Trattamento dati, i dark pattern sempre più nel mirino USA e UE: un confronto normativo - Cyber Security 360

DATA PROTECTION

Trattamento dati, i dark pattern sempre più nel mirino USA e UE: un confronto normativo

Europa e USA si stanno occupando dei dark pattern e su entrambe le sponde dell’oceano aumenta la sensibilità nel sanzionare queste pratiche “oscure” condotte dalle piattaforme Web e volte a ingannare il consumatore/interessato spingendolo a dare il consenso al trattamento dei propri dati personali. Il punto

24 Feb 2021
L
Gianmaria Le Metre

Avvocato, Privacy advisor

M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

La recente sanzione dell’AGCM verso Facebook – ove si è ribadita la capziosità e ingannevolezza nel far aderire gli utenti al social affermandone l’uso gratuito senza dare immediata contezza del valore commerciale dei dati personali usati come “prezzo” dell’iscrizione – si può ben inquadrare nella stretta sempre più forte verso le pratiche di dark pattern.

Dall’altra parte dell’oceano anche gli USA si stanno occupando della tematica, in quanto le discussioni sul CCPA (ovvero della normativa californiana sulla protezione dei dati dei consumatori, probabile base per una riforma federale della materia) e sugli atti collegati mirano a colpire anch’esse le pratiche “oscure” in parola.

Possiamo già trarre un bilancio della situazione: per i dark pattern si prospetta un futuro “nero”, se permettete il gioco di parole. Da parte delle autorità statunitensi e di quelle europee aumenta la sensibilità nel sanzionare queste pratiche volte ad ingannare il consumatore/interessato e a spingerlo verso scelte che non vorrebbe fare.

I tempi sono maturi per un quadro della situazione attuale ed emergente, sia in casa nostra che dai vicini americani.

Dark pattern: per una definizione normativa

Rimandiamo ad articoli precedenti approfondimenti sulla storia del concetto di dark pattern e sulle ricerche che li hanno approfonditi. Qui ci limitiamo a richiamare la risposta data dalla Commissione Europea a un quesito parlamentare del 2019 proprio sul tale concetto e che abbraccia l’ampiezza delle normative coinvolte:

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence

Il termine “dark pattern” non è definito legalmente ma si riferisce a pratiche utilizzate nei siti web e nelle app che influenzano gli utenti a prendere decisioni che altrimenti non prenderebbero. Ai sensi dell’articolo 5, paragrafo 3, della Direttiva e-Privacy, la memorizzazione di informazioni (come il posizionamento di cookie) nell’apparecchiatura terminale di un abbonato o utente richiede un consenso che deve essere inteso allo stesso modo del Regolamento Generale sulla Protezione dei Dati (GDPR). Se il consenso viene fornito sulla base di informazioni fuorvianti, il consenso non sarà valido. In particolare, ai sensi dell’articolo 4, comma 11, del GDPR, il consenso deve essere espresso liberamente, specifico, informato e inequivocabile mediante una chiara azione affermativa che significhi consenso al trattamento dei dati personali.

L’articolo 7 del GDPR prevede inoltre che la richiesta di consenso sia presentata in modo chiaramente distinguibile dalle altre materie, in forma intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. Deve anche essere facile revocare il consenso quanto darlo.

Se un consumatore è indotto in errore da informazioni false o ingannevoli per prendere una decisione commerciale che non avrebbe preso altrimenti, come l’acquisto di un prodotto, le autorità nazionali o i tribunali potrebbero considerarla una pratica commerciale sleale vietata dalla Direttiva 2005/29 /CE (UCPD) e concedere un risarcimento secondo le norme nazionali. Il diritto comunitario vieta pratiche specifiche, come l’utilizzo di caselle preselezionate, la descrizione di un prodotto come “gratuito” se il consumatore deve pagarlo, rendere difficile l’annullamento dell’iscrizione dopo un periodo di prova gratuito e il “baiting-and-switching”. Gli interessati o i consumatori che sono stati indotti in errore possono presentare ricorsi alle autorità o agli organismi competenti negli Stati membri incaricati dell’applicazione del GDPR o dell’UCPD, o presentare ricorsi ai tribunali nazionali, individualmente o collettivamente”.

Oltre a una definizione viene assodata l’attualità della tutela.

E non diversamente viene inteso tale concetto nel sistema normativo statunitense: ad esempio, la citata pratica “bait-and-switch” (prassi di promozione di un articolo/servizio come gratuito che poi si scopre non più disponibile, a quel punto offrendo articoli/servizi simili a condizioni diverse come un prezzo più elevato) è riconosciuta come frode dal Code of Federal Regulations, sulla base di un’affine rappresentazione.

Si sta approdando (finalmente) a una concezione realistica e psicologicamente matura degli interessati/consumatori, non più agenti perfettamente razionali bensì esseri umani limitati da bias ed euristiche, soprattutto inconsapevoli, sfruttati ad arte dall’”evil design” di chi se ne avvantaggia.

Ragion per cui anche la normativa e la giurisprudenza devono evolversi nel riconoscere tali pratiche, sanzionandole, sebbene a una lettura tradizionale e formalistica possano apparire in qualche misura lecite.

