Dark Pattern sempre più presenti all’interno di siti e app. Quali gli impatti lato GDPR e Data Act?

Generalmente, quando si parla di dark pattern, si intendono dei modelli di design ingannevoli che hanno lo scopo di influenzare, manipolare o costringere gli utenti a prendere decisioni online contrari ai loro interessi o che comunque portano un vantaggio competitivo scorretto alle aziende che li utilizzano. 

In particolare, in ambito privacy si possono individuare quantomeno tre tipologie di dark pattern, i quali si possono presentare da soli o in combinazione tra loro:

Come anticipato, il Garante, insieme ad altre 25 autorità privacy internazionali, ha condotto un’indagine conoscitiva su 1010 tra siti e app per verificare la presenza o meno di eventuali dark pattern. Il report conclusivo della GPEN ha rilevato una frequenza estremamente elevata di dark pattern. Infatti, nel 97% dei casi, è stata individuata la presenza di almeno una tipologia di dark pattern, progettato per incoraggiare gli utenti a prendere decisioni che potrebbero non essere nel loro interesse. 

Ad esempio, un aspetto interessante rilevato all’interno dei siti ed app verificati (che spaziano dai siti di retailer che offrono beni o servizi agi utenti finali, ai siti di viaggio e prenotazioni online, come anche ai siti di news & media oppure ai siti di automotive e IoT) è che permane tutt’ora una non corretta gestione dei cookie. 

Infatti, in più del 60 per cento dei casi analizzati dal Garante, i cookie banner mostravano con maggiore enfasi l’opzione meno favorevole per la privacy degli utenti e, nel quasi 40 per cento dei casi, per rifiutare tale opzione l’utente era costretto a un maggior numero di passaggi. Tale analisi evidenzia chiaramente come molte aziende non abbiano ancora correttamente implementato le indicazioni fornite dal Garante con le Linee guida sui cookie e altri strumenti di tracciamento del 2021 e come, ancora oggi, il controllo sulla corretta implementazione dei cookie rappresenti una delle priorità del Garante, riportata anche nel piano ispettivo del 2024.

Un ulteriore aspetto importante emerso dall’analisi è la notevole difficoltà per gli utenti nella cancellazione dei propri account, spesso molto più complessa rispetto alla facilità con cui possono essere creati. Infatti, nei siti esaminati, il processo di cancellazione di un account è risultato ostacolato da vari fattori quali ad esempio: la mancanza di una funzione chiara di cancellazione (nel 55 per cento dei casi analizzati non è stato in alcun modo possibile per le autorità trovare l’opzione per eliminare il profilo), il numero eccessivo di passaggi necessari per completare il processo e l’uso di un linguaggio mirato a scoraggiare l’utente.

In tali casi è stata infatti rilevato l'uso di pratiche di "obstruction" (ossia quel fenomeno che si basa sull’impiego di elementi di design e tecniche di presentazione dei contenuti che alterano la percezione e la comprensione da parte dell’utente delle opzioni a sua disposizione), finalizzate a creare barriere tra gli utenti e i loro obiettivi, rendendo per loro più difficile effettuare le scelte desiderate, ad esempio utilizzando un linguaggio emotivamente manipolativo o introducendo passaggi aggiuntivi per dissuadere l’utente dal completare il processo di cancellazione.

Per questi motivi è opportuno che le organizzazioni progettino le proprie piattaforme, in modo da consentire agli utenti di prendere decisioni consapevoli ed informate. 

Questo principio assume un'importanza particolare nel settore dell’automotive e del'Internet of Things -già analizzato all’interno del report- soprattutto alla luce del Data Act.

Come noto il Regolamento Europeo n. 2023/2854 (“Data Act”) introduce obblighi rilevanti in merito alla condivisione di dati personali e non tra gli operatori di mercato, con l'obiettivo di promuovere e favorire un'economia basata sui dati. Le sue disposizioni entreranno in vigore a partire da settembre 2025 ma è già opportuno interrogarsi come queste si integreranno con le normative esistenti e, in particolare, come affronteranno il problema dei dark pattern. 

I dark pattern rappresentano infatti una minaccia significativa anche con riferimento alla corretta e trasparente applicazione del Data Act, in quanto potrebbero ostacolare la comprensione da parte degli utenti dei propri diritti, come il diritto di accesso e portabilità dei dati generati da dispositivi connessi, e come poterli esercitare. 

