Il Garante Privacy vieta le modalità ingannevoli nel marketing. “A seguito della sanzione del Garante inferta a Ediscom lo scorso febbraio”, commenta Anna Cataleta, Senior Partner P4I – Partners4Innovation, “si riapre inevitabilmente il tema di discussione riguardo ai trattamenti illeciti di dati personali perpetrati a fini di marketing. Nel caso di specie il tema di maggior rilievo risulta essere l’utilizzo cosiddetti dark pattern“.
“La parte più innovativa del provvedimento, rispetto al passato, è l’esplicito richiamo alla verifica dei dark pattern”, conferma Andrea Michinelli, avvocato ed esperto di privacy, ovvero “le tecniche decettive che possono essere attuate nel layout, nella User Experience eccetera”.
Ecco perché l’Authority ha multato una società e cosa ha scoperto nei dettagli.
Marketing e privacy: come acquisire e gestire banche dati clienti in modo conforme al GDPR
Indice degli argomenti
Garante privacy: stop all’uso di modalità ingannevoli nel marketing
Il Garante privacy ha multato una società dedita al marketing digitale. La digital company dovrà pagare una sanzione di 300mila euro. Maxi sanzione per il trattamento illecito di dati personali a scopo di marketing.
“Si può forse interpretare come un segnale pure il fatto che il Garante, cosa che non fa di frequente, sia arrivato a un calcolo della sanzione pecuniaria sul 2% del fatturato“, aggiunge Michinellli, “cioè la metà di quella massima applicabile a questo caso – nonostante avesse riconosciuto alcune attenuanti“. Infatti ha tenuto presente l’adozione di misure correttive.
Oltre al pagamento di una sanzione, l’Authority italiana ha lanciato un monito alla società, vietando una serie di trattamenti.
Entro il termine stabilito, la società ha definito la controversia pagando un importo pari alla metà della sanzione comminata.
“Il tema è complesso ed occorre riflettere sul fatto che l’avanzare sempre più rapido delle nuove tecnologie costringe spesso il legislatore a rincorrere piuttosto che a prevenire”, sottolinea Anna Cataleta: “Si pensi, in tal senso, alle Linee guida emanate dall’EDPB proprio sui dark pattern le quali, seppur di indubbio valore, sono pervenute molto in ritardo rispetto al sorgere del problema”.
“Dopo le linee guida EDPB (le autorità riunite europee) su tali fenomeni nei social e il report di gennaio su quelli applicati ai cookie (stilato da un’apposita task force)”, conferma Andrea Michinelli, “possiamo contare questo provvedimento nazionale”. “Se non erro, il primo che esplicitamente sposa, da parte del Garante, questo tipo di valutazione”, aggiunge l’esperto di privacy.
“Un segnale: ricordiamo che questo provvedimento è frutto, oltretutto, delle campagne ispettive semestrali del Garante“, prosegue Michinelli.
I dark pattern
Dalle verifiche emerse, l’Autorità ha ravvisato l’uso di modelli oscuri in alcuni dei portali appartenenti alla società. I Dark Pattern, infatti, sfruttavano interfacce grafiche create ad hoc ed altre modalità ingannevoli. L’obiettivo era quello di spingere gli utenti finali a dare il consenso al trattamento dei dati al fine di marketing e alla comunicazione dei dati a terzi, sempre per il medesimo scopo.
“I Dark Pattern”, spiega Anna Cataleta, sono “strumenti che spingono gli utenti ad un comportamento potenzialmente dannoso in merito al trattamento dei propri dati personali in quanto li influenzano a conferire più dati del necessario, in questo caso addirittura i dati di amici e parenti, attraverso stratagemmi nel contenuto o nell’interfaccia web”.
La digital company distribuiva in questo modo i messaggi ricevuti dalle società sue clienti (tutte di medio-grande dimensione e alcune molto note) agli utenti nel proprio database. L’obiettivo consiste nel fare campagne promozionali tramite sms, email e l’automazione di chiamate.
I dati nel database sono quelli direttamente raccolti dalla società tramite i portali online (di curiosità, news, concorsi a premi, ricette di cucina), ma mediante informazioni personali acquisite da broker di dati.
“Più che mai”, mette in guardia Michinelli, “i titolari dovrebbero effettuare una verifica altresì formale dell’implementazione di informative e consensi, lato cookie compreso – una sorta di “dark pattern assessment”, per evitare di invalidare i consensi acquisiti e compiere altri illeciti. Rientra nell’accountability imposta dal GDPR“.
Le altre violazioni
Il Garante Privacy ha scoperto anche altre gravi violazioni negli stessi portali. “A ciò si aggiungono anche altre violazioni che, nella vicenda, hanno sicuramente minor rilievo da un punto di vista sanzionatorio ma che certamente non hanno minor rilevanza da un punto di vista giuridico”, continua Anna Cataleta, “quali l’incapacità di dimostrare l’acquisizione del consenso per l’invio di messaggi promozionali e l’ormai sempre presente tema riguardante l’acquisizione di banche dati da terzi accompagnato dalle consuete violazioni che si verificano in tal senso, si pensi a questo riguardo ai provvedimenti che hanno coinvolto alcune tra le principali aziende operanti nel settore delle telecomunicazioni tra il 2020 e il 2022″.
Ulteriori violazioni riguardano il fatto che l’utente fosse costretto a rispondere alle abitudini di acquisto o inserire i dati di contatto (nome, email) di amici eventualmente interessati ai servizi forniti.
“Gli altri aspetti del provvedimento”, conferma l’avvocato Andrea Michinelli, “sono (purtroppo) più consueti, dato che concernono errori tipici sulla configurazione dei ruoli, sui consensi adoperati per una comunicazione multipla a più titolari, sulla gestione dei database, sebbene qui il Garante affronti in maniera più analitica le tipologie di contratti in voga nel settore, come quello di affiliazione“.
L’Autorità ha infatti anche riconosciuto come violazione l’invito a digitare su un link che portava ad un altro sito per il download un eBook. Nel sito i dati di profilo dell’utente risultavano già riconosciuti e già tutti spuntati i consensi privacy.
I consigli dell’Authority
Il Garante Privacy, infine, rammenta di eseguire verifiche quando si acquisiscono banche dati da terzi. Il suo pronunciamento riguarda la corretta ripartizione dei ruoli in merito al trattamento dei dati personali fra gli stakeholder, le parti commerciali della filiera del marketing digitale.
“Nel frattempo”, conclude Anna Cataleta, “il Garante ha emanato il nuovo Codice di condotta sulle attività di telemarketing, misura quanto mai necessaria in un contesto così dinamico e costantemente in evoluzione”.
