Creación obligatoria de cuentas en e-commerce: las claves legales según el Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos (EDPB) publicó recomendaciones sobre las circunstancias en las que resulta legítimo exigir la creación de cuentas de usuario en plataformas de comercio electrónico, conforme al RGPD. Estas recomendaciones ponen de relieve los riesgos para la privacidad asociados a la recopilación y almacenamiento excesivo de datos, y establecen que la obligación de crear una cuenta solo es válida en situaciones concretas, como en servicios de suscripción o para acceder a ofertas exclusivas.

En el entorno digital actual, es cada vez más común que las tiendas online soliciten a los usuarios la creación obligatoria de una cuenta para completar una compra. Sin embargo, ¿es legal esta práctica desde la perspectiva de la protección de datos?

Recientemente, el Comité Europeo de Protección de Datos (en adelante, en sus siglas en inglés, “EDPB”) ha publicado unas recomendaciones dirigidas a los responsables que operan en el sector del comercio electrónico, incluyendo plataformas intermediarias y marketplaces. Estas recomendaciones aclaran las condiciones bajo las cuales se puede exigir legítimamente la creación de una cuenta como requisito para acceder a ofertas o comprar bienes y servicios, en conformidad con el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, “RGPD”).

Riesgos adicionales de privacidad y seguridad asociados a la creación obligatoria de cuentas

En sus recomendaciones, el EDPB señala que obligar a los usuarios a crear una cuenta para acceder a servicios o realizar compras incrementa varios riesgos de privacidad y seguridad:

La exigencia de crear una cuenta genera escenarios en los que los usuarios son constantemente identificados para realizar cualquier acción (comprar, acceder a contenidos, etc.) y se requiere mantener una sesión iniciada. Esto conlleva una mayor recopilación y tratamiento de datos personales, lo que posibilita el seguimiento y registro detallado de hábitos y comportamientos, pudiendo vulnerar el RGPD si no se dispone de una base jurídica adecuada.

Las cuentas en línea suelen mantener datos personales activos por períodos superiores a los estrictamente necesarios para gestionar compras y entregas, aumentando el riesgo de accesos no autorizados, suplantación de identidad y fraudes, especialmente en casos de reutilización de contraseñas o uso de sistemas de inicio de sesión único (single sign-on), donde la violación de una única cuenta puede dar acceso a múltiples servicios.

Durante el proceso de creación de la cuenta, los comercios electrónicos pueden incitar a los usuarios a proporcionar más información personal de la estrictamente necesaria para la compra y entrega de los productos (por ejemplo, fecha de nacimiento, género o intereses), en ocasiones mediante el uso de diseños engañosos (dark patterns). Esto suele ocurrir especialmente entre la validación del carrito y el momento del pago.

Bases jurídicas para la creación de cuentas de usuario en línea

Frente a los riesgos mencionados, el EDPB analiza qué bases jurídicas pueden —y cuáles no pueden— invocarse, según las distintas finalidades, para justificar legalmente la obligación de crear cuentas de usuario:

1. Ejecución del contrato (Artículo 6.1.b) RGPD)

El EDPB recuerda que la base de ejecución del contrato «debe interpretarse de forma estricta y no abarca situaciones en las que el tratamiento no es verdaderamente necesario para la ejecución de un contrato, sino que es impuesto unilateralmente al interesado por el responsable del tratamiento».

En este contexto, se identifican las situaciones que podrían legitimar la creación obligatoria de una cuenta de usuario amparándose en la base legal de la ejecución del contrato:

Podría resultar justificado cuando se ofrece un servicio de suscripción en el que las interacciones autenticadas y recurrentes son parte esencial del servicio y se mantienen durante toda la vigencia del contrato. En todo caso, debe existir un contrato real y válido relacionado con el servicio suscrito.

El tratamiento de datos para crear y gestionar una cuenta de usuario en línea puede ser necesario cuando el acceso a ofertas o servicios está limitado a una comunidad seleccionada con características acreditadas y la relación comercial es duradera, de modo que el registro y la pertenencia a dicha comunidad constituyen el objeto principal del contrato.

Para justificar la necesidad, la cuenta debe ser indispensable para verificar el “estatus” del usuario en cada compra, permitir la identificación eficaz del cliente recurrente o crear un espacio privado al cual acceder para comunicar información de forma segura y confidencial. No obstante, no es válido exigir la creación de una cuenta cuando la verificación del usuario deba realizarse una única vez o cuando existan medios menos intrusivos para alcanzar el mismo fin, como un formulario de contacto.

