Recomendaciones 2/2025 del EDPB sobre la base jurídica para exigir cuentas obligatorias en e-commerce

Informes8 de abril de 2026
El documento surge de la preocupación por los riesgos que esta práctica puede implicar para los derechos y libertades de los interesados, especialmente por el recabo de un mayor número de datos personales y el consiguiente aumento de la probabilidad de que exista una brecha de seguridad que afecte a datos personales.

1. Introducción

En los sitios web de comercio electrónico, a menudo, se requiere que los usuarios creen una cuenta en línea antes de poder acceder a ofertas o comprar bienes y servicios. El Comité Europeo de Protección de Datos (en adelante, “EDPB”, por sus siglas en inglés) señala que la creación de estas cuentas en línea puede derivar en la retención de datos personales en una base activa durante más tiempo del estrictamente necesario para ejecutar la compra y la entrega del pedido, lo que eleva el riesgo de que tengan lugar brechas de seguridad que afecten a datos personales. 


Asimismo, los entornos electrónicos que requieren un inicio de sesión facilitan al responsable del tratamiento el registro del historial de navegación de sus usuarios y el seguimiento de sus hábitos de navegación con el fin de mejorar la posible orientación comercial. Este tratamiento de datos personales sin una base que lo legitime supone un incumplimiento del Reglamento General de Protección de Datos (en adelante, “RGPD”). 


Las Recomendaciones analizan las actividades de tratamiento más habitualmente utilizadas por los responsables del tratamiento en el sector del e-commerce para imponer la creación de cuentas de usuario en conexión con la base de legitimación que consideran pertinente en cada caso, a saber: (i) ejecución de un contrato en el que el interesado es parte; (ii) cumplimiento de una obligación legal a la que está sujeto el responsable o (iii) satisfacción de un interés legítimo del responsable o de un tercero. Finalmente se proponen alternativas a la creación obligatoria de este tipo de cuentas. 


2. Ejecución de un contrato

Para que esta base de legitimación sea pertinente es indispensable que el tratamiento sea necesario para la ejecución del contrato o, dicho de otro modo, que sin ese tratamiento de datos personales resulte imposible cumplir el contrato. Por consiguiente, en el contexto de la creación de una cuenta de usuario las actividades de tratamiento que pretenda basarse en la ejecución de un contrato deben superar un test de necesidad. 


Las actividades de tratamiento más invocadas por los responsables con base en la ejecución de un contrato son las siguiente: 

  • Venta puntual: conforme al EDPB para una venta única los datos personales necesarios pueden recopilarse sin exigir la creación de una cuenta, por ejemplo, mediante la utilización del modo invitado. 
  • Suscripciones: se entiende por suscripción el acuerdo mediante el cual una parte se compromete a pagar una cantidad de dinero a la otra parte a cambio de recibir un producto o servicio de forma periódica, lo que implica que el responsable del tratamiento tenga un interés en formalizar una relación contractual a largo plazo con el usuario. 

En este caso, la creación de una cuenta puede considerarse pertinente siempre que el responsable demuestre que su creación es necesaria para el acceso al servicio que se ha suscrito.   

  • Acceso a ofertas exclusivas: se considerará necesaria la creación de una cuenta de usuario en los casos en que el acceso a ofertas o servicios esté reservado a una comunidad seleccionada de miembros, con características concretas y comprobables y que la inscripción a dicha comunidad exclusiva se convierta en el objeto principal del contrato. 
  • Compra condicionada: algunos e-commerce solo permiten la compra de bienes o servicios a usuarios que gocen de un estatus específico, como, por ejemplo, tener la condición de estudiante. En este sentido, la capacidad del usuario para efecutar la compra no depende de su relación contractual con el responsable sino de su estatus. Conforme al test de necesidad, el responsable deberá demostrar que no existen medios menos intrusivos que la creación de una cuenta para llevar a cabo las verificaciones necesarias de dicho estatus. 
  • Formalización de un contrato para recibir recomendaciones personalizadas en el contexto de una compra: este supuesto supone que, además del contrato principal, el usuario celebra otro contrato para recibir recomendaciones personalizadas antes de finalizar la compra. El responsable del tratamiento deberá demostrar que existe ese contrato y que el usuario lo aceptó de forma consciente. 
  • Servicios posventa y ejercicio de derechos: los servicios posventa (cambios y devoluciones, reclamaciones) y la gestión de derechos del consumidor o del RGPD pueden prestarse sin obligar al usuario a crear una cuenta, mediante enlaces específicos o comunicaciones por correo electrónico. Por tanto, la base de la ejecución contractual tampoco justifica la creación forzosa de cuentas en estos supuestos. 

