La pubblicazione delle Linee Guida EDPB sul consenso al trattamento dei dati offre lo spunto per approfondire il tema di come spesso le disposizioni sul trattamento dei dati personali, in particolare quelle legate al consenso, vengano aggirate, soprattutto dai siti internet, attraverso l’utilizzo dei cosiddetti dark pattern, cioè elementi dell’interfaccia grafica il cui scopo è quello di portare l’utente a compiere azioni non desiderate o ad eseguire procedure talmente complesse da scoraggiare l’utente da qualsiasi controllo effettivo sui suoi dati personali.
I nuovi strumenti tecnologici e in particolare la rete internet hanno un ruolo sempre più importante nella vita delle persone e nella società. Tra gli utenti, la consapevolezza del fatto che l’utilizzo di queste tecnologie può mettere a serio rischio i dati personali è forse diffusa, ma ad essa raramente segue un impegno attivo per cercare di mantenere un controllo su quali dati vengono trattati e come. Ancora meno sono poi quelli che riescono ad avere un minimo di successo nell’esercizio di tale controllo.
I fattori in gioco sono certamente molti, ma esistono diverse accortezze tecniche che possono fornire un valido aiuto nella protezione “online” dei propri dati personali. Allo stesso tempo, vi è anche un utile strumento normativo, il GDPR, che cerca di fornire sia una protezione maggiore contro quei comportamenti lesivi della riservatezza delle persone sia importanti princìpi guida da seguire già in fase di progettazione e realizzazione di un servizio.
La misura della garanzia, anche online, di un diritto umano fondamentale come quello alla riservatezza[1] non dipende perciò solo dal quadro giuridico esistente e dall’impegno ad un comportamento responsabile da parte del soggetto cui i dati si riferiscono (il soggetto interessato), ma anche dalle caratteristiche di progettazione del servizio e dalla conformità sostanziale dello stesso con i princìpi di data protection.
Una corretta progettazione ed elaborazione degli strumenti tecnologici dovrebbero infatti porre al centro l’uomo (human centered) e la tutela dei suoi diritti, compreso quello alla riservatezza dei dati personali[2], garantendo il rispetto sostanziale di princìpi anche etici oltre che della normativa vigente.
In questa sede ci si vuole soffermare su alcuni princìpi previsti dal GDPR che si pongono come importanti punti di riferimento per ogni Titolare del trattamento dei dati già nella fase di progettazione e realizzazione di un qualsiasi servizio per l’utente, soprattutto online. Si vuole poi porre l’accento su determinate strategie, attuate proprio attraverso i dark pattern, che, pur apparendo (forse a prima vista) formalmente conformi alla normativa privacy, in realtà si sostanziano in comportamenti lesivi del diritto alla riservatezza.
Per una piena compliance alla normativa privacy è infatti importante che già in fase di progettazione si tengano in particolare considerazione elementi che consentono all’utente di avere una effettiva consapevolezza ed un pieno controllo[3] delle modalità del trattamento e della qualità dei dati oggetto del trattamento stesso, fornendo all’utente la possibilità reale di intervenire attraverso l’esercizio dei diritti ad esso riconosciuti dalla normativa vigente.
Corretta informazione e pieno controllo sulla qualità dei dati trattati e sulle modalità del trattamento sono infatti elementi essenziali per garantire un’effettiva ed efficace protezione dei dati personali.
Tale protezione nell’ambito dei servizi tecnologici inizia già con una corretta progettazione dell’interfaccia utente (o UI, User Interface), ossia con la corretta progettazione di ciò che si frappone tra una macchina e un utente, consentendo l’interazione reciproca e la vita online e rendendo più intuitiva e scorrevole la navigazione e l’utilizzo di servizi.
Attraverso una attenta progettazione dell’interfaccia utente, infatti, è possibile incoraggiare o scoraggiare gli utenti dall’esercizio dei propri diritti, anche in materia di privacy, od orientare le loro scelte verso una determinata direzione di interesse per il fornitore del servizio.
Indice degli argomenti
Cosa sono i dark pattern
Non è raro che concetti provenienti dai settori dell’economia comportamentale e della psicologia vengano utilizzati in fase di progettazione o realizzazione di un’interfaccia utente anche al fine di guidare (o, per meglio dire, “spingere”) gli utenti ad adottare scelte e decisioni, spesso inconsapevoli e non basate su un criterio razionale, meno “amiche” della riservatezza degli utenti stessi.
