche tramite modalità di acquisto come ospite (guest checkout). L’account può trovare giustificazione solo in casi specifici, ad esempio nei servizi in abbonamento o nelle comunità chiuse, purché l’iscrizione rappresenti un elemento essenziale del contratto.

Nemmeno esigenze organizzative, di prevenzione delle frodi o di assistenza post-vendita legittimano automaticamente l’obbligo di registrazione, se gli stessi obiettivi possono essere raggiunti con strumenti meno invasivi. Quanto all’obbligo legale, esso può giustificare l’account solo quando una norma lo imponga espressamente, ipotesi tutt’altro che frequente.

In coerenza con i principi di privacy by design e by default, le piattaforme dovrebbero quindi prevedere, come regola, la possibilità di acquistare senza registrazione. L’account resta uno strumento utile, ma non può trasformarsi in un’imposizione.

Il punto di equilibrio indicato dall’EDPB è chiaro: la tutela dei dati personali deve essere incorporata nella progettazione dei servizi digitali, così da garantire un corretto bilanciamento tra libertà economica dell’operatore e diritti fondamentali del consumatore.