3. Cumplimiento de una obligación legal 

En relación con esta base de legitimación, quedan fuera del alcance de las Recomendaciones los casos donde la ley exige expresamente la asignación de cuentas de usuario (servicios regulados). Fuera de esas excepciones, los responsables deberán determinar en qué medida las obligaciones legales que les son de aplicación les exigen crear cuentas de usuario. El EDPB considera muy poco probable que pueda justificarse ese tratamiento tomando como referencia esta base de legitimación, porque normalmente existen alternativas menos intrusivas para cumplir con las obligaciones legales.


4. Interés legitimo

En ausencia de una definición del concepto de interés legítimo en el RGPD, aquellos responsables que quieran basar alguno de los tratamientos de datos relacionados con la creación de cuentas de usuario en el artículo 6.1.f) deberán cumplir tres condiciones, conforme a lo indicado en las guías 1/2024 del Comité Europeo de Protección de Datos: 

 

  • Que se persiga un interés legítimo y real por parte del responsable o de un tercero. 
  • Que exista la necesidad de tratar datos personales para alcanzar los fines que contribuyen a alcanzar el interés legítimo invocado. El tratamiento solo puede considerarse necesario conforme a esta base de legitimación si para alcanzar su objetivo no existen otros medios menos intrusivos con los derechos y libertades de los interesados (test de necesidad). 
  • Que los intereses o derechos y libertades fundamentales de los interesados no prevalezcan sobre el interés legítimo del responsable o de un tercero (test de ponderación). 

En las actividades de tratamiento analizadas conforme a esta base de legitimación y consistentes en facilitar la gestión de un pedido – mediante el seguimiento del mismo, o la gestión de cambios posteriores al pedido –, fidelizar al cliente, y facilitar compras futuras, el EDPB considera que es poco probable que se cumplan los test de necesidad y ponderación requeridos, por lo que la creación de cuentas de usuario en el contexto de dichas actividades de tratamiento no debería basarse en el interés legítimo del responsable. 


En lo que respecta a la prevención del fraude, aunque su detección y prevención pueda constituir un interés legítimo del responsable, los tratamientos de datos llevados a cabo con esta finalidad también deberán superar los test de necesidad y de ponderación para poder basarse en el artículo 6.1.f) del RGPD. 


El fraude puede manifestarse mediante el uso de credenciales robadas, pedidos fraudulentos, cambios sospechosos en direcciones de entrega o suplantaciones de identidad. Algunos responsables alegan que exigir la creación de una cuenta ayuda a detectar estas conductas gracias a información como los historiales de comportamiento, cambios en los datos de la cuenta o variaciones en la huella digital del dispositivo. Sin embargo, el EDPB considera improbable que la creación de una cuenta sea necesaria para prevenir el fraude señalando que: 

  • Muchos comercios no exigen crear una cuenta y aun así aplican medidas antifraude. 
  • Una cuenta nueva no aporta historial útil para detectar comportamientos sospechosos. 
  • Factores como cambios de dispositivo, direcciones o actualizaciones de software pueden generar falsos positivos. 
  • La obligación de crear una cuenta puede incluso aumentar riesgos para los usuarios al requerir almacenar datos que, de otro modo, no serían recopilados.

En consecuencia, esta medida difícilmente supera el test de necesidad. Además, incluso si se considerara necesaria, el responsable debería superar el test de ponderación, justificando qué tipo de fraude pretende evitar y qué datos concretos necesita realmente para ello.


5. Conclusiones

La posición del EDPB con estas Recomendaciones – cuya fase de consulta pública finalizo el 12 de febrero - se orienta claramente hacia considerar que la creación de una cuenta de usuario rara vez resulta necesaria para alcanzar los fines perseguidos por los responsables del tratamiento. No obstante, estos ejemplos no constituyen un numerus clausus. Cada supuesto deberá evaluarse de manera individual, aplicando rigurosamente los test de necesidad y ponderación, con el fin de determinar si la exigencia de crear una cuenta de usuario es realmente pertinente y proporcionada en cada caso concreto. 


Más allá de la creación obligatoria de este tipo de cuentas, ofrecer al usuario la posibilidad de registrarse voluntariamente, esto es, basar la creación de la cuenta en el consentimiento del usuario conforme al artículo 6.1.a) del RGPD, o permitir la compra en modo invitado se presentan, en opinión el EDPB, como las alternativas más adecuadas y eficientes para recopilar datos personales de manera lícita en este contexto. 

 

Nota informativa del área de Protección de Datos de ECIJA Madrid.

Una perspectiva arquitectónica que muestra la curvatura de un edificio moderno rodeado de líneas verticales y un cielo suave.

Socios relacionados

ACTUALIDAD #ECIJA