En determinados casos, puede celebrarse un contrato adicional, distinto del principal, para ofrecer recomendaciones personalizadas en función de las preferencias del usuario, sustentando así esta base legitimadora. Sin embargo, la validez de dicho contrato está condicionada a que el responsable pueda acreditar que el usuario ha aceptado claramente su celebración, que los términos y condiciones correspondientes están incorporados válidamente al contrato y guardan relación con su objeto principal. Además, debe cumplir, en su caso, con la normativa de consumidores y usuarios. En ningún caso, este contrato adicional puede imponerse al usuario en el momento de confirmar la transacción principal, ni utilizarse como condición para finalizar la compra ordinaria.

2. Obligación legal (Artículo 6.1.c) RGPD)

El EDPB señala que la base de obligación legal solo puede invocarse para justificar la creación obligatoria de cuentas cuando una normativa concreta exige expresamente dicha práctica para la venta o prestación de ciertos productos o servicios regulados. Ejemplos claros incluyen sectores como la venta de alcohol, juegos de azar, medicamentos o productos con restricciones especiales, donde la legislación impone controles y verificaciones que pueden requerir el registro obligatorio del usuario.

No obstante, el EDPB señala que la imposición de creación de cuentas como mecanismo obligado debe, por tanto, reservarse únicamente para los casos donde la ley lo imponga explícitamente, evitando prácticas redundantes o excesivas desde el punto de vista de la protección de datos.

Fuera de estos escenarios específicos, la existencia de obligaciones legales habituales —como responsabilidades fiscales, contables o la atención de derechos de los consumidores— no legitima por sí sola imponer la creación de una cuenta en línea. Esto se debe a que estas obligaciones generalmente pueden cumplirse mediante medios menos intrusivos, que no impliquen exigir al usuario un registro obligatorio, tales como el envío de facturas o comunicaciones sin necesidad de cuenta de usuario.

3. Interés legítimo (Artículo 6.1.f) RGPD)

El EDPB admite que es razonable esperar que se exija crear una cuenta cuando el acceso a un servicio o a una oferta está restringido a un grupo exclusivo de usuarios, por ejemplo, a quienes reciben una invitación o forman parte de un programa cerrado —lo que justifica el control de acceso mediante cuentas—, ya que en ese caso resulta evidente que el servicio no está abierto al público en general, sino únicamente a un grupo restringido de usuarios.

Por el contrario, el EDPB destaca que el interés legítimo no puede justificar la imposición de cuentas obligatorias para finalidades tales como el seguimiento de pedidos, la gestión de cambios posteriores en el pedido, la fidelización de clientes, la facilitación de futuras compras ni la prevención del fraude.

En resumen, para que el interés legítimo sostenga la creación obligatoria de cuentas, el responsable debe demostrar que la medida es estrictamente necesaria, que no existe un modo menos intrusivo y que se ha realizado un balance favorable en comparación con los derechos de los usuarios. Según el EDPB, en la mayoría de los escenarios habituales del comercio electrónico, estos requisitos no se cumplen.

Conclusiones

La posición del EDPB es clara y restrictiva: solo puede justificarse la creación obligatoria de cuenta para un número limitado de finalidades —como servicios de suscripción o acceso a ofertas exclusivas— y debe evitarse en el resto de los escenarios pues no es necesaria y podría ser ilícita.

En todos los demás casos, los usuarios deben poder elegir: crear una cuenta o comprar como invitados. Es decir, se debe ofrecer la opción de “guest mode”, que permite completar una compra sin registro, simplemente rellenando un formulario.

El EDPB subraya que esta flexibilidad cumple con los principios de protección de datos desde el diseño y por defecto (artículo 25 RGPD), minimizando la recopilación de datos y respetando los derechos de los usuarios.

Artículo elaborado por Sandra López Fernández, directora de Regulación Digital de PwC Tax & Legal, Samanta Murillo Geiser, manager de Regulación Digital de PwC Tax & Legal y Jordi Miralbes Sales, associate de Regulación Digital de PwC Tax & Legal.

Contacta con nosotros

Fernando Fernández-Miranda

Socio responsable de NewLaw Pulse, PwC Tax & Legal

© 2016 - 2026 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.