Le interfacce dei siti web per la raccolta del consenso privacy sono a volte disegnate in modo tale da influenzare le decisioni dell’utente in modo a sé sfavorevole. Si tratta di una pratica scorretta.
Cosa sono i dark pattern
Possiamo tradurre questa espressione come modelli oscuri e, nel contesto di cui parliamo, si usa per riferirsi alle interfacce di siti e applicazioni concepite in modo tale da portare gli utenti a scegliere determinate opzioni in modo involontario e indesiderato o prendere decisioni che non sono a loro favorevoli.
Ne parliamo qui al riguardo delle scelte in materia di privacy e quindi ai metodi di raccolta del consenso al trattamento dei dati personali.
Si fa riferimento, ad esempio, a quei casi in cui i pulsanti riguardanti l’espressione del consenso sono di colori e forme diverse o sono posizionati in punti diversi, in modo che appaia meno evidente l’opzione di negazione del consenso o a quei casi in cui è necessario consultare ulteriori pagine di sito o sezioni dell’app per poter negare il consenso al trattamento dei dati. Ancora, si pensi ai casi in cui il consenso per trattamenti non necessari e funzionali al servizio reso dal sito o dall’app (ad esempio per le finalità di marketing) viene invece comunicato in modo tale da apparire intrinsecamente legato alla fruizione del sito o dell’app, in modo che l’utente sia indotto a prestarlo.
Chi consulta il sito o l’app, pertanto, viene guidato verso scelte differenti da quelle che avrebbe potuto fare se le opzioni gli fossero state presentate in maniera corretta.
I recenti interventi sull’argomento
A maggio 2023 il Garante Europeo della Privacy (European Data Protection Board, EDPB) ha emanato delle Linee guida per riconoscere ed evitare i dark pattern nelle interfacce.
Il documento ne dà una definizione: sono considerati dark pattern le interfacce ed esperienze utente che inducono gli utilizzatori a compiere azioni indesiderate, non volute e a prendere decisioni potenzialmente dannose in merito al trattamento dei propri dati personali. I dark pattern mirano a influenzare il comportamento degli utenti e possono ostacolare la loro capacità di proteggere efficacemente i propri dati personali e di fare scelte consapevoli.
Indica poi in che modo essi violano il Regolamento Privacy. In particolare, essi sono contrari ai principi di liceità e correttezza (art. 5, par. 1, lett.a), di trasparenza, minimizzazione dei dati e accountability (art. 5, par. 1, lett.a, c e par. 2), di limitazione delle finalità di trattamento (art. 5, par. 1, lett. B); in alcuni casi violano le condizioni per il consenso stabilite dall’art. 7, non rispettano contenuti e modi della resa delle informazioni di cui all’art. 12, violano i diritti dell’interessato (art. 16 e seguenti).
Le Linee guida forniscono poi diversi esempi di dark pattern e danno indicazioni per adottare buone pratiche di raccolta dei consensi e corretto trattamento dei dati.
Le Linee guida, quindi, sono un utile strumento da consultare per capire come è opportuno progettare la raccolta dei dati e del consenso nel proprio sito o app. Sono utili anche per gli utenti, perché permettono loro di essere consapevoli della correttezza o mancanza di correttezza dei siti e delle piattaforme che frequentano.
Il tema dei dark pattern era già emerso recentemente grazie a una pronuncia del Garante Privacy italiano del 23 febbraio 2023, con la quale il Garante ha sanzionato una società per il trattamento dei dati personali nella gestione delle attività di marketing.
I motivi della sanzione sono più d’uno (obbligo per gli utenti di fornire informazioni di abitudini d’acquisto, preselezione delle caselle per l’espressione del consenso al trattamento dei dati, mancata resa delle informazioni al momento della raccolta dei dati, ecc.) ma tra essi vi è appunto l’utilizzo di interfacce grafiche potenzialmente ingannevoli, “appositamente costruite per aggirare la volontà dell’interessato in merito alla raccolta del consenso”, in particolare per le finalità di marketing.
Il Garante ha quindi ritenuto che “un consenso raccolto con tali modalità, volutamente progettate per eludere le norme, destasse molte perplessità in ordine alla libertà e alla consapevolezza con cui l’interessato può esprimere la propria volontà e pertanto non poteva essere considerato lecito” e ha richiamato a sua volta la violazione degli art. 5, par. 1, lett. a), 7 par. 2 e 25.
Ancor prima, a gennaio 2023, l’argomento era stato affrontato dalla Task Force dei Garanti Privacy UE nel Rapporto sui cookie banner, rapporto in cui ha fornito dei consigli per l’adozione di banner rispettosi delle norme e dei diritti degli utenti.
La task force ha raccomandato anzitutto di utilizzare banner che non inducano in errore l’utente.
Quindi ha suggerito innanzitutto che nella prima schermata siano presenti entrambe le opzioni per il consenso e per il rifiuto; ha invitato poi all’uso di pulsanti e caratteri della stessa dimensione per ogni opzione, che offrano stessa facilità di lettura e che siano visibili allo stesso modo; ha raccomandato anche un corretto uso di colore e contrasto tra i pulsanti e i caratteri di scrittura. Ha poi chiarito che deve essere evitata la preselezione delle caselle, con particolare riferimento alla seconda schermata di personalizzazione dei consensi ai cookies, così come deve essere evitato di definire essenziali i cookies che non lo sono.
Cosa fare
Chi gestisce siti e applicazioni è invitato a interrogarsi rispetto all’adeguatezza della propria interfaccia di raccolta del consenso al trattamento dei dati, anche in materia di cookie.
Nel caso in cui riscontri di avere adottato sistemi inappropriati, è opportuno che provveda a modificarli in modo che siano conformi alla normativa e rispettosi dei diritti degli utenti.
Questa attività richiede di coinvolgere una competenza di natura legale: ove non presente in azienda, è necessario rivolgersi a un consulente che possa dialogare con il web designer, in modo che individuino assieme le corrette soluzioni per la raccolta dei dati e del consenso al loro trattamento.
Foto di Susan Q Yin.
Il contenuto di questo documento ha mero scopo informativo e non costituisce parere professionale sul tema trattato.
Per ulteriori informazioni ed approfondimenti contattateci all’indirizzo studioATtommasinimartinelli.it.
È consentita la diffusione parziale purché ne sia citata la fonte.
