Il CCPA insegna l’importanza del legal design per la protezione dei consumatori

Il CCPA, la normativa privacy californiana, fornisce un ottimo esempio di come si proteggono i diritti dei consumatori con il legal design.

É iniziato il conto alla rovescia per il California Consumer Privacy Act (CCPA), la normativa californiana che – sulle orme del GDPR – disciplina il trattamento dei dati personali dei consumatori californiani da parte delle imprese statunitensi. In particolare, il CCPA mira ad assicurare un facile ed immediato esercizio dei diritti da parte dei consumatori, anche grazie all’utilizzo del legal design. Cosa dobbiamo aspettarci da luglio sui siti statunitensi?

Il CCPA – entrato in vigore lo scorso 1 gennaio e applicabile a partire dal prossimo 1 luglio – prevede, tra gli obblighi in capo alle imprese e i diritti riconosciuti ai cittadini californiani, la possibilità per questi ultimi di opporsi alla vendita dei propri dati a terzi da parte della società che li detiene. In particolare, l’ultima bozza della legge proposta dall’Attorney General e risalente all’11 marzo 2020 obbliga le imprese a garantire ai consumatori californiani un opt-out attraverso moduli interattivi, accessibili anche tramite link direttamente dal sito o dall’applicazione mobile dell’utente, oppure rendendo disponibili altri meccanismi a scelta dell’impresa tramite il canale di interazione generalmente utilizzato dalla società per comunicare con il consumatore. Nelle versioni precedenti alla bozza del marzo scorso, l’Attorney General suggeriva alle imprese di implementare direttamente sul proprio sito o app un modello di “pulsante di opt-out” riportante la dicitura “Do Not Sell My Personal Information” o “Do Not Sell My Info” che il consumatore doveva cliccare per impedire la vendita dei propri dati a terzi.

Il pulsante proposto dall’Attorney General, però, non ha riscosso il successo sperato, in quanto ritenuto dagli esperti del settore poco chiaro e di difficile comprensione per il consumatore medio. Alcuni studi sulla “User Interface”, infatti, hanno rilevato come il pulsante proposto non rispecchiasse i canoni di chiarezza, immediatezza e fruibilità richiesti dalla normativa stessa. In particolare, il pulsante:

• era concepito come un “toggle switch” degli smartphone che generalmente consente – scorrendo il dito verso destra o sinistra – rispettivamente di attivare o disattivare una specifica funzionalità del dispositivo. In realtà l’icona non avrebbe permesso un’immediata interazione dell’utente, ma avrebbe rappresentato solo un link da cliccare per essere reindirizzati ad una pagina web dedicata;
• raffigurava, in rosso, una “X”, come se la funzionalità di vendita dei dati a terzi fosse disattivata per impostazione e potesse essere attivata solo su iniziativa dell’utente, contrariamente a quello che – in realtà – sarebbe accaduto. Infatti, l’impresa che tratta i dati personali del consumatore può, di default, cedere i dati a terzi, ad eccezione del caso in cui il consumatore si sia prontamente opposto a tale uso dei suoi dati; nonché
• accostava alla “X” rossa di cui al punto precedente la dicitura “Do Not Sell My Personal Information” creando, agli occhi del consumatore, una doppia negazione più difficile da interpretare. Il colore rosso e il simbolo utilizzati, infatti, avrebbero suggerito già di per sé una funzionalità disattivata, inducendo il consumatore medio a credere che la vendita dei dati a terzi fosse non autorizzata per impostazione. Al contrario, l’utilizzo di un colore neutro quale il blu (e non il verde o il rosso che tendenzialmente suggeriscono un’azione positiva o negativa) insieme all’inserimento di un segno di spunta accanto alla “X” avrebbero correttamente indicato all’utente la sua facoltà di scelta tra due opzioni, senza suggerire uno stato particolare della funzione (attivata/disattivata).

Anche alla luce di quanto sopra, nel testo normativo da ultimo proposto a Marzo, l’Attorney General ha eliminato il riferimento al “Do Not Sell My Personal Information” button, mantenendo solamente l’obbligo per le imprese di fornire una modalità interattiva di esercizio del diritto di opt-out, anche tramite link. Ora, non ci resta che aspettare di vedere quale sarà la scelta implementata dalle imprese per interagire con successo con gli utenti, assicurando nel contempo agli stessi il facile esercizio dei propri diritti.