Il richiamo del Garante sui c.d. "dark patterns"
Le linee guida dell'EDPB
I c.d. "dark patterns" – "percorsi oscuri" o "modelli di progettazione ingannevoli" – costituiscono dei percorsi di navigazione che trovano spazio nell'interfaccia di molti siti internet e che sono progettati appositamente per spingere l'utente ad effettuare scelte in tema di consenso al trattamento dei propri dati personali che altrimenti non avrebbe effettuato e ciò al fine di poter usufruire del contenuto offerto da quel sito (per esempio un social media).
L'esito di questo percorso è condurre l'utente a concedere il consenso trattamento dei propri dati personali, in modo non del tutto libero, non del tutto consapevole, con modalità che, altrimenti, non avrebbe scelto, in violazione dei principi fondamentali del Regolamento (UE)216/679 sulla protezione dei dati personali (GDPR).
Recentemente il Garante per la protezione dei dati personali ha inaugurato una apposita pagina informativa, per approfondire il fenomeno, informare gli utenti e sviluppare dunque una maggiore consapevolezza anche su questo specifico aspetto della tutela dei propri dati.
Le linee guida dell'EDPB.
Il tema era già stato oggetto di un formale intervento da parte dell'European Data Protection Board (EDPB) – l'organismo indipendente che, attraverso l'elaborazione raccomandazioni, la condivisione di best pratices e lo scambio di informazioni tra le Autorità di controllo di tutti gli Stati membri, deve contribuire all'applicazione coerente del GDPR nell'UE – che, nel febbraio scorso, ha emanato apposite linee guida per riconoscere ed evitare i dark patterns, al fine di sviluppare la consapevolezza del tema in capo ai singoli utenti e, in via più immediata, per offrire indicazioni pratiche ai fornitori dei social media su come apprestare interfacce corrette, rispettose dei principi esposti nel GDPR.
L'EDPB ha dunque individuato 6 tipologie di dark patterns:
1) overloading, vale a dire un sovraccarico di richieste, informazioni e opzioni disponibili per l'utente, tale da indurlo a condividere più dati di quanti altrimenti ne avrebbe messi a disposizione e dunque ad acconsentire ad un trattamento al quale, per lo meno sotto l'aspetto della quantità dei dati raccolti, non avrebbe acconsentito.
Così, per esempio, informazioni e richieste di concessione dell'utilizzo dei dati dell'utente che non sono ordinate in modo logico e ben visibile in un'unica sezione del sito obbligano di fatto il medesimo a dover controllare più di una pagina web, a dove prestare più di una manifestazione di consenso al trattamento dei dati, a dover effettuare più di un settaggio delle relative impostazioni, fino a scoraggiarlo e farlo desistere dall'effettuare una scelta meditata consapevole.
Troppe possibilità di scelta possono quindi impedire all'utente di effettuare un'effettiva scelta (tipologia di dark pattern infatti denominata too many options); analogamente il problema si può porre quando l'utente modifica un'impostazione di protezione dei dati: il non poter reperire le relative informazioni in un'unica pagina condurrà probabilmente l'interessato a non trovare avvisi utili e completi, così perdendo il controllo su alcuni aspetti della tutela dei propri dati (c.d. privacy maze).
Ancora nell'ambito dell'overloading rientra l'ipotesi in cui all'utente è richiesto più volte di inserire i propri dati, anche una volta terminata, per esempio, la fase di registrazione, come l'apertura di un account, così inducendolo a fornire più dati personali di quelli necessari per lo scopo del trattamento o ad acconsentire a più di una finalità di trattamento (c.d. continuos prompting);
2) skipping: consiste nel predisporre l'interfaccia di un sito in modo che l'utente non si preoccupi della tutela dei propri dati personali, ad esempio perché il provider stesso ha preimpostato di default il relativo settaggio (c.d. deceptive snugness) oppure perché il provider predispone azioni per l'utente che lo possano distrarre dal suo originario intento.
