• Obligativitatea creării unui cont la cumpărăturile online nu este justificată pentru vânzări unice.
• Pentru serviciile prin abonament, contul online poate fi justificat prin necesitatea autentificării recurente, urmăririi livrărilor și modificării detaliilor abonamentului.
• Verificarea unui statut special (profesional, student) nu justifică crearea unui cont permanent, putându-se realiza prin formulare securizate cu ștergerea datelor după validare.
• Crearea unui cont nu poate fi folosită pentru a obține acordul implicit pentru prelucrări adiționale (newsletter, recomandări personalizate), acestea necesitând consimțământ separat.

EDPB a emis recent o recomandare prin care clarifică în ce situații comercianții online pot solicita în mod legal crearea obligatorie a unui cont de utilizator atunci când consumatorii vor să acceseze oferte sau să cumpere produse ori servicii.

Recomandarea pornește de la constatarea că obligativitatea creării unui cont online a devenit o practică răspândită, dar în majoritatea situațiilor aceasta nu este necesară pentru executarea unei achiziții. Pe site-urile unde utilizatorul rămâne autentificat permanent, operatorii pot urmări mult mai ușor comportamentul online, inclusiv istoricul de navigare și achizițiile, ceea ce, în lipsa unui temei juridic adecvat, încalcă GDPR.

Potrivit EDPB, obligativitatea contului poate amplifica riscurile de acces fraudulos, întrucât mulți utilizatori folosesc aceeași parolă pentru mai multe servicii, iar mecanismele de resetare prin e-mail pot fi exploatate dacă adresa a fost deja compromisă.

Mai mult, o astfel de impunere poate duce la colectarea unor date care nu sunt necesare pentru finalizarea achiziției și la păstrarea lor în conturi neutilizate, ceea ce crește expunerea la breșe de securitate și la acces neautorizat.

Vânzările unice nu necesită un cont de utilizator

În ceea ce privește executarea contractului, EDPB arată că pentru o vânzare unică nu este necesar un cont, deoarece datele cerute pentru livrare pot fi colectate direct în procesul de finalizare a comenzii. 

Spre exemplu, un comerciant care vinde haine și accesorii nu poate condiționa cumpărarea unui produs de crearea unui cont, întrucât achiziția poate fi realizată la fel de bine în regim de „invitat”.

Situația se schimbă atunci când discutăm despre servicii oferite prin abonament. Într-un model în care clienții primesc lunar produse la domiciliu, contul devine un instrument necesar, pentru că permite autentificarea recurentă, urmărirea livrărilor și modificarea detaliilor abonamentului. 

În astfel de situații, crearea unui cont poate fi justificată în temeiul art. 6 alin. (1) lit. (b) din GDPR, întrucât este necesară pentru utilizarea efectivă a serviciului.

În cazul achizițiilor condiționate de un anumit statut, precum cel profesional sau cel de student, EDPB arată că impunerea contului nu este justificată.  Operatorul poate verifica statutul printr-un formular securizat, iar datele pot fi șterse imediat după validarea achiziției.

De exemplu, o companie care comercializează echipamente medicale exclusiv profesioniștilor autorizați poate verifica eligibilitatea printr-un formular securizat în care utilizatorul încarcă documentele necesare, fără a fi nevoie de un cont permanent. Datele transmise sunt folosite doar pentru confirmarea statutului și pot fi șterse imediat după finalizarea verificării.

Recomandarea explică și situațiile în care comercianții susțin că, odată cu achiziția, utilizatorul ar accepta automat și un contract separat prin care ar primi recomandări personalizate de produse (n.r. newsletter). EDPB arată că o astfel de interpretare nu este valabilă.

Dacă utilizatorul este invitat să își creeze un cont abia în ultimul pas al cumpărării, acesta nu poate fi considerat că a acceptat în mod conștient și explicit un contract diferit de cel de vânzare.

În aceste condiții, temeiul executării contractului nu poate fi folosit pentru a justifica prelucrarea datelor în scopul recomandărilor personalizate.

Într-un alt articol publicat pe avocatnet.ro este explicat în detaliu cum trebuie colectate și prelucrate first party data (n.r. informațiile pe care utilizatorii le oferă direct unei platforme digitale, de exemplu, atunci când își creează un cont), care este temeiul juridic corect pentru fiecare situație și ce obligații au operatorii atunci când folosesc aceste informații în scopuri de marketing sau comunicare comercială.

Majoritatea justificărilor invocate de comercianți nu susțin obligativitatea unui cont

În plus, EDPB clarifică și faptul că serviciile post-vânzare, precum retururile, reclamațiile sau exercitarea drepturilor consumatorilor, pot fi furnizate fără cont online.

Comerciantul poate identifica utilizatorul prin e-mail sau telefon, iar obligațiile legale din dreptul consumatorilor și din RGPD nu pot fi condiționate de existența unui cont.

În ceea ce privește interesul legitim, EDPB arată că scopuri precum urmărirea comenzii, modificarea detaliilor înainte de expediere, fidelizarea clienților sau facilitarea comenzilor viitoare nu pot justifica impunerea unui cont.

Toate aceste operațiuni pot fi realizate prin metode mai puțin intruzive, de exemplu prin linkuri unice trimise pe e-mail, prin contactarea serviciului clienți sau prin opțiuni de personalizare la care utilizatorul aderă în mod voluntar. 

Mai mult,  EDPB  arată că nici argumentul legat de prevenirea fraudelor nu justifică impunerea unui cont. Fraudele pot fi depistate și fără păstrarea datelor într-un cont obligatoriu, iar istoricul utilizatorului nu oferă oricum informații relevante atunci când contul este folosit pentru prima dată.

Util: Un specialist explică cum trebuie colectate corect datele prin cookies, potrivit regulilor GDPR

În majoritatea situațiilor, cea mai conformă soluție cu GDPR este oferirea unei opțiuni, respectiv, crearea voluntară a unui cont sau achiziția ca „invitat”. 

Modul „invitat” este considerat varianta care asigură protecția datelor în mod implicit și prin proiectare, evitând stocarea inutilă a datelor și reducând riscurile pentru utilizatori. Operatorul trebuie să explice clar ce implică fiecare opțiune și să nu dezavantajeze utilizatorii care aleg să nu creeze un cont.

Astfel, obligativitatea conturilor online este legal posibilă doar în situații strict delimitate, precum abonamentele sau accesul la comunități închise de membri. În restul cazurilor, comercianții trebuie să permită achiziția fără cont și să respecte principiile transparenței, minimizării și limitării stocării datelor.