In questo contesto si inseriscono i c.d. dark pattern, ossia delle scelte adottate nel design delle interfacce con lo scopo di spingere gli utenti a compiere azioni che altrimenti non avrebbero svolto o di rendere più difficile il compimento di altre azioni sfavorevoli per il fornitore del servizio o di nascondere all’utente informazioni (ad es. relative ai dati personali) in modo da carpirne occultamente il consenso per il trattamento.
Si vedrà più avanti, ma già si intuisce, come una tale attitudine a manipolare gli utenti, oltre a porre dubbi sul piano etico, si pone in contrasto con i valori europei e non in linea con i princìpi e le norme previste dal GDPR[4], esponendo così il Titolare del trattamento alle sanzioni previste.
In particolare, con l’espressione dark pattern, neologismo coniato dallo user experience designer Harry Brignull, si fa riferimento a quelle interfacce utenti o percorsi di interazione con un servizio appositamente progettati per guidare l’utente finale verso comportamenti da questo non realmente desiderati[5].
Ogni utente del web ha certamente avuto una più o meno consapevole esperienza con i dark pattern.
Accade frequentemente, ad esempio, che volendo intervenire sulle impostazioni dei cookie di un determinato sito web per limitarne l’utilizzo a quelli strettamente necessari, ci si ritrovi a dover navigare tra una moltitudine di pagine con l’unico risultato che, data l’inesperienza, l’impazienza e la fretta dell’utente medio, si è spinti ad accettare un utilizzo anche di quei cookie originariamente non voluti.
Per la realizzazione dei dark pattern si utilizzano quindi studi di scienza cognitiva e di abitudini del comportamento umano allo scopo di portare benefìci esclusivi all’azienda che rende il servizio, come ad esempio un temporaneo incremento di fatturato o un aumento degli iscritti o, per quanto qui interessa, una raccolta di dati personali per i quali difficilmente l’utente avrebbe prestato un consenso libero e consapevole.
Non è quindi infrequente che il pessimo design di un sito web sia, in realtà, il risultato di uno studio che mira a sfruttare i c.d. bias cognitivi degli utenti per il profitto del fornitore del servizio.
Cosa sono i bias cognitivi
I bias cognitivi sono veri e propri errori “semi-automatici” del pensiero in cui il cervello umano incorre facilmente, influenzando le decisioni e i giudizi di ciascuno. Descritti nel 1974 da Tversky e Kahneman[6], i bias cognitivi sono errori a cui tutti gli esseri umani sono soggetti, indipendentemente dal livello culturale e di istruzione. Di fronte a scelte, decisioni o problemi, la mente umana tende, infatti, ad utilizzare soluzioni euristiche per ricercare una risposta efficace, ma spesso approssimativa e soggetta a margine d’errore.
I bias sono quindi distorsioni cognitive automatiche attraverso le quali la mente opera sui dati di partenza per arrivare a formulare pensieri, idee, giudizi, istruzioni, critiche, desideri e, conseguentemente, azioni sfruttando il desiderio inconscio di ciascun essere umano di essere obiettivo e logico.
Questi “errori” del pensiero sono, appunto, i bias e sono spesso il risultato del tentativo di semplificare l’elaborazione delle informazioni portando conseguentemente l’essere umano ad adottare scelte errate e a dare giudizi sbagliati.
Le pressioni sociali, le motivazioni individuali, le emozioni e i limiti della capacità della mente di elaborare le informazioni, possono contribuire a questo tipo di errori.
Bias cognitivi e dark pattern
I bias cognitivi, come sopra sinteticamente descritti, sono utilizzati in correlazione proprio con i dark pattern al fine di spingere gli utenti di un servizio verso decisioni o scelte apparentemente logiche ed obiettive, ma, in realtà, fortemente condizionate.
Un esempio, tra i più frequenti, di sfruttamento dei bias cognitivi si ha quando un prodotto o un servizio viene pubblicizzato a prezzo scontato, ma solo in quantità ridotta e/o per un periodo di tempo molto limitato. In tal modo si vuole “mettere fretta” al consumatore per spingerlo ad un acquisto non ponderato e probabilmente inutile.
