Numerose Autorità di controllo privacy, tra cui anche il Garante italiano, nell’ambito del “Privacy Sweep” coordinato dal Global Privacy Enforcement Network (GPEN) concentreranno la propria attenzione sui cosiddetti dark patterns, ossia gli elementi dell’interfaccia grafica di siti e app strutturate in modo tale da persuadere l’utente a compiere scelte non consapevoli e in contrasto alle norme in materia di protezione dei dati personali.

Nell’ambito di questa iniziativa, concentrata in particolare tra fine gennaio e inizio febbraio 2024, le Autorità analizzeranno diversi siti e app in quest’ottica, alla ricerca di possibili violazioni, quali la scarsa chiarezza dei testi informativi o l’uso di impostazioni che condizionano le scelte degli utenti con effetti per questi negativi.

Cookie banner e dark pattern, arriva la “black list” di EDPB: ecco tutte le precisazioni

Dark patterns: un framework legale di riferimento

L’uso in ambito digitale di questi modelli di interfacce è potenzialmente idoneo a violare una serie di principi di fondamentale importanza previsti dal GDPR, tra cui anche liceità, correttezza e trasparenza del trattamento, privacy by design e privacy by default.

In alcuni casi, possono venire meno anche i requisiti del consenso, altro elemento essenziale della normativa data protection, in particolare con riferimento a iniziative connesse alla profilazione e al marketing.

Vista la diffusione sempre maggiore di tali configurazioni ingannevoli e l’impatto significativo per gli utenti, l’EDPB nel 2022 ha predisposto le proprie Linee Guida in materia, nelle quali ha individuato sei tipologie di deceptive patterns, così categorizzate: “overloading”, “skipping”, “stirring”, “obstructing”, “fickle” e “left in the dark”. Il documento ha un focus particolare sul mondo social, ma le indicazioni su come riconoscere e evitare questi errori possono applicarsi a ogni contesto digitale.

Le Linee Guida includono fra gli esempi di dark patterns i seguenti casi:

1. all’utente che voglia cancellare il proprio account vengono presentate solo le conseguenze negative derivanti da tale azione, facendo leva su aspetti emotivi connessi alla scelta (stirring);
2. gli interessati vengono limitati nella gestione dei propri dati, mediante l’introduzione di ostacoli che rendendo difficile o impossibile il controllo dell’utente (obstructing);
3. il design dell’interfaccia non è chiaro né coerente e ciò rende difficile all’utente l’accesso agli strumenti di controllo sui dati o sui consensi (fickle);
4. l’interfaccia è progettata fin dal principio in modo poco trasparente, così che gli interessati non siano messi in condizione di comprendere i trattamenti svolti (left in the dark).

Nell’ambito del programma di innovazione legislativa europea sul digitale, sono state introdotte regole specifiche sui dark patterns da parte del Data Services Act (DSA), il regolamento sul mercato unico dei servizi digitali, applicabile a partire dal 17 febbraio 2024.

Il considerando 67 del DSA chiarisce che i dark patterns consistono in “pratiche che distorcono o compromettono in misura rilevante, intenzionalmente o di fatto, la capacità dei destinatari del servizio di compiere scelte o decisioni autonome e informate” e che tali pratiche “possono essere utilizzate per convincere i destinatari del servizio ad adottare comportamenti indesiderati o decisioni indesiderate che abbiano conseguenze negative per loro”.

Il DSA – al fine di disciplinare questo fenomeno a tutela degli utenti digitali – impone regole chiare ai fornitori di piattaforme online, avendo introdotto il divieto di progettare, organizzare e gestire le loro interfacce in modo tale da:

1. ingannare o manipolare i destinatari dei loro servizi, o
2. materialmente falsare o compromettere la capacità degli utenti di prendere decisioni libere e informate.

Sanzioni delle Autorità europee

Recentemente, le azioni di contrasto delle Autorità privacy europee in questo ambito si sono intensificate.

Il Garante per la protezione dei dati personali lo scorso febbraio ha inflitto una sanzione pecuniaria da 300.000 euro a una società operante nel settore del web marketing per aver aggirato la volontà degli interessati, mediante l’adozione di interfacce grafiche ingannevoli.

In particolare, l’Autorità di controllo italiana ha rilevato che gli utenti del sito web in questione venivano persuasi a prestare il consenso al trattamento dei dati sia per finalità di marketing che per la comunicazione dei dati a terzi per comunicazioni promozionali.

Qualora uno dei box per i suddetti consensi non fosse stato flaggato, un pop-up avrebbe sollecitato la raccolta del consenso, aumentando in tal modo le chance della società di acquisizione del prezioso flag. Il comando per poter continuare la navigazione senza fornire ulteriori consensi, invece, risultava poco visibile.

Anche l’Autorità privacy spagnola lo scorso anno ha sanzionato il gestore di un sito web per aver implemento sul proprio sito i dark patterns che ricadono nelle categorie “overloading” e “skipping”, in violazione degli articoli 5 (i principi) e 13 (l’informativa) del GDPR.

Nel provvedimento è stato rilevato che:

1. durante la navigazione, agli utenti appariva tramite un pop-up l’elenco di 1.522 fornitori di servizi (di cui 338 preselezionati);
2. per opporsi, gli utenti dovevano disattivare ogni singola casella;
3. la grafica usata per i box di selezione era ingannevole, in quanto poco visibile (di colore grigio chiaro).

Un’ulteriore sanzione per l’uso di dark patterns è stata comminata dal Garante irlandese a una piattaforma di video sharing che spingeva gli utenti ad accettare, tanto durante la fase di registrazione del proprio account quanto al momento della pubblicazione di video, opzioni invasive per la privacy degli utenti.

L’Autorità ha contestato alla società la violazione sia del principio di trasparenza che di quello di correttezza.

Best practice per la progettazione di interfacce conformi

Le Linee Guida dell’EDPB, oltre a categorizzare i diversi tipi di dark patterns, forniscono utili indicazioni per la progettazione di interfacce conformi alla normativa data protection. Alcuni esempi di best practice:

1. fornire all’interessato una spiegazione chiara – e neutra, a livello di connotazione – delle conseguenze connesse all’attivazione e alla disattivazione delle impostazioni relative al trattamento dei dati personali;
2. evidenziare chiaramente le modifiche apportate alle informative privacy, rendendo accessibili sia il testo aggiornato che le versioni precedenti;
3. creare nel sito/app una sezione per l’esercizio dei diritti privacy facilmente fruibile.

Anche i risultati dell’indagine conoscitiva del Privacy Sweep – insieme alle norme e alle linee guida di riferimento – rappresenteranno un’utile guida per imprese e professionisti, ai fini della valutazione caso per caso delle soluzioni da progettare e adottare all’interno di piattaforme, social, e-commerce, siti e app, e nella ricerca di un punto di equilibro tra l’efficacia di queste configurazioni a livello business e il rispetto dei principi privacy e dei diritti degli interessati.

Queste considerazioni, naturalmente, si rendono necessarie per la gestione del rischio economico e reputazionale collegato alle possibili sanzioni, ma non solo.

Sempre di più, infatti, considerato l’aumento della sensibilità dei consumatori su questi temi, guadagna posizioni sul mercato l’operatore che sia in grado di offrire soluzioni che – per quanto riguarda la privacy e la protezione dei dati dei propri utenti – risultino affidabili e sicure.

@RIPRODUZIONE RISERVATA