Per esempio, all'utente che voglia cancellare il proprio account si offre la possibilità di scaricare i propri dati per trasferirli ad altro account, senza facilitare un reindirizzamento alla pagina di definitiva cancellazione del primo: in tal caso, con tutta probabilità l'opzione di definitiva eliminazione del primo non verrà portata a termine (c.d. Skipping – Look over there);
3) stirring: modello di progettazione che influisce sulle scelte degli utenti facendo leva sulle loro emozioni, anche attraverso l'impatto visivo delle interfacce del sito, per esempio utilizzando una impostazione grafica che spinga gli utenti verso opzioni meno restrittive e quindi più invasive (c.d. "hidden in plain sight", basti pensare all'utilizzo di un carattere piccolo o un colore poco visibile per l'opzione privacy più restrittiva), oppure utilizzando elementi visivi o una terminologia tale da presentare all'utente una determinata scelta di settaggio come altamente positiva o altamente negativa, così influenzandone la relativa scelta (emotional steering);
4) Hindering: ostacolare o bloccare gli utenti nella gestione dei propri dati, ad esempio rendendo difficili o impossibili alcune azioni. In tale ambito rientrano tre differenti tipologie di dark patterns: inserire appositamente un link non funzionante (dead end), moltiplicare artatamente i passaggi attraverso i quali l'utente può gestire i propri dati all'interno di quel sito (longer than necessary) e predisporre intenzionalmente una discrepanza tra le informazioni e le azioni disponibili per gli utenti, così da spingerli a fare qualcosa che non comprendono appieno (misleading information);
5) fickle: vale a dire predisporre un'interfaccia non chiara, in modo da rendere difficile, per l'utente, capire come poter effettuare le proprie scelte circa il consenso al trattamento dei dati personali, così pervenendo a scelte non del tutto consapevoli; ciò accade, ad esempio, quando le informazioni relative alla protezione dei dati personali vengono esposte in modo ripetitivo, disordinato e non in base alla loro importanza (lacking hierarchy) oppure quando un'informazione o una impostazione relativa alla protezione dei dati viene collocata in una pagina web fuori contesto, ove è improbabile che gli utenti pensino di andare a cercarla (decontextualising).
Ancora, nel caso in cui un menu relativo alla protezione dei dati personali si presenti con interfacce differenti su dispositivi mobili e desktop, così da confondere l'utente (inconsistent interface) oppure quando le informazioni relative alla protezione dei dati non sono fornite nella lingua ufficiale del Paese membro in cui si trovano gli utenti di quel servizio (language discontinuityi);
6) left in the dark: in tal caso l'interfaccia del sito è progettata appositamente in modo da nascondere le informazioni o gli strumenti di controllo della protezione dei dati personali o comunque in modo tale da lasciare l'utente nell'incertezza circa il tipo di trattamento effettuato, per si forniscono agli utenti informazioni contraddittorie (conflicting information) o si utilizzano termini vaghi e ambigui (ambiguous wording or information).
La violazione del GDPR
Il dato più significativo delle condotte su descritte è che, invero, esse non impediscono all'utente di poter gestire i propri dati on line, di poter, in particolare, limitare il proprio consenso a solo alcuni tipi di trattamento o comunque di limitarne le finalità (ad esempio selezionando i soli cookies tecnici – che servono ad agevolare la navigazione – ed escludendo quelli con finalità di marketing e profilazione), tuttavia ciò è di fatto concesso solo ad un utente che sia non solo ben informato, ma anche tenace, capace di superare i percorsi volutamente oscuri predefiniti dal titolare del trattamento.
Al contrario l'utente medio sarà portato a prestare il proprio consenso al trattamento con la modalità più semplice, rapida e intuitiva che l'interfaccia del sito gli propone di default, modalità che, nella maggioranza dei casi, sarà quella che lo porterà ad accettare un trattamento maggiormente invasivo e meno tutelante per i propri dati personali.
In ragione di ciò, i dark patterns costituiscono indubitabilmente violazione di plurimi, fondamentali precetti del GDPR, il primo dei quali deve essere individuato nel principio di correttezza e trasparenza, secondo cui il trattamento dei dati deve essere eseguito in modo lecito e, appunto, corretto e trasparente nei confronti dell'interessato (art. 5, lett. a, GDPR), fornendo previamente una informativa completa, ma concisa, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12 GDPR), in modo che il consenso prestato al trattamento sia libero, informato e inequivocabile (art. 4, n. 11 GDPR); ma spesso i dark patterns comportano anche la violazione del c.d. "principio di minimizzazione", per il quale occorre che siano trattati i soli dati strettamente necessari, senza dunque poter procedere ad alcuna raccolta massiva o comunque ultronea rispetto alle finalità di raccolta dichiarate (art. 5, lett. c, GDPR).
Infine, non ultimo, un modello di progettazione ingannevole si presenta in patente contrasto con il principio di privacy by design e privacy by default (art. 25 GDPR), da intendersi come l'obbligo del titolare del trattamento di predisporre misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati su richiamati, di modo che, per impostazione predefinita, siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento.
Le linee guida dell'EDPB e la pagina informativa oggi reperibile sul sito del Garante sembrano quindi delineare un'azione decisa di queste Autorità contro condotte dei provider solo formalisticamente rispettose dei principi fondamentali in materia di tutela dei dati personali, per assicurare agli utenti una tutela sostanziale ed effettiva.
* a cura dell'Avv. Alessandra Spangaro, DigitalMediaLaws
Laura Liguori
Il Sole 24 Ore