È interessante notare come l’art. 4, par. 4 del Data Act vieta espressamente l'uso di dark pattern, specificando che: "I titolari dei dati non devono rendere indebitamente difficile l’esercizio delle scelte o dei diritti degli utenti, ad esempio offrendo loro opzioni in modo non neutrale o compromettendo la loro autonomia decisionale attraverso la struttura, il design o le funzioni dell’interfaccia utente."

Analogamente a quanto visto in merito alla difficoltà lato privacy di cancellare il proprio account, lato Data Act potrebbero verificarsi situazioni in cui la possibilità di accedere e scaricare i dati da un prodotto connesso o da un servizio correlato non sia facilmente accessibile o addirittura non prevista. Ciò in aperta violazione degli obblighi previsti dagli artt. 3 e 4 del Data Act che stabiliscono chiaramente che gli utenti devono poter accedere ai propri dati direttamente dal prodotto o servizio connesso o, in alternativa, tramite richiesta inviata al titolare dei dati.

L'uso di linguaggi tecnici complessi o interfacce volutamente confuse non solo compromette l’esperienza dell'utente, ma può anche portare a importanti violazioni sia delle norme attuali in tema di protezione dei dati e gestione dei cookie, ma anche delle normative di prossima applicazione, tra cui appunto il Data Act che entrerà in vigore a settembre 2025.

Oltre alle disposizioni del GDPR e del Data Act, anche il Digital Services Act (Reg. UE. n. 2022/2065 - DSA) introduce misure specifiche per limitare l’uso dei dark pattern nelle piattaforme digitali. Il DSA, che rientra nel più ampio pacchetto di regolamentazione digitale dell'Unione Europea, mira a creare uno spazio digitale più sicuro e trasparente, proteggendo gli utenti dalle pratiche ingannevoli che potrebbero limitare la loro autonomia decisionale online. Il DSA, entrato in vigore nel 2022 e applicabile da febbraio 2024, stabilisce infatti nuove responsabilità per le piattaforme, con particolare attenzione all’obbligo di trasparenza e protezione nei confronti di utenti e consumatori.

In questo senso l'art. 25 del DSA vieta esplicitamente l’uso di dark pattern, stabilendo come i fornitori di piattaforme online non devono progettare, organizzare o gestire le loro interfacce online in modo da ingannare o manipolare gli utenti, assicurando così agli stessi la capacità di scegliere in maniera libera ed informata. Questo divieto è particolarmente rilevante soprattutto per i fornitori di grandi piattaforme, ma rappresenta un obbligo fondamentale anche per tutti gli operatori commerciali soggetti al DSA.

Di fatto, con il DSA e le altre normative in vigore o che presto diverranno tali, l’UE intende limitare le pratiche che alterano o manipolano le scelte prese dagli utenti online, dando loro un controllo effettivo e concreto sulle loro decisioni. L’approccio sempre più rigido dell’Unione Europea verso i dark pattern dimostra una chiara volontà di tutela di interessati, utenti e consumatori, consolidata non solo dal GDPR ma anche dal Data Act e dallo stesso DSA.

Da un lato è infatti cruciale per le aziende assicurarsi una corretta gestione dei cookie in linea con le indicazioni del Garante, un tema tutt’ora attuale e prioritario alla luce del piano ispettivo del Garante. La verifica e l'adeguamento delle piattaforme a queste regole rappresenta un passo imprescindibile per evitare sanzioni e per garantire una corretta raccolta e gestione dei consensi.

Dall’altro è evidente come l'introduzione del Data Act rappresenti una sfida importante per le aziende, le quali dovranno ripensare e migliorare il design delle proprie piattaforme digitali per garantire agli utenti un controllo chiaro e trasparente sui propri dati. 

Le organizzazioni devono pertanto adeguarsi a queste normative per evitare di incorrere in sanzioni, assicurando allo stesso tempo un ambiente online trasparente e sicuro per gli utenti. In questo senso, il rispetto delle disposizioni del DSA e del Data Act non rappresentano solo un obbligo normativo ma un’opportunità per migliorare la fiducia e la soddisfazione degli utenti, offrendo un ambiente digitale più etico e rispettoso dei diritti degli individui.