Un altro esempio di dark pattern si ha quando un sito internet facilita l’iscrizione degli utenti ad un servizio, ma rende estremamente difficile la cancellazione dallo stesso, nascondendo le indicazioni sulle modalità di cancellazione dell’account, rendendo l’iter lungo e non intuitivo e spingendo così l’utente a desistere.
Un altro esempio di dark pattern si ha quando all’utente viene chiesto l’inserimento di informazioni personali in realtà non necessarie per l’utilizzo del servizio, inducendo nell’utente l’errata convinzione che detto inserimento sia in realtà obbligatorio.
Si immagini che dopo aver inserito username e password per l’accesso al servizio desiderato e dopo aver premuto sul pulsante “AVANTI”, compaia un’altra schermata nella quale si richiede all’utente, ad esempio, di sincronizzare i propri contatti o di indicare il proprio indirizzo e-mail per l’iscrizione ad una mailing list o il numero di telefono.
L’utente viene indotto ad accettare la sincronizzazione dei contatti o ad inserire il proprio dato nell’apposito spazio e a cliccare sul pulsante “PROSEGUI”, poiché, in assenza di chiare informazioni al riguardo, ritiene erroneamente che senza questo passaggio non potrà utilizzare il servizio.
Ciò che però non viene detto con chiarezza all’utente è che premendo sul pulsante “PROSEGUI” senza aver inserito il proprio indirizzo e-mail o accettato la sincronizzazione sarà ugualmente possibile accedere.
In altri casi, invece, il metodo per “saltare” l’inserimento dell’informazione non necessaria è rappresentato non come pulsante alternativo, bensì come una semplice “X” per la chiusura della schermata (o “salta” o “ignora”), ma posta in luogo poco evidente e di un colore non leggibile (es. un grigio molto chiaro su sfondo bianco).
In tal modo il sistema induce gli utenti a fornire dati aggiuntivi e/o informazioni non necessarie che altrimenti difficilmente sarebbero state concesse.
Di fronte ad una contestazione circa la scorrettezza di tali “strategie”, si potrebbe rispondere che il modo per evitare la comunicazione del dato non necessario esiste (la “X” è presente o è possibile premere su “PROSEGUI” senza aver prima inserito l’indirizzo e-mail). La tutela dell’utente è quindi formalmente garantita. Tuttavia, poiché l’opzione non è chiaramente visibile e/o intuibile, si pone un problema di tutela effettiva e non solo formale dell’utente, specie se tali meccanismi vengono utilizzati per carpire dati personali.
In ambito privacy non è infrequente imbattersi in dark pattern soprattutto online. Molti siti internet, infatti, raccolgono dati non necessari dei propri utenti anche al fine di profilarli o di comunicare (o vendere) tali dati a soggetti terzi. Spesso gli utenti sono avvisati attraverso “banner” (più o meno visibili), ma cercare di intervenire per negare espressamente il consenso al trattamento o, più semplicemente, per avere informazioni, comporta in molti casi un procedimento così lungo e complicato che tutelare realmente la propria privacy diventa estremamente difficile.
La Forbrukerrådet[7], organizzazione norvegese che tutela i consumatori, ha recentemente pubblicato un interessante studio nel quale viene dimostrato come nelle impostazioni di default di alcuni siti internet i dark pattern sono usati per “spingere” gli utenti verso opzioni maggiormente invadenti per la loro privacy.
Lo studio citato include tra gli elementi che manipolano gli utenti in modo da spingerli a cedere i propri dati con l’illusione del controllo, l’utilizzo di impostazioni di default, l’uso di parole fuorvianti, ma anche l’occultamento di opzioni più “privacy-friendly” e la scelta di “architetture” dei siti internet che richiedono all’utente uno sforzo maggiore per l’adozione di misure di protezione dei propri dati personali, scoraggiando così il compimento di tali azioni.
Non è infrequente, inoltre, secondo lo studio norvegese, che le impostazioni relative alla privacy vengano deliberatamente oscurate o rese difficilmente accessibili in modo da rendere ignari gli utenti della loro esistenza, lasciando agli stessi la mera illusione di un controllo effettivo su quali dati vengono condivisi e su come gli stessi verranno trattati.
