Recomanacions 2/2025 de l'EDPB sobre la base jurídica per exigir comptes obligatoris en el comerç electrònic

Informes8 d’abril del 2026
El document sorgeix de la preocupació pels riscos que aquesta pràctica pot suposar per als drets i les llibertats dels interessats, especialment a causa de la recollida d'un volum més gran de dades personals i de l'augment de la probabilitat d'una violació de dades que afecti les dades personals.

1. Introducció

Als llocs web de comerç electrònic, sovint els usuaris han de crear un compte en línia abans de poder accedir a ofertes o comprar béns i serveis. El Comitè Europeu de Protecció de Dades (en endavant, «CEPD») assenyala que la creació d'aquests comptes en línia pot comportar que les dades personals es conservin en una base de dades activa durant més temps del que és estrictament necessari per completar la compra i lliurar la comanda, la qual cosa augmenta el risc de violacions de la seguretat que afectin les dades personals.


A més, els entorns electrònics que requereixen inici de sessió faciliten que el responsable del tractament registri l'historial de navegació dels usuaris i faci un seguiment dels seus hàbits de navegació per tal de millorar el màrqueting segmentat potencial. Aquest tractament de dades personals sense una base legítima constitueix una infracció del Reglament general de protecció de dades (en endavant, «RGPD»).


Les Recomanacions analitzen les activitats de tractament més habituals que utilitzen els responsables del tractament en el sector del comerç electrònic per requerir la creació de comptes d'usuari en relació amb la base jurídica que consideren rellevant en cada cas, a saber: (i) l'execució d'un contracte en què l'interessat sigui part; (ii) el compliment d'una obligació legal a la qual està subjecte el responsable del tractament; o (iii) la persecució d'un interès legítim del responsable del tractament o d'un tercer. Finalment, es proposen alternatives a la creació obligatòria d'aquests comptes.


2. Execució d'un contracte

Perquè aquesta base jurídica sigui rellevant, és essencial que el tractament sigui necessari per a l'execució del contracte o, en altres paraules, que sense aquest tractament de dades personals seria impossible complir el contracte. En conseqüència, en el context de la creació d'un compte d'usuari, les activitats de tractament que tenen com a base l'execució d'un contracte han de superar una prova de necessitat.


Les activitats de tractament que els responsables del tractament invoquen més sovint sobre la base de l'execució d'un contracte són les següents:

  • Venda puntual: segons l'EDPB, per a una venda puntual, es poden recollir les dades personals necessàries sense requerir la creació d'un compte, per exemple, mitjançant l'ús del mode convidat.
  • Subscripcions: s'entén per subscripció un acord pel qual una part es compromet a pagar una quantitat de diners a l'altra part a canvi de rebre un producte o servei de manera regular, la qual cosa implica que el responsable del tractament té un interès a establir una relació contractual a llarg termini amb l'usuari.

En aquest cas, la creació d'un compte es pot considerar rellevant sempre que el responsable del tractament demostri que la seva creació és necessària per accedir al servei al qual l'usuari s'ha subscrit.

  • Accés a ofertes exclusives: la creació d'un compte d'usuari es considerarà necessària en els casos en què l'accés a ofertes o serveis estigui reservat a una comunitat selecta de membres, amb característiques específiques i verificables, i en què el registre en aquesta comunitat exclusiva esdevingui el propòsit principal del contracte.
  • Compra condicionada: alguns llocs de comerç electrònic només permeten la compra de béns o serveis als usuaris que tenen un estatus específic, com ara el d'estudiant. En aquest sentit, la capacitat de l'usuari per fer la compra no depèn de la seva relació contractual amb el responsable del tractament, sinó del seu estatus. D'acord amb la prova de necessitat, el responsable del tractament ha de demostrar que no existeixen mitjans menys intrusius que la creació d'un compte per dur a terme les verificacions necessàries d'aquest estatus.
  • Conclusió d'un contracte per rebre recomanacions personalitzades en el context d'una compra: aquest escenari suposa que, a més del contracte principal, l'usuari subscriu un altre contracte per rebre recomanacions personalitzades abans de completar la compra. El responsable del tractament ha de demostrar que aquest contracte existeix i que l'usuari l'ha acceptat conscientment.
  • Serveis postvenda i exercici de drets: els serveis postvenda (canvis i devolucions, reclamacions) i la gestió dels drets del consumidor o dels drets del RGPD es poden proporcionar sense que l'usuari hagi de crear un compte, mitjançant enllaços específics o comunicacions per correu electrònic. Per tant, la base de l'execució contractual tampoc no justifica la creació obligatòria de comptes en aquests casos.

