GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/752/01.jpg
mercoledì 11 gennaio 2023
di Dott. Alessandro Mammoli
Consenso ai cookie: una sentenza del Garante danese ribadisce che anche il design di un sito web può portare a violazioni del GDPR - il pericolo dei dark pattern.
Contributo degli esperti di acconsento.click
Nel 2021 l'autorità danese per la protezione dei dati personali ha aperto una istruttoria relativa al trattamento dati dei visitatori del sito web www.eb.dk, appartenente il tabloid danese Exstra Bladet. L'azienda redattrice ha deciso di utilizzare una soluzione per la gestione dei consensi al trattamento dati tramite cookie che presenta tre diverse opzioni:
Fin qui tutto bene, ma a uno sguardo più approfondito il Garante ha trovato diverse violazioni del GDPR.
Le tre scelte, ha approfondito il Garante danese, era correlate a colori diversi:
Il click sulla personalizzazione apriva un secondo livello, nel quale l'utente poteva selezionare o deselezionare le singole finalità di trattamento dei dati.
Il Garante danese ha ritenuto queste modalità di raccolta del consenso non valide, perchè non conformi al GDPR. In dettaglio ha cioè ravvisato la violazione degli obblighi di liceità (del trattamento), trasparenza e correttezza. In termini di trasparenza, il Garante danese ha preso atto del fatto che l'utente che ha fatto click su Accetta tutto ha prestato un consenso senza ricevere alcuna informazione sulle finalità dei singoli trattamenti. Un consenso "cumulativo" che non consente all'utente di verificare le finalità dei singoli trattamenti viola apertamente il principio di trasparenza e nega il diritto dell'utente di esprimere un consenso
Infatti, per la conformazione del cookie banner, per avere accesso all'elenco dei singoli trattamenti, e quindi alle loro finalità, l'utente deve accedere al secondo livello del banner, ovvero cliccare sul tasto "personalizza preferenze".
Un altro punto interessante di questo provvedimento è che si concentra anche sui colori utilizzati per colorare i tasti e il testo del cookie banner. Ora, il GDPR non dà alcuna indicazioni specifica su quali colori possono essere impiegati e quali no. L'importante è che il design e in generale la conformazione dei siti web non sia tale da "spingere" l'utente verso scelte che ne possano ledere i diritti.
L'uso del rosso per identificare l'opzione di rifiuto del trattamento dati e del verde invece per accettare "massivamente" tutti i trattamenti è stata qualificata come Dark Patterns.
Per Dark Patterns si intendono quegli elementi dell'UI (user interface) o UX (user experience) pensati e usati allo scopo di disorientare l'utente e spingerlo a compiere azioni indesiderate o comunque con scarsa consapevolezza. Esempi comuni di dark patterns sono i link di disiscrizione dalle newsletter assolutamente microscopici e quasi illeggibili, quei fastidiosi popup che nascondono la X di chiusura al punto da non farla notare più, ma anche messaggi che apostrofano le scelte dell'utente come inappropriate. Ad esempio mostrando all'utente la frase "No grazie, non voglio risparmiare" al posto della semplice possibilità, per l'utente, di non accettare un'offerta.
Il Garante danese ha ritenuto l'uso dei colori rosso, verde e grigio nel cookie banner del sito web come un esempio di dark patterns. Insomma, la conformità al GDPR per i siti web non passa solo dall'adozione di soluzioni tecniche, ma deve rispettare il principio di "privacy by design": la concezione stessa del sito, le sue parti, i suoi livelli, i suoi colori devono essere scelti e ragionati in base alle previsioni del GDPR.
Il provvedimento completo del Garante danese è disponibile qui
martedì 1 ottobre 2024
Leggi tutto...giovedì 26 settembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!