Il Garante Privacy ha sanzionato per la prima volta l’uso di dark pattern ai fini di raccolta dei dati personali.
Il 23 febbraio 2023 è stato adottato in Italia il primo provvedimento del Garante Privacy che sanziona l’uso di dark pattern ai fini di raccolta dei dati personali. La pronuncia costituisce un benchmark in materia di protezione dei dati personali e offre lo spunto per fare una riflessione sui recenti sviluppi delle tecniche di legal design che se utilizzate adeguatamente contribuiscono ad agevolare la raccolta trasparente dei dati.
Cosa sono i dark pattern?
Per dark pattern (o “percorsi oscuri”) si intendono quelle interfacce ed esperienze utente implementate su piattaforme online che inducono gli utenti a prendere decisioni potenzialmente dannose e involontarie in relazione al trattamento dei dati personali. Ciò che principalmente influenza il comportamento degli utenti, infatti, è la capacità di controllare in modo effettivo le attività svolte con i propri dati personali.
La contestazione del Garante privacy contro i dark pattern
La società che è stata oggetto del provvedimento sanzionatorio è attiva nel campo dei servizi di digital marketing. Dalle verifiche dell’Autorità è emerso che per effettuare le sue campagne promozionali mirate quest’ultima si è avvalsa di un database contenente dati di oltre 21 milioni di utenti, raccolti sia direttamente dalla società attraverso i suoi siti web che attraverso liste acquistate da terzi.
È opinione del Garante che parte dei dati provenienti dai siti web della società siano stati ottenuti da quest’ultima tramite l’utilizzo di dark pattern al solo scopo di “aggirare la volontà dell’interessato”. Ciò in particolare adottando “modelli comunicativi non chiari con particolare riguardo alla progettazione grafica delle interfacce e alle modalità di svolgimento del processo di iscrizione ai servizi”.
In particolare, il Garante ha rilevato la sussistenza di dark pattern nelle seguenti pratiche:
- all’utente veniva richiesto di esprimere uno specifico consenso in merito al trattamento dei suoi dati per finalità di marketing e alla comunicazione degli stessi a terzi per le medesime finalità. Se una delle due caselle non veniva flaggata, appariva un pop-up che evidenziava la mancanza del consenso e presentava un tasto ben evidente per accettare il trattamento. Il link per continuare senza accettare risultava, invece, poco visibile; e
- all’utente veniva richiesto di fornire dati di terzi potenzialmente interessati ad iscriversi ai servizi. A fronte di messaggi di invito scritti in grassetto e campi asteriscati, l’opzione “…oppure salta” era riportata in fondo alla pagina in carattere molto più piccolo e con una grafica del tutto diversa rispetto all’opzione “continua”.
Il Garante ha rilevato in ambo i casi che l’evidenza grafica data ai form di raccolta dati “non aveva alcuna utilità per lo svolgimento del processo […] ma rappresentava, evidentemente, un tentativo di raccogliere il consenso dell’utente”. Nel primo caso ciò era aggravato dal fatto che l’utente aveva già chiaramente espresso la sua volontà contraria nella schermata precedente.
Il Garante ha chiarito che l’implementazione di suddette tecniche turba la libertà e alla consapevolezza con cui l’interessato può esprimere la propria volontà e rende la raccolta illecita.
Alla luce di tali condotte, il Garante ha emesso una sanzione di € 300.000 che ammonta al 2% del fatturato dell’anno precedente e rappresenta una delle percentuali più elevate di una sanzione emessa dal Garante finora.
Considerazioni per le aziende e necessità di un approccio in stile legal design
Il legal design svolge un ruolo cruciale nel contrastare l’utilizzo dei dark pattern, offrendo una soluzione fondamentale per promuovere l’etica e la trasparenza nelle interazioni digitali. Come detto, i dark pattern sono pratiche ingannevoli utilizzate per influenzare il comportamento degli utenti, che, tuttavia, non rimangono più inosservate.
Con questo provvedimento il Garante sembra infatti ripercorrere la strada già intrapresa con le Linee Guida sui cookie adottate nel luglio del 2021, probabilmente spinto anche dalla recente adozione delle Linee Guida 3/2022 sui dark pattern, che pone degli obblighi ben precisi, tra le altre cose, anche di design per i cookie banner (e.g., la necessità di apporre una ‘X’ in alto a destra, e rendere le azioni eseguibili dagli utenti della stessa rilevanza grafica).
Ma non solo. Gli obblighi di trasparenza nei confronti degli utenti, e il divieto di utilizzo di tecniche ingannevoli come quelle dei dark pattern non sono solo date dal GDPR (che ricordiamo, richiede che il consenso sia libero, informato, specifico e univocamente espresso), ma anche dalla normativa consumeristica, anche alla luce delle recenti modifiche dovute dalla Direttiva Omnibus: i profili di scorrettezza potrebbero essere ricondotti alle omissioni ingannevoli di cui all’art. 22(2) del Codice del Consumo, in quanto la presentazione in modo oscuro di informazioni e opzioni rilevanti per il consumatore inducono lo stesso ad assumere una decisione (ossia, a prestare il suo consenso) che altrimenti, con ogni probabilità, non assumerebbe.
Pertanto, l’approccio offerto dal legal design è essenziale per evitare contestazioni come quelle del Garante rispetto al presente provvedimento, anche al fine di promuovere l’aderenza ai principi del codice del consumo. Attraverso la progettazione di interfacce e comunicazioni chiare, comprensibili e accessibili, le aziende possono garantire che i soggetti interessati (nonché consumatori) siano adeguatamente informati sulle loro scelte, diritti e obblighi, ed evitare sanzionamenti da parte delle autorità.
Su un simile argomento può essere interessante l’articolo “Linee Guida 3/2022 dello EDPB su dark pattern stimolano un approccio di legal design”.
Autrici: Enila Elezi e Chiara Fiore
Autore: Enila Elezi
