Gli Stati Uniti potrebbero intervenire in via legislativa per arginare il fenomeno del dark pattern.

In estrema sintesi, possono essere definite come pratiche di dark pattern tutte le interfacce con cui i programmatori confondono consapevolmente gli utenti, complicando le modalità per esprime le proprie preferenze effettive o manipolando gli utenti affinché intraprendano determinate azioni. Pertanto, sono pratiche che incidono sulla libertà di manifestazione del consenso, sfruttando baias cognitivi, al fine, in genere, di favorire i consumatori online ad acquistare beni e servizi che non desiderano o a rivelare informazioni personali che preferirebbero non divulgare.

Secondo una ricerca del 2019 della Princeton University, su 11.000 siti passati in rassegna, circa il 10% conterrebbe dark pattern. È interessante notare che, in una ricerca dell’anno successivo, si evidenzia invece che ben il 95% app gratuite disponibili sul PlayStore Google conterrebbe elementi che incidono negativamente sulle modalità di manifestazione del consenso da parte degli utenti. Si tratta di dati forse approssimativi, che però spiegano sia l’estensione del ricorso a tali pratiche, sia, al contempo, la velocità con cui si stanno diffondendo.

Del resto, è opinione diffusa che internet stia vivendo una nuova stagione e che si sia passati da servizi informatici che controllavano gli utenti a servizi informatici che incidono, in maniera manipolativa, sui loro comportamenti. Quindi non siamo più semplicemente al cospetto di un uso dei dati – per lo più in forma aggregata, quali big data – per le finalità più disparate (influenza commerciale, politica, ecc.), ma siamo oramai entrati nell’era in cui i nostri comportamenti sono indirizzati dalle piattaforme. Basti pensare, a titolo di banale esemplificazione, alle immagini che spesso gli utenti condividono sui social network (Instagram, Facebook, TikTok) e alla ripetitività delle situazioni e dei contesti ritratti: foto di caffè, pizze con gli amici, foto in ascensore e così via discorrendo. Immagini (foto o video) che riprendono momenti di assoluta quotidianità, che, di per sé, non hanno nulla di eccezionale, ma che denotano l’esigenza, per dir così, degli utenti di sentirsi vivi e di dimostrarlo all’esterno, coinvolgendo amici e semplici conoscenti nelle proprie attività, spesso banali e ripetitive.

Il dark pattern è alla base di una proposta di legge statunitense, il Deceptive Experiences To Online Users Reduction (DETOUR) Act. Si tratta di una proposta non ancora approvata in via definitiva, per quanto è dato sapere, ma che, ciononostante, offre degli spunti di riflessione interessanti.

Innanzitutto, l’ambito di applicazione soggettiva è circoscritto alle sole piattaforme online più popolari, quelle cioè con oltre cento milioni di utenti attivi mensilmente. Un simile approccio, è noto, è stato seguito anche a livello europeo nella direttiva europea in materia di copyright, recentemente recepita a livello interno, le cui regole di responsabilità sono si basano sul numero di utenti delle piattaforme informatiche, con una esenzione nel caso delle piattaforme più piccole: un modo, questa è la lettura prevalente in dottrina, di non limitare lo sviluppo dei nuovi operatori e, quindi, di non radicalizzare le posizioni monopolistiche o oligopolistiche già presenti sul mercato.

In secondo luogo, il presupposto per l’applicazione – questa volta sotto il profilo oggettivo – è il ricorso ad interfacce che compromettano intenzionalmente l’autonomia, il processo decisionale o la scelta dell’utente. La normativa, laddove dovesse essere confermato il testo in discussione, troverebbe quindi campo solo dinanzi ad un dolo da parte del gestore della piattaforma.

Una scelta che, naturalmente, sarebbe difficilmente imitabile in sede comunitaria, attesa la già ricordata estensione delle pratiche commerciali sleali anche ai casi in cui l’incidenza sui processi volontaristici del consumatore sia determinata da una condotta colposa. Allo stesso modo, adottando una simile conclusione si genererebbe una sorta di probatio diabolica in capo all’utente, chiamato a dover dimostrare la volontarietà della condotta del gestore della piattaforma.

Il punto interessante – seppur ancor vago nella sua formulazione – è quello che riguarda il divieto della suddivisione o segmentazione dei consumatori ai fini di profilazione (o altri esperimenti comportamentali) senza una preventiva informativa al consumatore, informativa che deve essere chiaramente visibile e non “sepolta” in un contratto di servizi.