USA e dark pattern: una prima sanzione

Concentrando lo sguardo verso gli Stati Uniti d’America, la Federal Trade Commission (FTC) sta prestando sempre più attenzione all’uso di dark pattern da parte delle imprese americane.

Un esempio non remoto: è di settembre la sanzione nei confronti di Age of Learning per l’inserimento di dark pattern nel servizio ABC Mouse, a seguito dell’azione avviata dall’FTC a tutela dei consumatori (peraltro minorenni).

ABC Mouse è una app dedicata ai bambini a scopo educativo. Ciò che è stato contesto alla società americana è stata l’estrema difficoltà riscontrata dagli utenti per cancellarsi dal servizio. A differenza di quanto pubblicizzato, la procedura di cancellazione imponeva all’utente di districarsi in un labirinto informativo che scoraggiava sensibilmente dal compimento.

Aggravante – cosa che è costata molto cara all’azienda – è stato l’inserimento di quelle che vengono definite “Negative Option”, ossia dei meccanismi per il quale il consumatore accetta automaticamente e in maniera periodica la fornitura di un servizio, fino a quando questi non si adoperi attivamente per la cancellazione.

Si tratta di un meccanismo inverso a quello classico, dove alla somministrazione dell’offerta del servizio segue un’accettazione espressa da parte del consumatore.

Il tribunale ha quindi sanzionato Age of Learning comminando una sanzione di 10 milioni di dollari, imponendo alla società di fornire adeguate informazioni sulle “Negative Option”, ottenere il consenso dal consumatore per l’utilizzo di queste pratiche, rendere davvero semplice la cancellazione dal servizio e mantenere i registri per almeno 20 anni a comprova dell’adeguamento alla sanzione comminata.

Insomma, il dark pattern applicato (detto anche “roach motel”, per cui è facile entrare ma molto difficile uscire) è stato riconosciuto e sanzionato senza esitazioni.

USA e dark pattern: le normative privacy californiane

A livello statale gli USA fanno ben sperare per le disposizioni previste dal California Consumer Privacy Act (CCPA) e dal California Privacy Rights Act (CPRA). Il California Consumer Privacy Act è un provvedimento che prevede da un lato delle disposizioni atte a dare la possibilità ai californiani di avere un maggiore controllo dei propri dati e dall’altro regola ciò che le aziende possono fare con tali dati. Uno dei principi cardine del CCPA è la necessità di trasparenza.

Il 12 ottobre 2020 il procuratore generale della California ha annunciato un nuovo ciclo di proposte di modifica al CCPA. In tali proposte è inclusa una disposizione (sez. 999.315 (h)) che limita il numero di passaggi necessari per rinunciare alla cessione a terzi dei suoi dati personali, non più del numero di passaggi necessari al consumatore per consentire la stessa cessione (si veda la riconducibilità al pattern “roach motel” detto sopra).

Inoltre, la proposta in parola vieterebbe alle aziende di utilizzare un linguaggio confuso quando il consumatore cerca di rinunciare a detta cessione (sez. 999.315 (h) (2)).

Infine, si vorrebbe impedire alle aziende di far leggere o ascoltare al consumatore un elenco di motivi e ragioni atte a scoraggiare la rinuncia alla cessione dei suoi dati (sez. 999.315 (h) (3)).

Il tema dei dark pattern viene poi espressamente affrontato dal CPRA che li definisce come “un’interfaccia utente progettata o manipolata con l’effetto sostanziale di sovvertire o compromettere l’autonomia, il processo decisionale o la scelta dell’utente“.

Secondo quanto disposto dalla sez. 1798.140 (h), il consenso dell’interessato ottenuto mediante l’utilizzo dei dark pattern non è da considerarsi valido e inoltre, a mente della sez. 1798.185 (a) (20), incarica il procuratore generale della California di garantire che i meccanismi di opt-out dai servizi offerti dalle aziende non contengano dark pattern atti a confondere o a scoraggiare il consumatore.

In breve: autorità e legislatori americani sono ben consapevoli del tema, stanno già sanzionando le pratiche scorrette che vi rientrano ma stanno focalizzando gli strumenti di tutela per un’efficacia più diretta. Le proposte di normative federali non potranno che seguire questo percorso.

Europa e dark pattern, alla luce di GDPR e regolamento ePrivacy

Venendo al perimetro nostrano, il delicato tema della legittimità dark pattern coinvolge almeno tre dei principi contenuti nel GDPR. Possiamo distinguerli come segue:

