Dark Pattern e consenso privacy con le nuove Linee Guida 3/2022
Poche settimane fa l’European Data Protection Board ha pubblicato la versione 1.0 (per la consultazione pubblica) delle “Linee guida 3/2022 sui Dark Patterns nelle interfacce sulle piattaforme dei social media: Come riconoscerle ed evitarle”.
Per quanto il documento non sia ancora definitivo, possiamo già derivare da esso alcune considerazioni, e, in particolare, quelle sull’effetto dei Dark Patterns sul consenso dell’interessato.
Le linee guida definiscono i Dark Patterns come “quelle interfacce ed esperienze utente implementate nelle piattaforme dei social media che inducono gli utenti a prendere decisioni involontarie, non volute e potenzialmente dannose riguardanti il trattamento dei loro dati personali. I Dark Patterns mirano ad influenzare il comportamento degli utenti e possono compromettere la loro capacità di tutelare efficacemente i loro dati personali e di fare scelte informate”.
Anche il Garante, nelle “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021 (entrato in vigore il 9 gennaio 2022), ha, senza menzionarli direttamente, sottolineato l’esigenza di un “[…] utilizzo di comandi e di caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare”, per assicurare che “[…] gli utenti non siano influenzati ovvero penalizzati da scelte di design che inducano a preferire una opzione anziché l’altra […]”. Il Garante, inoltre, per rendere effettiva la disponibilità per l’utente di esprimere liberamente la propria volontà, inclusa la possibilità di cambiare idea sul consenso prestato, invita alla “[…] adozione di una buona prassi[…]” portando quale esempio il “[…] posizionamento in ciascuna pagina del dominio, eventualmente pure accanto al link all’area dedicata alle scelte, di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, lo stato dei consensi in precedenza resi dall’utente consentendone, dunque, in ogni momento l’eventuale modifica o aggiornamento”.
Oltreoceano, e in particolare nello Stato della California, i Dark Patterns vengono affrontati nel California Privacy Rights Act (CPRA), che entrerà in vigore il 1° gennaio 2023, andando a sostituire il California Consumer Privacy Act (CCPA). Il CPRA prevede espressamente che “l’accettazione ottenuta attraverso l’utilizzo di dark patterns non costituisce un valido consenso” (SEC. 14. Section 1798.140, lett. h of the Civil Code così come emendata dal CPRA). In questo caso di troviamo quindi davanti ad una chiara e specifica indicazione degli effetti dei Dark Patterns sul consenso, ai quali ovviamente il CPRA affianca le dovute definizioni per poter individuare cosa costituisca un dark pattern.
(Nella foto: l'Avv. Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano)
Tornando in Europa, un consenso prestato dall’utente tramite l’implementazione di Dark Patterns può certamente considerarsi non validamente ottenuto, provocando conseguentemente l’illegittimità del trattamento basato su di esso. Alla luce del fatto che le tipologie di Dark Patterns sono molteplici e riguardano tutto il ciclo di vita dei dati personali, in questo caso prenderemo in considerazione uno di quelli che potrebbero venire implementati solo nella fase di acquisizione del consenso dell’interessato.
Prendiamo quindi, ad esempio, un Dark Pattern costituito dal c.d. “Sovraccarico” e, in particolare, dalla “Richiesta continua”. In questo caso, l’utente viene continuamente spinto a fornire più dati personali di quelli necessari per il trattamento o di fornire il proprio consenso per un utilizzo ultroneo rispetto a quanto precedentemente fatto, tramite una ripetuta e incessante richiesta, corredata dalla spiegazione del perché l’utente dovrebbe prestare il proprio consenso. In questo caso è probabile che l’utente decida infine di cedere per evitare che l’utilizzo della piattaforma venga continuamente interrotto dalle incessanti e moleste richieste.
Da quanto sopra detto, si può desumere come un consenso ottenuto in tal modo non può certamente considerarsi rispondente alla definizione di “consenso dell’interessato” data dall’art. 4 par. 1 n. 11: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. E tale continuata richiesta non rispetta neanche le condizioni per il consenso stabilite all’art. 7 del GDPR, soprattutto se, come espresso al paragrafo 2 dello stesso articolo, se tale consenso viene “[…] prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni[…]” allora la richiesta dovrà essere “[…] presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro[…]”. E soprattutto, tale paragrafo termine con un’importante conseguenza per queste moleste e continue richieste, ovvero che “[…] Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante”. Il che ci riporta anche a considerare come un continuo tempestare l’utente di richieste che comprendano anche il consenso non possa legittimare i trattamenti che sottostanno a tale prestazione del consenso se essa viene “contaminata” dall’utilizzo di Dark Patterns.
Le linee guida sui Dark Patterns non si limitano ai soli casi concernenti il consenso dell’interessato. Al contrario, esse illustrano come adottare un design non linea con la normativa privacy possa ledere i diritti degli interessati, violare i principi stabiliti dal GDPR di cui all’art. 5, soprattutto relativamente ai principi di liceità, correttezza e trasparenza, che sono i più menzionati dal documento in questione e, in generale, del principio della Privacy by Design ex art 25 del GDPR.
Se guardiamo i siti e le App con cui interagiamo tutti i giorni attraverso le lenti di queste linee guida, possiamo notare come molti di essi non risultino in linea con la normativa sulla privacy, magari perché il pulsante per scegliere il solo utilizzo dei soli cookie necessari si confonde con lo sfondo del cookie banner, oppure perché il menù per la cancellazione dell’account o di alcuni dei dati personali lì conservati è sommerso sotto una miriade di altri menù.
Al momento, però, ci troviamo in una fase consultiva del documento in questione. Pertanto, il tempo che ci separa della pubblicazione della versione finale dovrebbe essere sfruttato per iniziare adeguare le proprie interfacce ed esperienze utente, e non solamente quelle attinenti alle piattaforme social, ma, in generale, questo sforzo dovrebbe essere intrapreso da tutti coloro che offrono i propri servizi e/o prodotti tramite tali modalità di interazione con gli interessati.
di Matteo Alessandro Pagani e Alessandro Burro