El Comité Europeo de Protección de Datos (EDPB) ha publicado en diciembre las Recomendaciones 2/2025 relativas a la base jurídica para exigir la creación de cuentas obligatorias en el comercio electrónico, acompañadas de la apertura de un proceso de consulta pública. El documento aborda una práctica ampliamente extendida en el sector y aclara en qué condiciones puede considerarse conforme al RGPD exigir el registro previo como requisito para realizar una compra online.
El EDPB subraya que imponer la creación de una cuenta no es automáticamente lícito por el mero hecho de ser una práctica habitual del mercado. En particular, recuerda que el artículo 6.1.b) del RGPD —ejecución de un contrato— solo puede invocarse cuando el tratamiento de datos sea objetivamente necesario para cumplir la relación contractual. En muchos supuestos, la compra puntual de un producto o servicio puede realizarse sin necesidad de registro permanente, por lo que exigir una cuenta puede vulnerar los principios de minimización de datos y limitación de la finalidad.
Las recomendaciones resultan especialmente relevantes para el diseño de funnels de conversión, ya que el EDPB identifica como buena práctica la posibilidad de ofrecer alternativas como el guest checkout, limitar los campos obligatorios al mínimo imprescindible y separar claramente los tratamientos necesarios para la compra de aquellos vinculados a finalidades adicionales como marketing, fidelización o analítica. Asimismo, el documento advierte contra el uso de patrones de diseño que presionen al usuario a registrarse sin una justificación real.
Desde la perspectiva empresarial, estas orientaciones obligan a revisar tanto la arquitectura jurídica como la arquitectura técnica y de experiencia de usuario de las plataformas de comercio electrónico. El EDPB anticipa que la exigencia injustificada de cuentas obligatorias puede ser objeto de actuaciones de supervisión y sanción por parte de las autoridades nacionales, especialmente cuando conlleva una recogida excesiva de datos o una confusión de finalidades.
En definitiva, las Recomendaciones 2/2025 refuerzan la idea de que el diseño del proceso de compra es también una cuestión de protección de datos, y que las decisiones de negocio deben alinearse con los principios del RGPD desde la fase de concepción del servicio.
Línk a la nota de prensa oficial: https://www.edpb.europa.eu/news/news/2025/edpb-gives-recommendations-make-online-shopping-more-respectful-users-privacy_en
Link a las recomendaciones íntegras: https://www.edpb.europa.eu/system/files/2025-12/edpb-recommendations-202502-mandatory-user-accounts_en.pdf