Per avere un’idea della rilevanza del problema si consideri che in un recente studio[8] sono state analizzate circa 1.000 CMPs (Consent management platforms)[9] e si è rilevato che almeno il 57,4% di queste ha usato dark pattern per spingere gli utenti ad adottare opzioni meno “amiche della privacy”. Il 95,8% di queste non prevede poi alcuna possibilità di scelta in merito al consenso sul trattamento dei propri dati personali o prevede solo la possibilità di accettare il trattamento e non di “adeguarlo” alla reale volontà dell’utente.
Nello studio citato si è inoltre dimostrato che il tasso di accettazione delle opzioni privacy sale dallo 0,16% all’83,55% nel caso in cui le stesse siano già preselezionate dal fornitore del servizio.
Dark pattern e GDPR
Al di là dell’aspetto etico, ci si chiede però se un mero rispetto formale della normativa privacy, come sopra esemplificato, sia sufficiente o se non sia invece necessario un rispetto più sostanziale dei princìpi previsti dalle disposizioni in materia.
Negli Stati Uniti è in discussione una proposta di legge che ha l’obiettivo di proibire a chi opera online di progettare, modificare o manipolare un’interfaccia utente con lo scopo o l’effetto sostanziale di oscurare, sovvertire o compromettere l’autonomia, il processo decisionale o la scelta dell’utente di dare il proprio consenso o i suoi dati personali[10]. In Europa, invece, grazie al GDPR, già è possibile individuare e qualificare alcuni dark pattern come non compliant. Tra questi vi è certamente l’utilizzo di impostazioni di default invadenti per la privacy, l’occultamento di opzioni più “privacy friendly” e la previsione di percorsi eccessivamente complessi per l’utente per poter intervenire sul trattamento dei propri dati.
Il GDPR, infatti, richiede che vengano rispettati alcuni fondamentali princìpi nel trattamento dei dati personali e che tale rispetto non sia meramente formale.
Tra questi princìpi vi è certamente quello che impone una limitazione del trattamento alle sole finalità dichiarate. I dati personali, infatti, devono essere raccolti per uno scopo chiaro e non devono essere utilizzati per scopi incompatibili e diversi da quelli comunicati. È inoltre necessario che venga rispettato il principio di minimizzazione, secondo il quale devono essere trattati solamente quei dati effettivamente necessari per il raggiungimento delle finalità del trattamento.
A parere di chi scrive, però, particolare rilevanza per il tema qui trattato ha il rispetto di ulteriori princìpi previsti dal Regolamento europeo, quali il principio di trasparenza e i princìpi di privacy by design e privacy by default previsti dall’art. 25 del GDPR, oltre a quelli dettati in materia di consenso.
Analizzandoli più da vicino sarà infatti da subito evidente come gli stessi mal si concilino con strumenti e strategie, quali i dark pattern, volti a spingere gli utenti verso scelte meno rispettose della loro privacy e/o comunque meno consapevoli.
Il principio di trasparenza
Il principio di trasparenza, in particolare, è uno dei princìpi cardine del diritto europeo in materia di protezione dei dati personali.
L’art. 5 del GDPR prevede infatti che i dati siano «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)».
Il principio di trasparenza viene esplicitato anche nel Considerando 39 del Regolamento dove si afferma che «dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati».
Il Considerando in esame precisa poi che «il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. (…). È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento».
Nel successivo Considerando n. 58 si specifica inoltre che «il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione».
I principi alla base di un trattamento corretto e trasparente implicano quindi che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità (Considerando n. 60) e che il titolare del trattamento fornisca all’interessato tutte le eventuali ulteriori informazioni necessarie, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati.
In caso di dati personali raccolti direttamente presso l’interessato, questi dovrebbe inoltre essere informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli.
Nella direzione sin qui illustrata si muove anche la previsione di cui all’art. 12 del Regolamento, per la quale il Titolare del trattamento ha l’obbligo di adottare misure volte a fornire all’interessato informazioni più trasparenti, anche con riferimento alla comunicazione delle modalità previste per l’esercizio dei diritti di cui agli artt. 15-22 del GDPR.