La soluzione è interessante e tiene conto delle peculiarità anche del mezzo informatico: alcune ricerche accademiche hanno dimostrato chiaramente che la maggior parte degli utenti non legge le condizioni generali dettate unilateralmente dai fornitori dei servizi (un esempio classico sono le licenze per l’utilizzo dei software). La proposta di legge statunitense impone quindi di dare un’evidenza, anche da un punto di vista grafico, a tali comunicazioni: si pensi, ad esempio, all’uso di pop-up, che potrebbero attirare più semplicemente l’attenzione dell’utente.

Si crea, per questa via, una categoria di informazioni che non solo devono essere fornite al consumatore, ma devono essere portate a conoscenza di quest’ultimo separatamente dalle altre.

Ma v’è di più. I grandi operatori delle piattaforme on-line, così come precedentemente qualificati, hanno altresì l’obbligo di inviare un’ulteriore comunicazione agli utenti, con scadenza almeno trimestrale, rammentando l’uso delle informazioni personali per fini di profilazione comportamentale o psicologica degli stessi. Anche in questo caso, l’opzione legislativa sembra finalizzata, più che a imporre una regola formale, a determinare un’effettività della stessa.

Il legislatore americano, quindi, sembra essere consapevole che le informazioni necessarie a determinare consapevolezza negli utenti non raggiungono l’obiettivo prefissato essendo calati in un regolamento contrattuale lungo e di ardua comprensione e che, dunque, siano necessari degli strumenti differenti.

Infine, si prevede una competenza in capo alla Federal Trade Commission, che avrà il compito d fissare i requisiti della nuova normativa. Peraltro, in maniera apprezzabile, si vorrebbe affidare a tale autorità anche la funzione di aggiornare tali requisiti in funzione delle evoluzioni tecnologiche del settore.

Giovanni Maria Riccio

L'articolo Dark Pattern: nuove strategie legislative dagli Stati Uniti proviene da E-Lex.

Sono aperte le iscrizioni alla nuova edizione del Master per Responsabili per la transizione al digitale (RTD) che si terrà nei mesi di febbraio, marzo e aprile interamente online.

La nuova edizione del percorso formativo che nasce per approfondire i principali ambiti di attività dei Responsabili per la transizione al digitale presenta un programma aggiornato alle novità introdotte dai Decreti Semplicazioni e dall’aggiornamento del Piano triennale per l’informatica nella PA 2021-2023 ed è strutturato per approfondire i principali obiettivi fissati dal PNRR per la trasformazione digitale della PA.

Oltre al modulo base, come già avvenuto nell’edizione 2021, è stato inserito anche un modulo avanzato – acquistabile insieme al percorso base o singolarmente – con quattro verticalizzazioni tematiche dal taglio fortemente pratico dedicate ad alcuni dei temi di maggiore interesse per il RTD: piano triennale, software e cloud, accessibilità e sicurezza. Le lezioni saranno tenute da consulenti esperti nei processi di trasformazione digitale nella Pubblica Amministrazione, tra cui l’Avv. Ernesto Belisario e l’Avv. Francesca Ricciulli.

Il master è organizzato nell’ambito del progetto La PA Digitale del Gruppo Maggioli, curato dai professionisti dello Studio E-Lex Ernesto Belisario, Francesca Ricciulli e Stelio Pagnotta.

Modulo base
6 lezioni online della durata di 4 ore ciascuna con spazi per il confronto con docenti, discussioni partecipate ed esempi operativi.
Consulta il programma del modulo base

Modulo avanzato
4 lezioni online della durata di 6 ore ciascuna con taglio fortemente pratico e spazi per il confronto con docenti, discussioni partecipate ed esempi operativi. Ciascuna lezione sarà caratterizzata da una specifica attività laboratoriale volta a realizzare specifici piani e manuali operativi utili a guidare le attività del Responsabile per la transizione al digitale.
Consulta il programma del modulo avanzato

Scarica la brochure con il programma di dettaglio del Master e il modulo per l’iscrizione.

L'articolo Amministrazione digitale: aperte le iscrizioni alla nuova edizione del Master per RTD proviene da E-Lex.

A seguito delle sue indagini, la CNIL ha stabilito che i banner dei domini facebook.com, google.fr e youtube.com non permettono all’utente di rifiutare i cookie con la stessa facilità con cui li può accettare.

