Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato il 3 dicembre 2025 le Raccomandazioni 2/2025: imporre l’account per gli acquisti online può essere illegittimo. La scure si abbatte anche sui big player come Amazon: facilitare acquisti futuri non è una scusa valida.
Con l’adozione delle Raccomandazioni 2/2025, l’European Data Protection Board (EDPB) traccia una linea netta sulla legittimità degli account utente obbligatori. Il documento non si limita ai piccoli e-commerce proprietari, ma cita esplicitamente nel suo raggio d’azione anche “le piattaforme di e-commerce che agiscono come intermediari, come i marketplace online”. È un messaggio diretto ai giganti del web: la pratica di subordinare un acquisto alla creazione di un profilo permanente viola, nella maggior parte dei casi, il GDPR.
Il Fallimento delle Basi Giuridiche (anche per i Marketplace)
Il documento analizza le giustificazioni usate dai merchant, smontando le tesi su cui si fondano imperi come quello di Amazon o eBay.
1. “Facilitare gli acquisti futuri” non basta (Art. 6(1)(f) GDPR) Il modello “One-Click” si basa sulla memorizzazione dei dati per ordini successivi. L’EDPB afferma che l’interesse del merchant a facilitare transazioni future non prevale sui diritti dell’utente. Non si può presumere che un cliente voglia tornare: imporre un account oggi per un ipotetico acquisto domani è sproporzionato. L’utente deve poter scegliere di non lasciare traccia permanente.
2. Prevenzione Frodi e Sicurezza (Art. 6(1)(f) GDPR) Molti marketplace impongono la registrazione per “sicurezza”. L’EDPB contesta questa visione: l’obbligo di account non è strettamente necessario per rilevare le frodi. Anzi, la creazione forzata di account aumenta i rischi, creando database di profili “dormienti” vulnerabili agli attacchi informatici. I controlli antifrode possono essere svolti efficacemente anche su transazioni “ospite”.
3. Esecuzione del Contratto (Art. 6(1)(b) GDPR) Per una vendita una tantum (one-time sale), l’account non è necessario. I dati di spedizione e fatturazione possono essere raccolti “al volo”. L’obbligo di registrazione è lecito solo se “strettamente necessario” all’esecuzione del contratto, come nel caso di servizi in abbonamento ricorrenti.
Il Caso Amazon: Prime vs Acquisto Standard
L’analisi dell’EDPB apre uno scenario complesso per le piattaforme miste. Se l’utente sottoscrive un servizio come Amazon Prime, la creazione dell’account è lecita perché funzionale a un contratto di durata. Tuttavia, se un utente intende acquistare un semplice prodotto senza sottoscrivere abbonamenti, l’EDPB suggerisce che debba essere garantita l’opzione Guest Checkout (acquisto come ospite). Il fatto che la piattaforma preferisca avere utenti registrati per profilarli o fidelizzarli non è una base legale valida per obbligarli.
La Soluzione: “Guest Checkout” e Privacy by Design
L’EDPB indica nel Guest Checkout la soluzione che meglio rispetta i principi di minimizzazione dei dati. Questa modalità permette di raccogliere solo i dati indispensabili per la singola transazione, senza credenziali permanenti. Offrire una scelta chiara tra “Acquisto Ospite” e “Creazione Account” (facoltativa) è l’unico approccio conforme all’Art. 25 GDPR (Data protection by design).
La direttiva è chiara: a meno che non si venda un abbonamento o l’accesso a una community esclusiva con criteri di selezione, il “muro” della registrazione obbligatoria deve cadere. (Anche se ti chiami Amazon).
