Nel mondo degli acquisti online di oggetti o di servizi è frequente incorrere in un obbligo di creazione di un account personale, che viene proposto anche per la gestione di aspetti correlati quali il monitoraggio dell’eventuale consegna, la fatturazione e molto altro. In questo breve approfondimento vediamo se questa pratica è legalmente legittima, specialmente per acquisti estemporanei e per quelli che non necessitano di conseguente interfacciamento con il fornitore o il rivenditore.
Per saperne di più utilizziamo un’analisi fatta dal portale Brocardi, specializzato in materia giuridica, che tramite l’autore, il Dott. Claudio Garau, ci spiega quali sono le misure teoricamente ammissibili in base a normative e regolamenti come il GDPR (General Data Protection Regulation) e le commissioni, come l’EPDB (European Data Protection Board). Innanzitutto, è chiaro come la domanda che dà il titolo all’articolo si riferisca principalmente alla raccolta di dati e informazioni dei clienti, che seguendo il giudizio del suddetto EPDB sembrerebbero essere “pratiche commerciali non neutre” e forse pericolose per quel che riguarda la protezione della privacy di chi acquista. Il pericolo non sarebbe soltanto riferito al furto dei suddetti dati, bensì anche la raccolta di informazioni eccessive ed il loro mantenimento per periodi ingiustificatamente lunghi, oltre all’eventuale tracciamento di ciò che viene fatto dagli utenti e, chiaramente, l’uso scorretto per profilazione commerciale.
Questo obbligo di creazione di un profilo, quindi, in special modo quando un cliente compra qualcosa in modo occasionale, secondo Garau potrebbe ridurre la libertà dell’utente perché, anche tramite pagine con form ingannevoli, indurrebbe ad inserire molte più informazioni di quelle strettamente necessarie. Recentemente l’EPDB si è raccomandato per la limitazione di pratiche quali lo sviluppo di ambienti esclusivamente legati al login, dicendo che però questa cosa si deve intendere principalmente per coloro che effettuano vendite dirette oppure i cosiddetti marketplace, ovvero quelle piattaforme tipo Amazon (ma non solo), mentre si possono ritenere escluse realtà come i social e le piattaforme di streaming, che hanno distinte regolamentazioni, oppure chi vende servizi da utilizzare online e infine i portali di scambi commerciali tra privati, ad esempio siti come Vinted, visto che non c’è un commerciante coinvolto.
Appare chiara quindi la distinzione, visto che il criterio principale è obbligare l’account, secondo l’EDPB, soltanto nei casi in cui non se ne può assolutamente fare a meno. L’account obbligatorio deve essere quindi inteso non come imposizione per profilare i dati bensì come uno strumento importante per l’interfacciamento col cliente. Normativamente, i riferimenti alla natura di strumento si possono trovare nelle Raccomandazioni 2/2025 dell’EPDB che sono entrate in vigore alla fine del 2025, ed in quanto tale deve reggere giuridicamente. Per cercare qualche elemento che possa reggere di fronte al dubbio della liceità, o meno, della registrazione obbligatoria bisogna andare a guardare l’articolo 6 del GDPR.
A partire dall’esecuzione del contratto, regolato dal suddetto articolo, l’EPDB spiega che per le vendite occasionali ci si può limitare alla raccolta di informazioni basilari per la chiusura dell’ordine come “guest”, ovvero il nominativo, l’indirizzo per la spedizione e ovviamente i dati di pagamento, ma per quel che riguarda gli abbonamenti o offerte limitate solo a determinate persone il discorso cambia. Questo perché la richiesta di un account obbligatorio potrebbe essere lecita se, ad esempio, il fare parte di un gruppo ristretto è parte integrante e fondamentale per la scontistica, mentre non è lecito se la “scusa” è quella di dare accesso a qualche promozione o codice sconto solo se ci si registra. Esiste anche la possibilità dell’obbligo per legge di richiedere la creazione di un profilo, appellandosi a qualche norma che richiede chiaramente questa procedura, ma c’è da dire che molto spesso ciò che viene chiesto dalle leggi, anche internazionali, è limitato alle informazioni che si possono raccogliere anche senza creare l’account.
C’è poi una terza possibilità, ovvero il legittimo interesse, che però è regolato dal GDPR in base al cosiddetto “principio di minimizzazione dei dati”, ed entrano in gioco necessità importanti come evitare le truffe, gestire le richieste o assistere il cliente dopo gli acquisti, altre evenienze che però secondo l’EPDB non sarebbero condizioni così dirimenti per raccogliere ancora più dati. In soldoni, quindi, per avere un portale e-commerce che sia GDPR compliant è importante garantire la possibilità di effettuare acquisti senza registrarsi, a parte nei casi sopracitati. Ovviamente non si deve pensare solo ed esclusivamente ai grandi portali che tutti conosciamo ma anche e soprattutto all’enorme quantità di siti di vendita online che popolano il web e che, per regola, devono garantire la protezione delle informazioni come dall’articolo 25 del GDPR progettando siti già predisposti per questo scopo.
Fonte: 1
