Comprare online è diventato un gesto quotidiano. Proprio per questo, però, cresce anche un problema molto concreto: fino a che punto una piattaforma di e-commerce può pretendere i dati personali del consumatore?
Sempre più siti impongono la creazione di un account come condizione necessaria per accedere alle offerte, completare un acquisto o usufruire di un servizio. Una prassi spesso presentata come “normale”, ma che dal punto di vista della protezione dei dati personali non è affatto neutra. Al contrario, secondo le più recenti indicazioni dell’European Data Protection Board (EDPB), l’obbligo di registrazione deve essere valutato con estremo rigore alla luce del GDPR.
Perché l’account obbligatorio può essere un problema
Quando un utente è costretto a registrarsi per effettuare anche un acquisto occasionale, il trattamento dei suoi dati personali tende ad ampliarsi ben oltre quanto realmente necessario. Non si tratta solo del rischio di violazioni o accessi abusivi ai dati, ma anche di altri profili critici: raccolta eccessiva di informazioni, conservazione prolungata, tracciamento sistematico dei comportamenti di acquisto, profilazione commerciale e possibile riutilizzo dei dati per finalità ulteriori rispetto alla semplice esecuzione dell’ordine.
In altre parole, l’utente finisce per essere identificato stabilmente anche quando non ce n’è un’effettiva necessità. E questo contrasta con uno dei principi cardine del GDPR: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento.
La posizione dell’EDPB: l’account non deve essere la regola
Le raccomandazioni richiamate nel testo prendono posizione proprio su questo punto: nelle piattaforme di commercio elettronico, la creazione di un account non dovrebbe essere imposta come regola generale, ma ammessa solo quando sia realmente indispensabile per il servizio richiesto dal consumatore.
Il principio è chiaro: l’account deve essere uno strumento, non un’imposizione funzionale agli interessi commerciali della piattaforma. Per essere lecito, un simile obbligo deve poggiare su una valida base giuridica ai sensi dell’art. 6 GDPR.
Le basi giuridiche non giustificano quasi mai la registrazione forzata
L’EDPB esamina le principali basi giuridiche che potrebbero essere invocate per legittimare l’obbligo di registrazione, ma ne limita fortemente l’utilizzo.
1. Esecuzione del contratto
La prima ipotesi è quella prevista dall’art. 6, par. 1, lett. b), GDPR. Tuttavia, per gli acquisti occasionali, il Board ritiene che l’account non sia necessario. Per concludere una vendita bastano i dati indispensabili alla gestione dell’ordine, come nome, indirizzo di consegna e dati di pagamento, che possono essere raccolti anche tramite acquisto come ospite.
Diverso può essere il caso dei servizi in abbonamento o delle offerte riservate a comunità chiuse, ma solo se l’appartenenza a quella comunità rappresenta un elemento essenziale del contratto. Non basta, quindi, offrire sconti o vantaggi a chi si registra per rendere legittimo l’obbligo di account.
2. Obbligo legale
Un sito potrebbe imporre la registrazione solo se una norma europea o nazionale lo richiedesse espressamente. Ma, nella maggior parte dei casi, gli obblighi di legge riguardano la raccolta di dati per finalità fiscali, contabili o di tracciabilità dell’operazione, non certo la creazione di un profilo utente permanente. Anche tali finalità, infatti, possono essere soddisfatte senza obbligare il consumatore ad aprire un account.
3. Legittimo interesse
Neppure il legittimo interesse del titolare del trattamento può essere invocato in modo automatico. Esigenze come la gestione degli ordini, la prevenzione delle frodi o l’assistenza post-vendita non rendono inevitabile la registrazione. Se esistono soluzioni meno invasive, queste devono essere preferite. È qui che entra in gioco il principio di minimizzazione del GDPR: raccogliere più dati del necessario non è consentito solo perché più comodo per l’operatore economico.
Il guest checkout non è una cortesia: è la soluzione più coerente con il GDPR
Uno dei passaggi più importanti è questo: un e-commerce realmente conforme al GDPR dovrebbe offrire sempre un’alternativa alla registrazione obbligatoria, permettendo al cliente di acquistare anche come ospite. Il cosiddetto guest checkout non è soltanto una scelta tecnica possibile, ma rappresenta la soluzione più coerente con i principi di privacy by design e by default previsti dall’art. 25 GDPR.
Ciò significa che le piattaforme dovrebbero essere progettate fin dall’inizio per raccogliere solo i dati indispensabili e per garantire automaticamente il massimo livello di tutela della riservatezza, senza scaricare sul consumatore il peso di difendersi da trattamenti eccessivi.
Cosa significa, in concreto, per i consumatori
Per il consumatore, tutto questo si traduce in un principio molto semplice: non ogni richiesta di registrazione è lecita solo perché diffusa. Se l’acquisto può essere effettuato senza un account permanente, il sito dovrebbe consentire questa modalità. Diversamente, la piattaforma rischia di imporre un trattamento sproporzionato, in contrasto con la logica del GDPR.
La tutela dei dati personali, infatti, non può essere sacrificata per ragioni di marketing, profilazione o mera comodità organizzativa dell’operatore. Nei casi in cui l’account non sia strettamente necessario, la regola deve essere la libertà di acquistare senza registrazione.
Conclusione
La direzione indicata dall’EDPB è netta: nell’e-commerce, l’account obbligatorio deve restare un’eccezione, non la prassi. La protezione dei dati personali va incorporata nella struttura stessa della piattaforma e non rimessa a scelte successive dell’utente. Solo così è possibile raggiungere un equilibrio corretto tra libertà d’impresa e diritti fondamentali del consumatore.
.