In particolare, l’art. 12 prevede che «il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni (…) relative al trattamento in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori».
Per garantire la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali, spiega il Considerando n. 78, e il rispetto effettivo delle disposizioni del Regolamento «il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i princìpi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. Tali misure potrebbero consistere, tra l’altro, nel[l’] (…) offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, [e nel] consentire all’interessato di controllare il trattamento dei dati».
In particolare «in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati».
Gli aspetti qui elencati sono stati oggetto di chiarimenti più specifici da parte del Gruppo dell’Articolo 29 per la tutela dei dati (Article 29 Working Party o WP29)[11] nelle Linee Guida sulla Trasparenza, adottate il 29 novembre 2017.
Secondo il WP29 il requisito del linguaggio «in forma concisa, trasparente, intellegibile e facilmente accessibile» è rispettato se i titolari presentano le informazioni e le comunicazioni in modo efficiente e succinto, con informative relative alla privacy chiaramente differenziate rispetto alle altre informative di tipo commerciale.
Le informative dovrebbero poi essere “intellegibili”, ossia facilmente comprensibili dall’utente medio, e, quindi, utilizzare un linguaggio chiaro e semplice ed evitare frasi e strutture linguistiche complesse o astratte o rese con termini ambivalenti.
Il soggetto interessato dovrebbe infine essere in grado di determinare in anticipo la portata e le conseguenze del trattamento e non essere “colto di sorpresa” su quali siano i dati effettivamente trattati.
Come detto, le informazioni devono poi essere “facilmente accessibili” e all’interessato non dovrebbe essere richiesto uno sforzo eccessivo per ricercarle. L’accesso, soprattutto online, alla sezione privacy dovrebbe essere immediatamente attuabile e non prevedere lo scorrimento di una grande quantità di testi o di pagine. Dovrebbe quindi essere immediatamente evidente agli interessati dove e come queste informazioni possono essere recuperate.
Il WP29 afferma poi in modo chiaro (e sotto questo aspetto sembra fare riferimento ai dark pattern) che il posizionamento delle informazioni relative alla privacy o la combinazione di colori che rendono meno evidente un testo o un collegamento o che sono difficili da trovare su una pagina web non sono considerati come facilmente accessibili[12] ai sensi del Regolamento europeo.
Negli elementi rappresentati si articola quindi il principio della trasparenza quale uno dei princìpi cardine della protezione dei dati personali.
Trasparenza significa rendere effettiva la conoscenza delle informazioni e il connesso controllo su come i dati personali vengono trattati, garantendo così in modo effettivo la libertà di colui al quale i dati fanno riferimento.
I princìpi di privacy by design e privacy by default
Tra gli ulteriori princìpi da considerare nella valutazione dei dark pattern in ambito privacy è poi necessario fare menzione dei princìpi di privacy by design e di privacy by default. Detti princìpi sono stati introdotti nel GDPR all’art. 25, il quale impone l’obbligo di avviare un progetto prevedendo da subito strumenti, corrette impostazioni e adeguate misure tecniche ed organizzative a tutela dei dati personali.
L’art. 25 del GDPR prevede che «sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate (…) volte ad attuare in modo efficace i princìpi di protezione dei dati (…) e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento…».
Sinteticamente, con l’espressione “data protection by design” si intende, quindi, l’obbligo in capo al Titolare di mettere in atto misure tecniche ed organizzative adeguate per integrare nel trattamento le necessarie garanzie volte a tutelare i diritti degli interessati. Il Titolare dovrà quindi adottare misure tecniche ed organizzative che spingano verso una maggiore riservatezza del dato[13].
I sette princìpi su cui si basa la privacy by design sono stati elaborati da Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada), e consistono[14]:
- nel prevenire e non correggere: i problemi vanno cioè valutati nella fase di progettazione al fine di prevenire il verificarsi dei rischi legati alla privacy;
- nella privacy come impostazione di default: il che significa offrire il massimo grado di privacy automaticamente, quindi, anche in assenza di un’azione da parte dell’individuo interessato;
- nell’incorporazione della privacy nel progetto: la progettazione e l’architettura dei progetti IT e delle pratiche aziendali devono comprendere anche la privacy quale elemento essenziale e come parte integrante del sistema;
- nella garanzia di massima funzionalità;
- nella garanzia di sicurezza durante tutto il ciclo del prodotto o del servizio offerto;
- nella visibilità e trasparenza del trattamento in tutte le fasi operative in modo che sia sempre verificabile la tutela dei dati;
- nella centralità dell’utente, il che significa rispetto dei diritti ad esso riconosciuti e garanzia di tempestive e chiare risposte alle sue richieste di accesso.
