L’Autorità Garante è intervenuta, il 23 febbraio scorso, nell’ambito del digital marketing, irrogando una sanzione di 300.000 euro ad uno dei maggiori player del settore per l’adozione di modelli comunicativi ritenuti “non chiari con particolare riguardo alla progettazione grafica delle interfacce e alle modalità di svolgimento del processo di iscrizione ai servizi”, rientranti nella casistica dei cc.dd. dark patterns.
Il fenomeno dei Dark Pattern si sostanzia in modelli di progettazione ingannevoli che, utilizzando specifiche interfacce e percorsi di navigazione, influenzano l’utente affinché intraprenda azioni che, diversamente, non avrebbe compiuto.
Il Comitato europeo per la protezione dati (EDPB) ha pubblicato le linee guida su come riconoscere ed evitare questi sistemi, individuandone sei tipologie.
Letipologie di dark pattern sono le seguenti:
- Overloading, quando gli utenti si trovano di fronte a una enorme numero di richieste, informazioni, opzioni o possibilità finalizzate a spingerli a condividere più dati possibili e consentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato;
- Skipping, quando le interfacce sono realizzate in modo tale che gli utenti dimentichino o non riflettano su aspetti legati alla protezione dei propri dati;
- Stirring, quando le scelte degli utenti sono influenzate facendo appello alle loro emozioni o usando sollecitazioni visive;
- Hindering, quando gli utenti sono ostacolati o bloccati nel processo di informazione sull’uso dei propri dati o nella gestione dei propri dati;
- Flickle, quando gli utenti acconsentono al trattamento dei propri dati senza capire quali siano le finalità a causa di un’interfaccia incoerente o poco chiara;
- Leftinthedark, quando l’interfaccia è progettata in modo da nascondere le informazioni e gli strumenti di controllo della privacy agli utenti.
Il caso
La Società, specializzata nella realizzazione di campagne a performance, si avvaleva di un database di dati relativi ad oltre 21 milioni di interessati, raccolti sia direttamente sia da terzi.
L’Autorità Garante, nel novembre 2021, a seguito di reclami e segnalazioni ricevute da numerosi utenti, ha avviato alcune verifiche sui portali di proprietà dalla Società, riscontrando l’utilizzo dei cc.dd. dark pattern e la mancata adozione della procedura di acquisizione e convalida del consenso (c.d. double-opt in).
Adeguatezza dei consensi
A seguito dell’attività ispettiva è stato rilevato che molti dei portali online utilizzati dalla Società chiedevano, ai fini dell’espletamento della procedura di iscrizione ai servizi offerti, informazioni, di natura obbligatoria, eccedenti le finalità del trattamento e relative alla capacità e alle abitudini di acquisto del cliente, al nucleo familiare dello stesso, all’attività lavorativa svolta, al reddito annuo, e così via enumerando.
E’ apparso evidente che tali richieste andassero nella direzione opposta ai princìpi di liceità, correttezza e trasparenza previsti dalla normativa di settore e che tali modelli fossero progettati per acquisire consensi non validi in quanto “non liberi” e “non inequivocabili”, anzi, per lo più volti ad aggirare la manifestazione della volontà consapevole dell’interessato.
Nei medesimi portali sono state riscontrate molteplici violazioni: mancata acquisizione del consenso per l’invio di messaggi promozionali; obbligo per l’utente di fornire risposte sulle sue abitudini di acquisto; richiesta di inserire i dati di contatto (nome, email) di terzi potenzialmente interessati ai servizi offerti. Da ultimo, anche l’invito a cliccare su un link che conduceva ad un altro sito per scaricare un e-book, con i dati di profilo dell’utente già riconosciuti e i consensi privacy preselezionati.
Nel provvedimento, infatti, si legge che: “In alcuni dei portali esaminati, durante il processo di iscrizione veniva richiesto all’interessato di esprimere uno specifico consenso in merito al trattamento per finalità di marketing di X e alla comunicazione a terzi per finalità di marketing. Se una delle due caselle non veniva selezionata, veniva presentato un pop up che evidenziava la mancanza del consenso e presentava un tasto ben evidente per accettare il trattamento. Il link per continuare senza accettare era posto in basso, fuori dal pop up, in testo semplice (senza il formato grafico del pulsante) scritto con carattere di dimensioni inferiori al resto del testo e, essendo in sovraimpressione, poco visibile (cfr. figure 1 e 2 riportate sopra).”
In molte segnalazioni è stato constatato un abbinamento delle utenze esaminate a un nominativo diverso da quello dell’intestatario dell’utenza. In tale fattispecie, la società ha ritenuto sufficiente che i partner fornissero la sola indicazione dell’indirizzo IP ai fini del consenso prestato. Tuttavia, tale modalità è stata ritenuta insufficiente a certificare la volontà inequivocabile degli interessati, osservando che esistono invece “alternative più idonee a garantire un maggior grado di certezza circa la genuinità della manifestazione del consenso, come la prassi di inviare un messaggio di conferma al recapito indicato in fase di iscrizione”.
Per tali ragioni, il Garante ha ritenuto che la Società non avesse posto in essere tutti gli accorgimenti necessari a contenere il pregiudizio connesso al trattamento dei dati, agendo in violazione degli artt. 5, par. 2 e 24 del Regolamento. Inoltre, sono state rilevate le violazioni degli artt. 5, par. 1, lett. a), b) e c), 6 e 7 del Regolamento ed ha ritenuto necessario, ai sensi dell’art. 58, par. 2, lett. b), irrogare una sanzione alla Società riguardo al fatto che la procedura illustrata realizza un trattamento che, a seconda dell’effettiva concretizzazione, può comportare la profilazione degli interessati senza che vi sia un corrispondente specifico consenso.
Sanzione
Il Garante, tenuto conto delle disposizioni violate del Regolamento e del Codice in relazione a trattamenti, ha applicato l’art. 83, par. 3 (“Condizioni generali per infliggere sanzioni amministrative pecuniarie”), pur ritenendo di dover considerare, da un lato, alcuni elementi aggravanti, tra cui l’utilizzo consapevole di pratiche e modalità ingannevoli e poco trasparenti; dall’altro, alcuni elementi attenuanti, tra cui la tempestiva adozione di misure correttive dopo la ricezione dell’atto di avvio del procedimento e un elevato grado di cooperazione con l’Autorità.
Oltre alla sanzione pecuniaria amministrativa, è stata stabilita anche una sanzione inibitoria relativamente all’utilizzo di determinati canali e al trattamento di tutti quei dati personali per cui la Società non è stata in grado di documentare la raccolta di un valido consenso.
La decisione del Garante, inoltre, riprende anche quanto previsto nelle Linee guida 03/2022 sui dark pattern, dal momento che simili strategie di condizionamento del consenso risultano in evidente contrasto con la disciplina applicabile, così come evidenziato nella pagina informativa sul tema.