La continua evoluzione dell’information technology impone una riflessione sul diritto alla privacy degli internauti. Sia che tale diritto si riferisca alla protezione dei dati personali, che alla libertà di scelta, le azioni svolte online dagli utenti assumono un peso e una concretezza peculiari nell’universo di internet. Se per un utente può sembrare innocuo consentire l’uso dei cookie dal proprio terminale1, il suo consenso è di sicuro interesse per chi i suoi dati personali li tratta per finalità commerciali e di profilazione2. A tal proposito, sarebbe da chiedersi fino a dove possano spingersi i service provider per ottenere il consenso all’installazione di questi identificativi. Per avere un’idea di dove si attesti la soglia di legalità, può essere utile fare riferimento alle recenti sanzioni comminate dall’autorità francese per la protezione dei dati personali (la CNIL3), che ha condannato i due giganti Google e Facebook al pagamento di sanzioni per un totale di 210 milioni di euro4. Fino ad ora, in UE, queste sono le multe più pesanti mai inflitte per questo genere di violazione.

A seguito delle sue indagini, la CNIL ha stabilito che le modalità di rifiuto dei cookie sui domini facebook.com, google.fr e youtube.com sono in contrasto con la direttiva ePrivacy 2002/48/CE e con il Regolamento 679/2016/UE (GDPR), non permettendo all’utente di rifiutare i cookie con la stessa facilità con cui questi possono essere accettati. In buona sostanza, accanto al bottone “accetta i cookie” non ve n’è un altro per rifiutarli. Al contrario, per proseguire la navigazione e rifiutare l’installazione dei cookie sono necessari più passaggi rispetto al singolo click sufficiente per accettare e proseguire.5

Obbligo di trasparenza

Le disposizioni della direttiva ePrivacy e del GDPR sorreggono la decisione della CNIL. Da una parte, l’art. 5 (3) della direttiva prevede che l’utente sia informato in modo chiaro e completo circa le finalità, l’installazione e la possibilità di rifiutare i cookie sul proprio terminale. Dall’altra, l’art. 9 (1) lascia intendere che l’utente debba sempre prestare il proprio consenso quando i cookie installati sul terminale costituiscano un valore aggiunto, come, ad esempio, l’offerta di pubblicità mirata. Allo stesso modo, ai sensi del GDPR, il consenso dell’interessato deve essere libero, specifico, univoco ed informato, oltre che, per i trattamenti automatizzati e la profilazione, esplicito6. Per il titolare del trattamento, ciò si traduce nell’onere di informare l’utente in modo trasparente7 e di porlo nella condizione di rifiutare o accettare i cookie con la medesima facilità8. Tale obbligo di trasparenza può essere soddisfatto tramite la presentazione di cookie banner chiari e non ingannevoli. Come fa intendere la CNIL, e come d’altronde già sancito dal Working Document 02/2013 sull’ottenimento del consenso al trattamento dei cookie9, nel caso in esame il semplice posizionamento dei tasti di accettazione e di rifiuto sullo stesso livello del banner sarebbe stato sufficiente a fornire all’utente una scelta consapevole, incondizionata ed esplicita. Al contrario, Google e Facebook hanno dato adito a dubbi circa il loro utilizzo di dark patterns, ossia di interfacce studiate con la finalità di scoraggiare il rifiuto dei cookie. Un tale genere di interfacce rende più complesso per l’utente agire per il rifiuto rispetto che cliccare per accettare l’installazione degli identificativi sul proprio terminale10. Nella prassi si è anche parlato di questa pratica con lo specifico nome di cookie fatigue (fatica nel rifiuto dei cookie)11. Tutto questo scoraggia l’utente che vuole navigare sul sito a compiere il susseguirsi di azioni necessarie al rifiuto, preferendo concedere i propri dati personali a fronte di una navigazione più spedita12. La questione è di centrale importanza anche alla luce dei recenti sviluppi nel campo. Già nel 2019, con la decisione Planet 4913 , la Corte di Giustizia dell’Unione Europea aveva sotto più aspetti posto dei limiti alla libertà di forma dei mezzi di accettazione e rifiuto e sottolineato l’importanza del consenso. La Corte precisava che

“[i]l consenso dell’utente non può più essere presunto e deve risultare dal comportamento attivo di quest’ultimo”.

Il diritto di discernimento attivo e consapevole dell’interessato è rafforzato dalle recentissime linee guida sui cookie dell’EDPB (per approfondimenti, potete leggere qui) da poco recepite dal nostro Garante14; lo sarà ancor di più con il regolamento ePrivacy di prossima adozione.