Per “data protection by default”, invece, si intende che la protezione di un trattamento di dati personali è garantita da impostazioni predefinite (di “default”)[15], affinché gli utenti ricevano un elevato livello di protezione dei propri dati personali anche se non si attivano autonomamente.
Nelle Linee Guida 4/2019 dell’European Data Protection Board (EDPB)[16] si precisa che scopo dell’art. 25 è assicurare un’effettiva data protection by design e by default. Il che significa che i Titolari devono essere in grado di dimostrare di aver posto in essere misure appropriate ed effettive in tutti gli stadi dell’attività di trattamento e che il Titolare del trattamento sia sempre chiaro e aperto con l’interessato su come vengono raccolti, usati e condivisi i suoi dati personali, rendendo possibile per l’interessato capire e se necessario fare uso dei propri diritti previsti agli artt. 15-22.
Questi princìpi mirano quindi a salvaguardare la privacy e i dati personali delle persone nella misura effettivamente necessaria. I dark pattern sono invece un modo per eludere questi princìpi spingendo i consumatori ad ignorare la loro privacy e a fornire più dati personali del necessario.
Dall’analisi di questi princìpi emerge chiaramente che la protezione dei dati personali cui mira il GDPR non è una protezione solo formale, ma, ponendo l’utente al centro, deve mirare ad una tutela effettiva da un punto di vista sostanziale. Non è quindi sufficiente progettare un servizio che solo formalmente sia in linea con il GDPR, mentre è necessario che nella sostanza venga garantito un effettivo rispetto dei princìpi che il Regolamento europeo esprime e che venga garantita all’interessato un’effettiva e piena conoscenza su quali dati personali vengono trattati e in che modo.
Percorsi e strategie quali i dark pattern che mirano invece ad indirizzare gli utenti verso opzioni più invasive della loro privacy o a scoraggiare l’esercizio di un controllo sul trattamento dei dati personali non sono quindi in linea con il GDPR, pur se rispettosi degli aspetti formali in esso previsti.
Dark pattern e consenso dell’interessato
C’è poi un ultimo aspetto da tenere in considerazione per un piena compliance con il GDPR. Molti siti web o servizi digitali, infatti, si basano sul consenso dell’utente finale per l’elaborazione dei dati personali.
Secondo il Regolamento europeo sulla protezione dei dati personali, il consenso dell’interessato è una «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» (art. 4).
Il successivo art. 7 prevede poi che la richiesta di consenso deve essere presentata in modo chiaramente distinguibile, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Viene poi aggiunto che nessuna dichiarazione relativa al consenso che costituisca una violazione del Regolamento è da considerarsi vincolante.
Il consenso, secondo il Considerando 32, «dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano…».
Viene poi aggiunto che «se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso».
Nelle recenti Linee Guida in materia di consenso[17], adottate dall’EDPB lo scorso 4 maggio, si afferma chiaramente, come regola generale, che se al soggetto interessato non è offerta una reale possibilità di scelta nel decidere se fornire o no il proprio consenso al trattamento o se di fatto lo si obbliga a prestare il proprio consenso, allora tale consenso non sarà considerato come valido, poiché non realmente libero.
In generale, aggiunge l’EDPB, qualsiasi elemento di pressione o influenza inappropriata sul soggetto cui appartengono i dati, se idoneo ad impedire al soggetto stesso un libero esercizio della propria volontà rende il consenso non validamente fornito.
Il GDPR, ricorda poi l’EDPB, non prescrive un modo o una forma particolari per fornire le informazioni necessarie a soddisfare il requisito di un consenso libero ed informato. Ciò significa che tali informazioni possono essere validamente fornite in vari modi. Tuttavia, il GDPR prevede una serie di principi (come quelli sin qui richiamati) che hanno lo scopo di garantire il raggiungimento di un elevato standard di chiarezza e di accessibilità delle informazioni.
