I dark patterns nell’economia del marketing online

23 Giu I dark patterns nell’economia del marketing online

Posted at 09:56h in Privacy and Data Protection by ICTLC Italy

ICT-insider-dark-patterns

Autori: Camilla Serraiotto, Francesca Tugnoli, Eleonora Margherita Auletta

Il presente contributo vuole fornire, senza pretesa di esaustività, una panoramica sul contenuto delle Linee Guida di EDPB sui dark patterns, al fine di permettere di capire quali tipologie in astratto esistono, e come queste tipologie astratte si possono configurare nella realtà del marketing online.

Le Linee guida 03/2022 dell’EDPB: istruzioni per riconoscere ed evitare i dark patterns

Con il termine “dark patterns”, anche sulla base delle recenti Linee guida 03/2022 dell’EDPB [1] (di seguito “Linee guida”), si fa riferimento a quelle interfacce – sia grafiche che vocali – e user experience[2] implementate su piattaforme e percorsi di navigazione. Alcuni esempi: le piattaforme social, e-commerce, banner cookie, applicazioni mobile, volte ad influenzare il “comportamento online” degli utenti e far loro prendere decisioni non intenzionali e potenzialmente dannose, ma al contrario favorevoli ai gestori di tali servizi[3].

Le Linee guida si rivolgono, in prima battuta, ai gestori di piattaforme di social media, ma più in generale si ritengono applicabili a tutti i titolari del trattamento che raccolgono (e trattano) dati personali degli utenti. L’obiettivo delle stesse è infatti fornire una serie di raccomandazioni pratiche ed un elenco esemplificativo di casistiche, contenuto nel relativo Annex I, per meglio individuare tali meccanismi illeciti e dunque evitarli (cfr. par. 32 e ss.). Esse si rivolgono anche agli utenti dei social media e vogliono essere di aiuto a questi ultimi nell’adozione di scelte consapevoli in merito alla tutela dei propri dati personali.

Le Linee guida forniscono altresì, nell’Annex II, le best practice da seguire a livello di progettazione, al fine di creare interfacce che siano, by design, conformi al Regolamento UE n. 2016/679 (di seguito “GDPR”).

Da un punto di vista classificatorio, l’EDPB individua sei diverse tipologie di dark patterns, in base agli impatti di tali strumenti sul comportamento dell’utente:

- - - overloading: quando, a fronte di un enorme numero di richieste, informazioni, opzioni o possibilità, gli utenti sono portati a condividere più dati possibili e ad acconsentire involontariamente al trattamento degli stessi;
    - skipping: quando le interfacce sono realizzate in modo tale che gli utenti dimentichino o non riflettano su aspetti legati alla protezione dei propri dati personali;
    - stirring: quando le scelte degli utenti sono influenzate e condizionate facendo appello alle loro emozioni o facendo ricorso a sollecitazioni visive;
    - hindering: quando gli utenti sono ostacolati o bloccati nel processo di informazione e consapevolezza sull’utilizzo e gestione dei propri dati;
    - fickle: quando gli utenti acconsentono al trattamento dei propri dati senza capirne le finalità, a causa di un’interfaccia incoerente o poco chiara;
    - left in the dark: quando l’interfaccia è progettata in modo da nascondere agli utenti le informazioni e gli strumenti di controllo della privacy.

Profili problematici: Ie potenziali violazioni del GDPR

Nell’ambito dei possibili contrasti con il GDPR, dovuti all’utilizzo di dark patterns, vale la pena menzionare:

- - - i principi contenuti all’interno dell’art. 5 GDPR (tra cui, liceità, correttezza, trasparenza, minimizzazione dei dati e limitazione delle finalità);
    - le norme relative alla corretta acquisizione del consenso (art. 6, par. 1, lett. a) GDPR) e le condizioni per un valido rilascio dello stesso (artt. 4, n. 11 e 7 GDPR), che verrebbero violate nel caso in cui siano previsti sistemi che impediscono l’acquisizione di un consenso realmente informato e libero;
    - le disposizioni relative all’informazione dell’interessato, circa il trattamento dei propri dati, tramite modalità trasparenti (artt. 12, 13 e 14 GDPR);
    - il principio di privacy by design (art. 25 GDPR) e, più in particolare, i requisiti – esplicitati anche nelle Linee guida 04/2019 dell’EDPB sull’art. 25 GDPR[4] – indirizzati ai fornitori dei social media in merito alla progettazione dell’interfaccia o rispetto alla verifica ex post della stessa, per valutare se presenti o meno dark patterns[5]. Tra i requisiti da adottare nelle relazioni con gli utenti di cui sopra si indicano:
    - l’autonomia dell’interessato nel determinare l’utilizzo dei propri dati personali;
    - la possibilità di interazione con il titolare del trattamento;
    - la corrispondenza del trattamento alle ragionevoli aspettative dell’utente;
    - il potere di scelta del consumatore, declinata nella possibilità di esercizio del diritto alla portabilità dei dati ai sensi dell’art. 20 GDPR;
    - l’equilibrio di potere tra interessato e titolare e, ove non possibile, l’implementazione di contromisure adeguate;
    - la veridicità delle informazioni fornite dal titolare.

È importante notare che, laddove l’interfaccia utente sia un dark pattern, il trattamento che ne consegue è, secondo l’EDPB “sleale” e, quindi, in contrasto con l’art. 5 GDPR. L’interfaccia e la user experience, in ottica di accountability, dovrebbero essere utilizzati per accertarsi e acquisire la prova che l’utente abbia realmente compreso le informazioni fornite sui propri dati personali e abbia reso quindi liberamente il proprio consenso.

