El Comité Europeo de Protección de Datos (EDPB) adoptó el 3 de diciembre de 2025 las Recomendaciones 2/2025 sobre la base jurídica para exigir la creación de cuentas de usuario en sitios web de comercio electrónico. Este documento, actualmente en fase de consulta pública, establece criterios interpretativos relevantes para los responsables del tratamiento que operan en el sector del comercio electrónico.
Objeto y ámbito de aplicación
Las Recomendaciones abordan una práctica extendida en el sector: la exigencia de crear una cuenta de usuario como requisito previo para acceder a ofertas o realizar compras en línea. El EDPB analiza las condiciones bajo las cuales dicha exigencia puede considerarse conforme con los artículos 5(1)(a) y 6 del RGPD.
El ámbito de aplicación comprende los sitios web de comercio electrónico, incluidas las plataformas que actúan como intermediarias entre comerciantes profesionales y consumidores. Quedan excluidos los servicios de plataformas que conectan particulares entre sí con fines no profesionales, los servicios de redes sociales, los motores de búsqueda, los servicios de aplicaciones de software, los servicios de medios audiovisuales y los sitios web de noticias.
Riesgos identificados
El documento identifica diversos riesgos asociados a la creación obligatoria de cuentas de usuario. En primer lugar, esta práctica fomenta el desarrollo de entornos donde los usuarios están sistemáticamente identificados, lo que puede resultar en una mayor recopilación de datos tanto directamente proporcionados como inferidos por el responsable.
En segundo lugar, las cuentas de usuario implican la conservación de datos personales en bases de datos activas durante períodos superiores a los estrictamente necesarios para la compra y entrega del pedido. Esta situación puede generar tensiones con el principio de limitación del plazo de conservación establecido en el artículo 5(1)(e) del RGPD y aumentar la vulnerabilidad frente a accesos no autorizados.
El EDPB señala asimismo que los entornos con sesión iniciada facilitan el registro del historial de navegación y el seguimiento de los hábitos de los usuarios con fines de segmentación comercial. Adicionalmente, durante el proceso de creación de cuentas, los comerciantes electrónicos pueden solicitar más información personal de la estrictamente necesaria, en ocasiones mediante el uso de patrones de diseño engañoso.
Análisis de las bases jurídicas
Ejecución de un contrato (artículo 6(1)(b) RGPD)
El EDPB recuerda que esta base jurídica debe interpretarse de manera estricta y no ampara situaciones en las que el tratamiento no es genuinamente necesario para la ejecución del contrato, sino que es impuesto unilateralmente por el responsable.
Respecto a las ventas puntuales, el EDPB considera que los datos personales necesarios para la ejecución del contrato de compraventa pueden recopilarse sin exigir la creación de una cuenta. La existencia de la modalidad de compra como invitado en numerosos comercios electrónicos respalda esta apreciación.
En el caso de las suscripciones, el tratamiento asociado a la creación y gestión de una cuenta obligatoria puede basarse en el artículo 6(1)(b) del RGPD, siempre que dicha cuenta sea estrictamente necesaria para que los interesados accedan a los servicios contratados y la ejecución del contrato requiera interacciones autenticadas recurrentes durante su vigencia.
Para el acceso a ofertas exclusivas, el EDPB distingue entre ofertas accesibles a cualquier persona mediante la mera creación de una cuenta y ofertas reservadas a una comunidad cerrada de miembros con características específicas acreditadas. Solo en este segundo supuesto podría considerarse necesaria la creación de una cuenta.
En cuanto a las compras condicionadas a un estatus específico del usuario, el EDPB señala que existen medios menos intrusivos para verificar dicho estatus, como formularios en línea seguros que permitan la recogida de datos y la carga de documentos justificativos.
Cumplimiento de una obligación legal (artículo 6(1)(c) RGPD)
Las Recomendaciones no abordan los requisitos legales que imponen la creación obligatoria de cuentas para productos y servicios sujetos a regulaciones específicas. Para el resto de supuestos, el EDPB considera que las obligaciones legales invocadas habitualmente por los responsables, como las relativas a obligaciones fiscales y contables, no requieren el almacenamiento de los datos personales utilizados para crear los documentos correspondientes, por lo que dicho tratamiento puede realizarse sin exigir la creación de una cuenta.
Interés legítimo (artículo 6(1)(f) RGPD)
El EDPB analiza diversos propósitos que los responsables podrían invocar bajo esta base jurídica.
Respecto a la facilitación de la gestión operativa del pedido, tanto el seguimiento del pedido como la gestión de modificaciones posteriores pueden lograrse mediante medios menos intrusivos, como el envío de información por correo electrónico o la puesta a disposición de enlaces de uso único y duración limitada.
En relación con los servicios ofrecidos tras o en paralelo a la ejecución del pedido, el EDPB considera que la fidelización de clientes, aunque puede constituir un interés legítimo, no justifica la creación obligatoria de cuentas, dado que existen otros medios igualmente eficaces y menos restrictivos. Lo mismo aplica a la facilitación de pedidos posteriores, ya que la decisión de realizar una nueva compra depende del consumidor.
En cuanto a la prevención del fraude, aunque puede constituir un interés legítimo, el EDPB cuestiona que la creación obligatoria de cuentas sea necesaria para este fin. Muchos sitios de comercio electrónico no exigen la creación de cuentas, y el historial de compras no está disponible cuando una cuenta se utiliza por primera vez.
Alternativa: la opción de compra como invitado
El EDPB considera que ofrecer a los usuarios la posibilidad de elegir entre crear una cuenta o proceder a la compra como invitado constituye la opción más compatible con las obligaciones de protección de datos desde el diseño y por defecto contenidas en el artículo 25 del RGPD.
La modalidad de invitado permite completar un pedido sin crear una cuenta ni iniciar sesión, mediante la cumplimentación de un formulario. Esta opción resulta más compatible con los principios de transparencia y minimización de datos.
En el contexto de la creación voluntaria de cuentas, el responsable puede ofrecer servicios adicionales como historial de pedidos, compras posteriores facilitadas u ofertas personalizadas, basándose en la base jurídica apropiada según la finalidad de que se trate. Cuando dichos servicios se basen en el consentimiento del interesado, la oferta debe estar claramente separada del proceso de compra principal, de modo que los clientes que opten por no registrarse no resulten perjudicados.
Documentación de referencia
Las Recomendaciones citan extensamente la jurisprudencia del Tribunal de Justicia de la Unión Europea, en particular las sentencias en los asuntos C-252/21 (Meta contra Bundeskartellamt), C-26/22 y C-64/22 (SCHUFA), C-17/22 y C-18/22 (HTB Neunte Immobilien Portfolio), C-621/22 (Koninklijke Nederlandse Lawn Tennisbond) y C-394/23 (Mousse).
Asimismo, se remiten a diversos instrumentos del propio EDPB, entre ellos las Directrices 2/2019 sobre el tratamiento de datos personales en virtud del artículo 6(1)(b) del RGPD, las Directrices 1/2024 sobre el tratamiento de datos personales en virtud del artículo 6(1)(f) del RGPD, las Directrices 4/2019 sobre protección de datos desde el diseño y por defecto, y las Directrices 05/2020 sobre el consentimiento.