L’astraente: un ulteriore deterrente

Oltre alle pesanti sanzioni già irrogate, la CNIL ha fatto uso dello strumento dell’astraente e ha imposto a ciascuna società un’ulteriore sanzione di 100.000 euro per ogni giorno di ritardo dopo la scadenza del termine di 3 mesi fissato per adempiere.

La competenza della CNIL

All’interno di una tale vicenda occorre senz’altro menzionare la questione relativa alla competenza della CNIL. Sia Google che Facebook hanno contestato alla CNIL di non avere competenza sulla questione in quanto, secondo l’art. 60 GDPR, a decidere avrebbe dovuto essere l’autorità di controllo capofila secondo il meccanismo di cooperazione nei trattamenti transnazionali di dati. Se così fosse stato, i casi sarebbero spettati all’autorità irlandese, dove hanno sede gli stabilimenti principali UE di Google e Facebook. Preso atto di ciò, la CNIL ha tuttavia ritenuto di non dover applicare il GDPR. Le ragioni risiedono, da una parte, nel ruolo di lex specialis della direttiva ePrivacy per il trattamento dei dati risultanti da servizi della società dell’informazione. In sostanza, l’articolo 1 (2) della direttiva ePrivacy, stabilisce espressamente che le sue disposizioni precisano e integrano la direttiva 95/46/CE (oggi, GDPR); disposizione avallata dallo stesso GDPR, il cui considerando n. 173 specifica come il Regolamento non si applichi al trattamento dei dati personali di cui alla direttiva ePrivacy. Dall’altra parte, la CNIL chiarisce che il trattamento sanzionato si esaurisce nel completamento dell’installazione dei cookie sul terminale dell’utente. Esso non coinvolge il trattamento oltreconfine da parte degli stabilimenti in Irlanda, che consiste nel vero a proprio utilizzo commerciale dei dati degli utenti e che è a tutti gli effetti un “trattamento successivo”15. Non ha quindi luogo alcun trattamento transfrontaliero che giustificherebbe l’intervento dell’autorità capofila irlandese.16 In virtù di ciò, la CNIL si è ritenuta territorialmente competente poiché il trattamento dei cookie si è svolto interamente in Francia.

In conclusione appare evidente come la cookie policy e i relativi banner debbano essere strumenti neutrali e trasparenti, che vadano di pari passo con le intenzioni e libere scelte degli interessati. Le autorità nazionali per la protezione dei dati costituiscono un eccellente strumento di difesa dei diritti degli interessati, anche quando, come in questo caso, sussista un evidente squilibrio di risorse fra questi e i titolari del trattamento.

1 amazeemetrics.com/en/blog/76-i…

2 wsj.com/articles/big-tech-priv…

3 Commission Nationale de l’Informatique et des Libertés.

4 Google (Alphabet Inc.) è stata multata per 150 milioni di euro; Facebook Inc., per 60 milioni di euro.

5 cnil.fr/fr/cookies-la-cnil-san…

6 Cfr. Art. 22 (2) lett. b), Regolamento 679/2016/UE.

7 Cfr. Art. 12 GDPR.

8 Cfr. per analogia, Art. 7 (3) GDPR.

9 1676/13/EN WP 208, Working Document 02/2013 providing guidance on obtaining consent for cookies (p. 3 – 6).

10 Dark pattern: cosa sono e il loro rapporto con il GDPR, in Cybersecurity 360, cybersecurity360.it/legal/priv…

11 Ibid.

12 Se questo non bastasse a concretizzare l’ipotesi di dark pattern, nel caso di Facebook la CNIL ha scoperto che non soltanto il pulsante per rifiutare i cookie fosse collocato in un sottolivello del banner, ma che fosse oltretutto intitolato “Accetta i cookie” – cfr. cnil.fr/en/cookies-facebook-ir…

13 Causa C 673/17, CGUE.

14 garanteprivacy.it/home/docweb/…

15 Deliberation of the restricted committee No. SAN-2021-024 of 31 December 2021, par. 29.

16 Malgrado ciò, in virtù del collegamento economico fra gli stabilimenti USA, Irlandesi e francesi delle due società, la CNIL li ha ritenuti congiuntamente responsabili. Cfr. cnil.fr/en/cookies-google-fine… e cnil.fr/fr/cookies-sanction-de…

L'articolo Francia: sanzioni complessive per 210 milioni di euro nei confronti di Facebook e Google proviene da E-Lex.