  • innanzitutto c’è un problema di trasparenza; il GDPR prevede all’art. 12 l’obbligo per il titolare di fornire tutte le informazioni contenute agli art. 13 e 14 (informativa) in forma trasparente; secondo il Considerando 58 il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili, di facile comprensione e che sia usato un linguaggio semplice e chiaro; l’oscurità di azioni e conseguenze sono una delle basi dei dark pattern;
  • non meno importanti sono i principi della privacy by design e privacy by default previsti dall’art. 25 del GDPR: secondo il primo il titolare del trattamento dovrà valutare il rischio inerente alle al momento della progettazione del sistema, quindi prima che il trattamento inizi, avendo riguardo alle finalità e ai mezzi del trattamento; il principio della privacy by default deve garantire all’interessato che il titolare, per impostazione predefinita, tratti solo dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini; è evidente il conflitto con molte delle pratiche dark pattern, piuttosto dark by design e default nel costringere gli interessati ad attivarsi per evitare penalizzazioni o scoprire tutte le carte in tavola;
  • da ultimo c’è un problema relativo al consenso: se captato attraverso l’utilizzo di dark pattern non può certo definirsi un consenso libero. Ammesso e non concesso che il titolare del trattamento fornisca le informazioni in maniera trasparente e si sia adeguato ai principi ex art. 25 GDPR, l’utilizzo di un dark pattern per l’acquisizione del consenso rischia di vanificare tutto il lavoro svolto in termini di adeguamento al GDPR; durante i primi mesi del 2020 alcuni ricercatori hanno condotto uno studio sui dark pattern post-GDPR e hanno scoperto che molti fornitori di Consent Management Platform (CMP) chiudo un occhio o addirittura incentivano configurazioni chiaramente illegali dei loro sistemi: un monito per chi utilizza tali strumenti.

Sul punto, nell’aprile 2019 l’autorità francese per la protezione dei dati (CNIL) ha pubblicato un report che discute l’importanza del design dell’interfaccia per la tutela degli utenti/interessati.

Nel documento viene inoltre discusso come il consenso raccolto attraverso dark pattern o con altre strategie che hanno lo scopo di disorientare l’interessato non si qualifichi come consenso valido e dato liberamente.

Si ricorda che nel gennaio dello stesso anno il CNIL ha multato Google (per 50 milioni di euro) per aver reso eccessivamente complicato agli utenti l’accesso a informazioni essenziali, come l’ambito della raccolta dei dati, la durata, la retention e la tipologia di dati raccolti per finalità di pubblicità mirata. In attesa di pronunce anche dell’autorità garante italiana sul punto specifico e delle autorità comunitarie (EDPB su tutte), tali precedenti si possono considerare più che autorevoli nell’escludere le pratiche dark pattern dalla liceità nel trattamento dei dati personali.

Anche le riforme legislative non trascurano i dark pattern come affrontati dal GDPR: nella bozza recentemente pubblicata di nuovo Regolamento comunitario ePrivacy, diretto a sostituire la vigente “Cookie law” (cioè la Direttiva 2002/58 e il suo recepimento nel Codice della Privacy), sono molteplici i richiami a prassi di dark pattern (pur senza menzionarle con questo termine), come ad es. i cookie wall che vengono esplicitamente vietati (come già sancito dall’EDPB nelle proprie linee guida sul consenso) se non in casi particolari che offrano realmente scelte libere agli utenti.

Non dimentichiamo, infine, che le già citate normative di protezione dei consumatori (vedi il Codice del Consumo del 2005 e relative Direttive) nel tutelare le prassi commerciali scorrette forniscono ampie basi per colpire tante delle pratiche “oscure” esemplificate sopra (si veda il recente caso Facebook sanzionato dall’AGCM).

Una tutela che non è nemmeno così innovativa: lo si scopre dando spazio a un’interpretazione moderna della truffa contrattuale: ex artt. 1439-1440 c.c. il contratto è annullabile per dolo ove uno dei contraenti “ponga in essere artifici o raggiri diretti a sottacere o a dissimulare alla controparte fatti o circostanze che, qualora fossero stati conosciuti, l’avrebbero indotta ad astenersi dal concludere il contratto”.

Il che va letto in parallelo all’art. 640 c.p. che vieta a un soggetto di trarre un profitto derivante dalla conclusione di un contratto, giovandosi dell’inganno a danno della controparte.

Concludendo con un richiamo alla buona fede sempre dovuta ai sensi dell’art. 1337 c.c. nel corso delle trattative contrattuali. I dark pattern, in definitiva, si incastrano perfettamente nel solco della tutela del contraente già prevista dal legislatore negli Anni 40.

Trasparenza e legal design: antidoto contro i dark pattern

Sebbene ci sia ancora tanta strada da fare, e nonostante tali pratiche siano largamente tuttora utilizzate dai titolari, il loro utilizzo è una pratica già ritenuta scorretta sia sotto il profilo privacy che sotto il profilo consumeristico, tanto in Europa quanto negli Stati Uniti.

Il che dovrebbe essere una priorità anzitutto per aziende multinazionali che hanno interessi e utenti/clienti tra i due continenti come anche la MPMI che potrebbe non essere ancora consapevole di queste evoluzioni.

I controllori hanno già tutti gli strumenti per riconoscere, sanzionare e correggere tali pratiche, i successivi sviluppi potranno fornire maggiori focus e precisazioni ma il futuro è già qui: i dark pattern non sono più scusabili, il dolo è in re ipsa e una revisione delle proprie pratiche commerciali è imperativa.

Ciò potrebbe comportare un cambio di paradigma: rispettare la legge non è solo un compito di avvocati e giuristi ma anche di designer e altri professionisti coinvolti nella comunicazione con l’utente.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 2