El Comité Europeo de Protección de Datos (el “Comité”) ha publicado sus “Recomendaciones 2/2025 sobre la base legal para exigir la creación de cuentas de usuario en el ámbito e-commerce”.
Estas recomendaciones, adoptadas el 3 de diciembre de 2025 y actualmente en consulta pública hasta febrero de 2026, pretenden ofrecer criterios claros a los responsables del tratamiento sobre en qué supuestos resulta conforme al Reglamento General de Protección de Datos (“RGPD”) obligar a los usuarios a registrarse para comprar o acceder a determinadas ofertas online.
Las recomendaciones llaman la atención sobre la exigencia sistemática de registro en las webs de comercio electrónico y subrayan la necesidad de analizar, caso por caso, si dicha práctica resulta realmente necesaria y proporcionada desde la perspectiva del RGPD.
Principales claves de las Recomendaciones
• Aunque el Comité reconoce que los operadores de comercio electrónico pueden tener un interés comercial en fomentar o exigir la creación de cuentas, advierte de que esta práctica incrementa los riesgos para los derechos y libertades de los usuarios, al implicar un tratamiento adicional de datos personales.
• Como regla general, el Comité considera que los usuarios deberían poder navegar y realizar compras sin necesidad de registrarse, por ejemplo, mediante la opción de compra como “invitado” o permitiendo el registro únicamente de forma voluntaria. Este enfoque es el que mejor se alinea con el principio de protección de datos desde el diseño y por defecto previsto en el RGPD.
• La exigencia de una cuenta obligatoria solo podría considerarse justificada en supuestos muy limitados, como en el caso de servicios de suscripción o de acceso a beneficios exclusivos reservados a una comunidad cerrada, que impliquen una relación contractual continuada, donde la propia naturaleza del servicio requiera una identificación recurrente del usuario.
• El Comité analiza de forma detallada la posible aplicación de las distintas bases jurídicas del RGPD:
-ejecución de un contrato (art. 6.1.b RGPD): solo puede utilizarse cuando el tratamiento de datos sea estrictamente necesario para cumplir con lo que el usuario ha solicitado contractualmente, algo que no ocurre cuando el usuario puede realizar compras sin registrarse.
-cumplimiento de una obligación legal (art. 6.1.c RGPD): esta base no se considera aplicable para justificar el requisito de cuenta obligatoria, salvo que existan disposiciones sectoriales o normativas específicas que sí impongan obligaciones de identificación o registro (lo cual sería inusual en comercio electrónico)
-interés legítimo (art. 6.1.f RGPD): en muchos escenarios habituales de e-commerce, no se supera el test de necesidad que permitiría imponer el registro obligatorio.
Conclusión
Según el Comité, exigir a los usuarios que creen una cuenta para acceder a las ofertas o realizar una compra no cumpliría normalmente las condiciones de licitud establecidas en el RGPD. Sin embargo, permitir al usuario decidir si desea crear una cuenta o realizar la compra como invitado constituye una práctica adecuada desde la perspectiva del RGPD. Este enfoque reduce riesgos jurídicos y refuerza la aplicación de los principios de minimización y de protección de datos desde el diseño y por defecto.