Quando vengono utilizzati dark pattern, invece, è evidente come tali princìpi non vengano rispettati. Ciò significa che viene di fatto elusa l’idea di dare agli utenti un migliore controllo sui propri dati personali. Quando i fornitori di servizi impiegano tattiche di progettazione per spingere o manipolare i consumatori verso un consenso alla condivisione dei propri dati personali, il consenso non è più veramente “libero”.
L’uso di dark pattern per “guidare” gli utenti verso opzioni meno rispettose della privacy è quindi lesivo dei princìpi del GDPR anche sotto questo ulteriore aspetto.
Alcune pronunce rilevanti in materia di trasparenza
Per completezza sul tema si accenna soltanto (visto che molto è stato già scritto al riguardo da più autorevoli firme) ad alcuni casi affrontati dalle varie autorità europee.
In materia di informazioni trasparenti agli utenti, una delle prime autorità europee a sanzionare Facebook è stata l’Autorità garante della concorrenza italiana che, alla fine del 2018, ha multato il celebre social network per 10 milioni di euro per pratiche commerciali scorrette. La sanzione dell’Antitrust è stata poi rivista dal T.A.R. Lazio, sez. I, nella sentenza del 18 dicembre 2019 – 10 gennaio 2020, n. 260.
Come probabilmente è noto, la prima condotta rilevata dall’Antitrust riguardava il claim “E’ gratis e lo sarà per sempre” con cui Facebook induceva l’utente a registrarsi sulla propria piattaforma. Il T.A.R. Lazio ha confermato la sanzione dell’AGCM sul punto, affermando che Facebook avrebbe dovuto informare l’utente che l’attivazione di un account comportava in realtà una cessione di dati personali, utilizzati per finalità commerciali. Secondo il T.A.R., il celebre social network è infatti tenuto a rispettare gli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore.
Diversamente, la seconda sanzione dell’Antitrust è stata annullata dal T.A.R. Lazio. Questa riguardava l’“indebito condizionamento” degli utenti i cui dati vengono trasmessi a terze parti senza il loro consenso. Il T.A.R. ha infatti ritenuto che in realtà agli utenti è data la possibilità di scegliere se consentire o meno l’integrazione tra diverse piattaforme. Su questo secondo aspetto restano tuttavia molte perplessità, sulle quali però al momento si sorvola.
Un’altra nota pronuncia che ha fatto luce su questo meccanismo è stata emessa nel gennaio 2019 dalla CNIL, l’autorità francese per la protezione dei dati, la quale ha multato Google per 50 milioni di euro perché il colosso americano rendeva eccessivamente complicato per gli utenti l’accesso a informazioni essenziali, come l’ambito della raccolta dei dati, la durata della loro conservazione e il tipo di dati personali utilizzati per la pubblicità mirata. Le informazioni erano sì disponibili su varie pagine, ma per essere raggiunte si richiedeva un numero eccessivo di passaggi.
Conclusioni
In conclusione, si ritiene difficile sostenere che strategie, come i dark pattern, volte a manipolare gli utenti in merito al trattamento dei loro dati personali non violino il GDPR.
Un intervento dell’EDPB sul tema sarebbe certamente auspicabile al fine di fornire agli operatori delle linee guida e delle interpretazioni utili ad orientarsi sia in fase di controllo sia in fase di progettazione e realizzazione di un servizio.
Pur non ritenendosi infatti che vi sia un vuoto legislativo da colmare in materia, i problemi sono ancora molti e fanno riferimento principalmente alle difficoltà riscontrabili nell’individuazione dei vari tipi di dark pattern.
Sviluppare un serio e ampio dibattito sul tema tra tutte le parti interessate può aiutare ad elaborare linee guida comuni che agevolino l’applicazione della normativa già esistente e che favoriscano una maggiore consapevolezza degli utenti sul tema.