Il Provvedimento Ediscom quale applicazione concreta delle Linee guida sui dark patterns

Premessa una ricognizione sulle tipologie di dark patterns, risulta opportuno analizzare brevemente il Provvedimento prescrittivo e sanzionatorio nei confronti di Ediscom S.p.A. – 23 febbraio 2023 (“Provvedimento Ediscom”)[6], per comprendere come di fatto vengano “recepite” dal Garante privacy italiano (“Garante”) le Linee guida nel valutare i dark patterns. Nel caso di specie il Garante ha ritenuto che:

- - - la reiterata richiesta di consenso per le attività di marketing, la difficile visibilità del link per continuare senza esprimere il consenso a causa delle dimensioni ridotte rispetto al testo principale, nonché l’invito a rilasciare dati in misura sproporzionata (anche di terzi) determinavano una violazione dell’art. 5, par. 1, lett. a), 7 par. 2 e 25 GDPR;
    - la raccolta di informazioni non necessarie e non attinenti al servizio prestato, si poneva in contrasto con il principio di liceità, correttezza e trasparenza e con quello di minimizzazione poiché obbligava l’interessato a conferire più informazioni di quelle effettivamente necessarie alla prestazione del servizio, con conseguente violazione degli artt. 5, par. 1, lett. a), b) e c), 6 e 7 del GDPR;
    - il rilascio dell’informativa a seguito della raccolta del dato e non contestualmente al conferimento delle informazioni personali comportava la violazione degli artt. 5, par. 1, lett. a) e 13 del GDPR.
    - la presenza di numerosi campi preselezionati, compresi consensi pre-flaggati, in netto contrasto con il principio di libertà del consenso portava a ravvisare una violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 7 del GDPR;
    - la mancanza di specificità e granularità del consenso, dimostrata dalla previsione di un unico consenso per diverse finalità – marketing e cessione di dati a terzi – determinava, altresì, la violazione degli artt. 6, par. 1, lett. a) e 7 del GDPR.

Infine, il Garante, nell’irrogare la sanzione, ha posto l’accento sul carattere doloso della prassi attuata dalla Società sanzionata, rilevando come “la scelta intenzionale di realizzare graficamente una determinata interfaccia presuppone anche si conoscano i meccanismi che interagiscono con le capacità cognitive dell’utente pertanto, anche senza voler dare un nome a tali meccanismi, non si può non ritenere che essi siano stati adottati al fine di aggirare la volontà degli utenti”. La dolosità della condotta incide, in via generale, negativamente nella determinazione del quantum sanzionatorio, ai sensi dell’art. 83, par. 2, lett. b) GDPR.

Conclusioni: il difficile bilanciamento tra diritti dell’utente e l’iniziativa economica

L’attività di impresa, a cui fanno seguito logiche di massimizzazione del profitto anche nell’ambito di attività di marketing, deve essere condotta in maniera consapevole e leale, bilanciandosi con la tutela dei diritti dell’interessato, in quanto soggetto fragile e facilmente “circonvenibile” nel mondo del web. Ciò, oltre a trovare conferma nel Provvedimento Ediscom – tanto da chiarire che “occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società”- trova fondamento nell’art. 41, comma 2 della Costituzione, secondo cui l’attività di impresa “non può svolgersi in […] modo da recare danno alla libertà e alla dignità umana”.

[1] EDPB – Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them – Version 2.0 Adopted on 14 February 2023.

[2] Con il termine “user experience” si intendono l’utilità percepita, la facilità d’uso e l’efficienza dell’interazione.

[3] Cfr. anche pagina informativa del Garante per la Protezione dei Dati Personali sui “Modelli di progettazione ingannevoli (Dark Pattern)”. Nello specifico, il Garante definisce i dark patterns quali “modelli di progettazione ingannevoli che possono influenzare il comportamento di chi naviga online e ostacolare la protezione dei dati”.

[4] EDPB – Linee guida 04/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita Versione 2.0 Adottate il 20 ottobre 2020.

[5] Di seguito, si forniscono alcuni esempi di dark patterns: i) richiedere ripetutamente il conferimento di uno stesso dato, nonostante precedenti rifiuti espressi dell’utente; ii) presentare la richiesta di consenso in modo accattivante, facendo quasi sentire premiato l’utente se lo rende e a disagio qualora non lo presti; iii) l’utilizzo di caratteri di piccole dimensioni o di colore che non risalti adeguatamente, rendendo difficile la lettura; iv) chiedere conferma all’utente su un’azione già espressa, per esempio, chiedergli se è sicuro di non voler dare il proprio consenso dopo che lo ha negato; v) utilizzo di impostazioni predefinite o pre-flaggate, rispetto alle quali l’utente per pigrizia o disattenzione evita di modificare la scelta di default presentata, vi) considerare l’inattività dell’utente una scelta positiva di rilascio del consenso; vii) rendere difficile il reperimento delle informazioni a tutela dei dati personali, omettendo di inserire il link diretto all’informativa; viii) utilizzare immagini che offrono un senso di tranquillità o protezione per indurre il rilascio dei dati o dei consensi; ix) rendere le informazioni in modo ripetitivo e contrastante creando confusione negli utenti; x) utilizzare informazioni visive equivoche (es. seleziono in verde l’opzione più favorevole al social e sfavorevole all’interessato, mentre in rosso quella più favorevole all’interessato).

[6] Garante per la Protezione dei Dati Personali, Provvedimento n. 51 del 2023 [9870014].

Tags:

Consenso, dark patterns, data privacy, EDPB, European Data Protection Board, ict insider, ICT Legal Consulting, ICTLC, Privacy, Privacy by Design, trasparenza

ICTLC Italy

italy@ictlegalconsulting.com