3. Compliment d'una obligació legal

Pel que fa a aquesta base jurídica, els casos en què la llei exigeix expressament l'assignació de comptes d'usuari (serveis regulats) queden fora de l'abast de les Recomanacions. A part d'aquestes excepcions, els responsables del tractament han de determinar en quina mesura les obligacions legals que els són aplicables els exigeixen crear comptes d'usuari. L'EDPB considera molt poc probable que un tractament d'aquest tipus es pugui justificar en aquesta base jurídica, ja que normalment hi ha alternatives menys intrusius disponibles per complir les obligacions legals.


4. Interès legítim

En absència d'una definició del concepte d'interès legítim al RGPD, els responsables del tractament que vulguin basar qualsevol tractament de dades relacionat amb la creació de comptes d'usuari en l'article 6, paràgraf 1, lletra f, han de complir tres condicions, tal com s'estableix a les Directrius 1/2024 de la Junta Europea de Protecció de Dades:


  • Que el responsable del tractament o un tercer persegueixi un interès legítim i genuí.
  • Cal que hi hagi una necessitat de tractar dades personals per assolir els fins que contribueixen a l'interès legítim invocat. El tractament només es pot considerar necessari amb aquesta base jurídica si no existeixen altres mitjans per assolir l'objectiu que siguin menys intrusius per als drets i llibertats dels interessats (prova de necessitat).
  • Que els interessos o drets i llibertats fonamentals dels interessats no prevaleixin sobre l'interès legítim del responsable del tractament o d'un tercer (prova de ponderació).

En les activitats de tractament analitzades sota aquesta base jurídica, que consisteixen a facilitar la gestió de comandes —mitjançant el seguiment de comandes o la gestió de canvis posteriors a la comanda—, fomentar la fidelitat del client i facilitar compres futures, l'EDPB considera que és poc probable que es compleixin les proves de necessitat i de ponderació requerides; per tant, la creació de comptes d'usuari en el context d'aquestes activitats de tractament no s'hauria de basar en l'interès legítim del responsable del tractament.


Pel que fa a la prevenció del frau, tot i que la seva detecció i prevenció poden constituir un interès legítim del responsable del tractament, el tractament de dades realitzat amb aquesta finalitat també ha de superar les proves de necessitat i proporcionalitat per poder basar-se en l'article 6.1.f) del RGPD.


El frau es pot manifestar mitjançant l'ús de credencials robades, comandes fraudulentes, canvis sospitosos en les adreces de lliurament o robatori d'identitat. Alguns responsables del tractament argumenten que exigir la creació d'un compte ajuda a detectar aquest tipus de comportament gràcies a informació com l'historial de comportament, els canvis en les dades del compte o les variacions en la petjada digital del dispositiu. No obstant això, l'EDPB considera poc probable que la creació d'un compte sigui necessària per prevenir el frau, i assenyala que:

  • Molts minoristes no exigeixen als clients que creïn un compte i, tot i així, apliquen mesures antifrau.
  • Un compte nou no proporciona un historial útil per detectar un comportament sospitós.
  • Factors com ara canvis en els dispositius, les adreces o les actualitzacions de programari poden generar falsos positius.
  • El requisit de crear un compte pot fins i tot augmentar els riscos per als usuaris, ja que obliga a emmagatzemar dades que d'una altra manera no es recollirien.

En conseqüència, és poc probable que aquesta mesura superi la prova de necessitat. A més, fins i tot si es considerés necessària, el responsable del tractament hauria de superar la prova d'encaix, justificat quin tipus de frau pretén prevenir i quines dades específiques necessita realment per fer-ho.


5. Conclusions

La posició de l'EDPB en aquestes Recomanacions —la fase de consulta pública de les quals va finalitzar el 12 de febrer— està clarament orientada a la idea que la creació d'un compte d'usuari rarament és necessària per assolir els fins que persegueixen els responsables del tractament. No obstant això, aquests exemples no constitueixen una llista exhaustiva. Cada cas s'ha d'avaluar individualment, aplicant rigorosament les proves de necessitat i de ponderació, per tal de determinar si el requisit de crear un compte d'usuari és realment rellevant i proporcionat en cada cas concret.


Més enllà de la creació obligatòria d'aquests comptes, oferir als usuaris l'opció de registrar-se voluntàriament —és a dir, basar la creació del compte en el consentiment de l'usuari d'acord amb l'article 6.1.a del RGPD— o permetre les compres en mode convidat són, segons l'EDPB, les alternatives més adequades i eficients per recollir dades personals de manera lícita en aquest context.


Nota informativa del Departament de Protecció de Dades d'ECIJA Madrid.

Una perspectiva arquitectónica que muestra la curvatura de un edificio moderno rodeado de líneas verticales y un cielo suave.

Sòcies/socis relacionats

ACTUALITAT #ECIJA