Per chi invece progetta e realizza servizi, soprattutto online, c’è, ad avviso di chi scrive, già da subito un buon motivo per cui fare attenzione nell’utilizzo dei dark pattern. Nel lungo periodo, infatti, il danneggiamento della qualità dell’azienda nella percezione dei propri clienti, dovuto alla perdita di fiducia e di credibilità, comporta inevitabili conseguenze anche sul piano economico. Un cliente che si fida, invece, è un cliente più leale, che crede nel brand e nel modello di business condotto e che, per questo, è disposto a spendere di più e a raccomandare il prodotto/servizio nella propria rete.
I dark pattern, minando la fiducia del cliente, mal funzionano nel lungo periodo ed anzi espongono chi li utilizza anche al rischio di sanzioni per violazione dei princìpi sulla protezione dei dati personali.
NOTE
- Il diritto alla privacy è considerato un diritto umano fondamentale sia dall’art. 8 della Carta europea sui Diritti Umani, sia dallo stesso GDPR il quale, al Considerando n. 1, richiama la Carta e afferma che «la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano». Al successivo art. 1.2 il GDPR ribadisce che «il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali» ↑
- Il Considerando 4, GDPR afferma che «il trattamento dei dati personali dovrebbe essere al servizio dell’uomo» ↑
- Il Considerando n. 7 GDPR chiarisce che «è opportuno che le persone fisiche abbiano il controllo dei dati personali che le riguardano …» ↑
- cfr. indirizzo di saluto di Giovanni Buttarelli alla “Legal Design Roundtable” del 27 aprile 2019 ↑
- Midas Nouwens, Ilaria Licciardi, Michael Veale, David Karger, Lalana Kagal, Dark Pattern after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, 8 gennaio 2020, p. 3, arXiv.org ↑
- A. Tversky e D. Kahneman, Judgment under Uncertainty: Heuristics and Biases, in Science, vol. 185, n. 4157, 1974 ↑
- La Forbrukerrädet, è un’organizzazione che tutela gli interessi dei consumatori ed è stata fondata dal governo norvegese. Parte del suo lavoro consiste nel promuovere i diritti dei consumatori come il diritto alla privacy, il diritto a contratti sicuri e bilanciati nell’acquisto di prodotti o servizi digitali ↑
- Christine Utz, Martin Degeling, Sascha Fahl, Florian Schaub, and Thorsten Holz, (Un)Informed Consent: Studying GDPR Consent Notices in the Field. In Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (CCS ’19), ACM, New York, NY, USA, 973–990, 2019 DOI: http://dx.doi.org/10.1145/3319535.3354212 ↑
- Le piattaforme di gestione del consenso (CMPs, Consent management platforms) sono, in breve, piattaforme centralizzate che possono essere inserite all’interno del proprio sito internet per gestire il consenso degli utenti in materia di privacy ↑
- Il “Deceptive Experiences to Online Users Reduction (DETOUR) Act”; cfr. Mark R. Warner Deb Fisher, Deceptive Experiences To Online Users Reduction (DETOUR) Act, 2019, https://www.scribd.com/document/405606873/Detour-Act-Final ↑
- il gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati, ora sostituito dal Comitato europeo per la protezione dei dati (EDPB) ↑
- Linee Guida sulla Trasparenza, adottate il 29 novembre 2017, pag. 8 «Positioning or colour schemes that make a text or link less noticeable, or hard to find on a webpage, are not considered easily accessible » ↑
- M. Soffientini (a cura di), Privacy. Protezione e trattamento dei dati, 2018, p. 97-98 ↑
- Testo disponibile sul sito dell’International Association of Privacy Professionals ↑
- M. Soffientini (a cura di), Privacy. Protezione e trattamento dei dati, 2018, p. 97-98 ↑
- Linee Guida 4/2019 sull’art. 25 “Data Protection by Design and by Default”, adottate il 13 novembre 2019. Le Linee Guida si focalizzano sull’implementazione da parte del Titolare del trattamento della c.d. “Data Protection by Design and Default” (DPbDD) basata su l’art. 25 GDPR. Le Linee Guida sono utili però anche a tutti quei soggetti cui non è direttamente rivolto l’art. 25 (es. fornitori di tecnologie) che possono trovare nelle Linee Guida un’utile indicazione su come creare prodotti compliant con il GDPR ↑
- Guidelines 05/2020 on consent under Regulation 2016/679 – version 1.0 – adottate il 4 maggio 2020 ↑