Il Digital Service Act (DSA) è un regolamento dell’Unione Europea che definisce i dark pattern come pratiche che alterano il processo decisionale dell’utente e prevede norme per prevenirli. Il DSA vieta ai fornitori di piattaforme online di limitare la libertà di scelta e di distorcere la progettazione delle interfacce in modo da influenzare il comportamento degli utenti.
Il 24 febbraio 2023, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato le Linee guida sui modelli di progettazione ingannevoli nella piattaforma dei social media interfacce. Questo documento è stato creato per aiutare i gestori dei social media, i designer e gli utenti a riconoscere e prevenire i cosiddetti “dark pattern”, ovvero modelli di progettazione ingannevoli che violano la normativa sulla protezione dei dati personali e sulla privacy.
Le Linee guida dell’EDPB distinguono sei tipologie di dark pattern. La prima è l’overloading, ovvero la presentazione agli utenti di un’enorme quantità di richieste, informazioni, opzioni o possibilità finalizzate a spingerli a condividere più dati possibili. La seconda è lo skipping, ovvero la realizzazione di interfacce in modo tale che gli utenti dimentichino o non riflettano su aspetti legati alla protezione dei propri dati. La terza è lo stirring, ovvero l’influenzamento delle scelte degli utenti facendo appello alle loro emozioni o usando sollecitazioni visive. La quarta è l’hindering che si verifica quando gli utenti sono ostacolati o bloccati nel processo di informazione sull’uso dei propri dati o nella gestione dei propri dati. La quinta è il flickle, ovvero il consenso degli utenti al trattamento dei propri dati senza capire le finalità a causa di un’interfaccia incoerente o poco chiara. Infine, il “leftin thedark”, ovvero l’interfaccia progettata in modo da nascondere le informazioni e gli strumenti di controllo della privacy agli utenti.
Il Garante privacy, in Italia, ha recentemente sanzionato una società che si occupa di effettuare campagne promozionali per clienti medio-grandi via sms, e-mail e tramite chiamate automatizzate. L’attività della società consiste nel veicolare i messaggi ricevuti dal committente ai soggetti presenti nella banca dati della società stessa che si configurano quindi come potenziali futuri clienti. Tuttavia, secondo il Garante privacy, la raccolta dei dati personali non era conforme al GDPR e al Codice privacy, in particolare per l’utilizzo da parte della società di dark pattern finalizzati ad aggirare la volontà dell’interessato.
In particolare, il Garante privacy ha rilevato che la società utilizzava modelli comunicativi non chiari relativamente alla progettazione grafica delle interfacce e alle modalità di svolgimento del processo di iscrizione ai servizi. Inoltre, durante il processo di iscrizione ad alcuni servizi, veniva richiesto all’interessato di esprimere uno specifico consenso in merito al trattamento per finalità di marketing della società, e se una delle due caselle non veniva selezionata, veniva presentato un pop up che evidenziava la mancanza del consenso e presentava un tasto ben evidente per accettare il trattamento. Tuttavia, il link per continuare senza accettare l’opzione collegata alla finalità di marketing era posto in basso, fuori dal pop up, in testo semplice e poco visibile.
Il Garante privacy ha sottolineato come la proposizione del pop up non avesse alcuna utilità per lo svolgimento del processo di iscrizione ma rappresentava, evidentemente, un ulteriore tentativo di raccogliere il consenso dell’utente nonostante questi avesse già chiaramente espresso la propria volontà nella schermata precedente. In questo caso, la società è stata ritenuta colpevole di utilizzare dark pattern finalizzati ad aggirare la volontà dell’interessato, violando così la normativa sulla protezione dei dati personali e sulla privacy.
In generale, le Linee guida dell’EDPB e le azioni del Garante privacy dimostrano l’importanza di prevenire l’utilizzo di dark pattern, che rappresentano una minaccia per la privacy e l’autonomia dell’utente. I gestori dei social media, i designer e gli utenti devono adottare un approccio trasparente e coerente alla progettazione delle interfacce per garantire che gli utenti siano pienamente consapevoli delle scelte che compiono in merito alla condivisione dei propri dati personali. In questo senso, le Linee guida dell’EDPB rappresentano una base importante per prevenire l’utilizzo fraudolento di dark pattern al fine di ottenere il consenso degli utenti senza che questi siano adeguatamente informati.
(F.S)
