Em dezembro de 2025, o EDPB publicou, para consulta pública, as Recomendações 02/2025 com orientações sobre a exigência de contas obrigatórias como condição para acesso a serviços digitais. O documento responde a práticas cada vez mais comuns no mercado digital e busca harmonizar a aplicação do GDPR entre os países da União Europeia.
De acordo com o EDPB, exigir que o usuário crie uma conta não é ilegal por si só. No entanto, a organização responsável pelo serviço deve demonstrar que essa exigência é necessária para o funcionamento da plataforma ou para a entrega do serviço. Argumentos como conveniência operacional, interesse comercial genérico ou coleta ampliada de dados não são considerados justificativas suficientes.
As recomendações alertam para riscos frequentes associados às contas obrigatórias, como coleta excessiva de dados pessoais, rastreamento contínuo do comportamento do usuário, criação de perfis sem base adequada e restrições indevidas ao acesso a informações ou serviços. Sempre que possível, devem ser consideradas alternativas menos invasivas, como acesso sem conta, uso anônimo ou com dados limitados.
O EDPB também reforça deveres de transparência. Os usuários precisam ser informados de forma clara sobre por que a conta é exigida, quais dados serão coletados, por quanto tempo serão armazenados e quais direitos podem exercer. Em situações em que a exigência de conta possa gerar riscos elevados, o documento recomenda a realização de Avaliação de Impacto à Proteção de Dados (DPIA).
As recomendações reforçam uma tendência regulatória europeia de analisar escolhas de produto, arquitetura e experiência do usuário sob a ótica da proteção de dados desde a fase de concepção.