Le nuove previsioni del Gdpr pongono l’accento sull’utilizzo dei cosiddetti dark pattern e, di conseguenza, sul tema del legal design come strumento di gestione della della contrattualistica in un’ottica più orientata agli utenti.
Tutto questo nell’ambito della crescente attenzione che le Autorità di controllo europee stanno prestando al tema della trasparenza e della correttezza delle informazioni rese agli utenti non solo in merito al trattamento dei loro dati, ma anche quando questi compiono delle scelte in merito all’adesione o meno ad alcuni servizi online.
Prima di addentrarci nel merito di cosa siano i dark pattern e di come il legal design si stai affermando (in Italia un po’ più lentamente) come metodologia a difesa degli utenti, ripercorriamo i più recenti interventi delle Autorità europee a sanzione delle pratiche scorrette di social network e web company.
Agcm vs Facebook
La prima è stata l’Autorità Garante per la Concorrenza ed il mercato italiana che ha sanzionato Facebook a novembre 2018 per un importo di 10 milioni di euro, ritenendo che le modalità di esposizione delle informazioni verso gli utenti al momento della loro registrazione costituiscono una pratica commerciale scorretta ai sensi degli artt. 21 e 22 del Codice del Consumo (d.l.vo n. 206/2005).
In particolare, l’AGCM sottolinea nel suo provvedimento che, in riferimento a dette informazioni i testi che le contenevano “dilungandosi in complesse e articolate precisazioni tecniche, riportavano le suddette indicazioni, in modo poco chiaro e disorganico, in quanto frammentate in sezioni e paragrafi diversi delle varie normative, senza adeguata evidenziazione dell’utilizzo commerciale dei dati, con innumerevoli rimandi ad approfondimenti non immediatamente accessibili, senza alcuna evidenza a favore del consumatore il quale non poteva, quindi, avvalersi di un quadro informativo unitario completo e agevolmente fruibile“.
Si tratta della cosiddetta informativa stratificata, secondo la tecnica del layering, ampiamente utilizzata sul web e che consiste nella suddivisione delle informazioni in diversi livelli in modo che risulti più agevole per l’utente comprendere le stesse.
CNIL vs Google
Subito dopo, a gennaio 2019, l’autorità Garante per la protezione dei dati personali in Francia (CNIL) ha sanzionato Google con una multa di 50 milioni di Euro rilevando, tra le altre condotte contrarie al Regolamento (UE) n. 679/2016 (GDPR) la violazione degli obblighi di informativa e trasparenza. Anche in tal caso è stato evidenziato che: “informazioni essenziali, quali le finalità del trattamento, i tempi di conservazione dei dati o le categorie di dati personali utilizzati per la personalizzazione degli annunci, sono eccessivamente disseminati in diversi documenti, con pulsanti e collegamenti sui quali è richiesto di fare clic per accedere alle informazioni complementari. Le informazioni rilevanti sono accessibili solo dopo diversi passaggi, il che implica talvolta fino a 5 o 6 azioni”.
Tribunale di Berlino Vs Apple
A questi provvedimenti si unisce la sentenza del Tribunale di Berlino del 27/12/2018 emessa nei confronti di Apple sempre incentrata sulla carenza di informativa e consenso per il trattamento dei dati e con cui i giudici tedeschi hanno applicato i principi del GDPR all’informativa della società di Cupertino del 2011.
Tali interventi, provenienti da Autorità che hanno diversi ambiti di tutela, ci consentono di far emergere un leitmotiv relativo alla tutela degli utenti in generale e riferito alla necessità che essi debbano essere informati correttamente ed in maniera trasparente nel momento in cui i loro dati sono oggetto di trattamento, ma anche quando, in qualità di consumatori, effettuano delle scelte in merito all’adesione o meno ad alcuni servizi online.
Trasparenza e non ingannevolezza dei messaggi ai consumatori
Tale ultimo profilo, ossia la trasparenza e non decettività dei messaggi resi ai consumatori, è storicamente antecedente a quello inerente alla protezione dei dati personali (la direttiva 95/46/CE conteneva un accenno alla trasparenza del trattamento nel considerando 38, ma non disciplinava in maniera espressa tale principio). Già negli anni ‘90 venivano introdotte norme specifiche nel nostro ordinamento, recependo direttive comunitarie (aventi ad oggetto pubblicità, responsabilità del produttore, clausole abusive, vendite fuori dai locali commerciali e a distanza, viaggi tutto compreso), attraverso l’introduzione di obblighi di trasparenza ed informazione in favore di quei soggetti che acquistano prodotti o servizi per motivi diversi dalla propria attività professionale.
Nel tempo, tali obblighi informativi sono stati estesi ed oggi, con le ultime modifiche apportate al Codice del Consumo, sono rafforzati tanto da far ritenere pratiche scorrette le condotte e le omissioni che tendono ad ingannare il consumatore circa la qualità, l’oggetto ed altre caratteristiche del prodotto o servizio offerto.
In parallelo in alcuni ambiti più particolari, come quello dei servizi bancari, finanziari ed assicurativi, si è intervenuti in maniera più stringente ponendo specifici obblighi informativi precontrattuali attraverso la standardizzazione dei documenti attraverso cui fornire tali informazioni (il “Prospetto informativo europeo standardizzato” per i servizi bancari, il prospetto informativo che deve necessariamente precedere l’offerta di strumenti finanziari, i set informativi previsti nel settore assicurativo) ed addirittura, per gli investimenti finanziari, l’obbligo di sottoporre l’investitore non professionale a dei questionari per la valutazione dell’adeguatezza del rischio di investimento.
Le previsioni del GDPR
A questo complesso di norme si sono aggiunte le previsioni del GDPR che all’art. 5 ha espressamente disciplinato il principio di “trasparenza” del trattamento dei dati personali, dettandone poi la disciplina specifica all’art. 12. Il primo comma di tale articolo espressamente prevede che le informazioni devono essere rese “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”. Esse sono rese per iscritto o con altri mezzi compresi quelli elettronici. Il comma 7° inoltre prevede la possibilità che le informazioni siano rese in combinazione con icone standardizzate, al fine di “dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto”. Tali icone, che la Commissione Europea deve individuare stabilendo anche le procedure per fornire quelle standardizzate, devono poter esser lette da un dispositivo automatico se presentate elettronicamente.
Il richiamo al linguaggio “semplice e chiaro” e a modalità di presentazione “comprensibile e facilmente accessibile” è contenuto anche nell’art. 7 GDPR, in merito alle manifestazioni di consenso al trattamento dei dati personali.
Le linee guida del Working Party art. 29
Il Working Party art. 29 ha pubblicato il 29/11/2017, successivamente emendandole l’11/4/2018, le “Linee guida sulla trasparenza ai sensi del Regolamento 679/2016” in cui vengono trattati specificamente i profili della trasparenza delle informazioni, anche con riferimento alle modalità con cui esse sono fornite ed alla possibilità di assolvere agli obblighi previsti dal Regolamento attraverso informative online stratificate che racchiudano in sezioni le informazioni da fornire (ferma rimanendo l’esigenza di consentire all’interessato di consultarle in un unico documento).
Il parallelismo tra diritto dei consumatori e protezione dei dati personali è confermato dalla Carta di Nizza, in cui sono menzionati sia il secondo (art. 8) sia il primo (art. 38).
Ci si deve chiedere, a questo punto, quali siano i punti di contatto tra le due normative e quali condotte esse vogliono scongiurare.
Come si è già anticipato il principale obiettivo è quello di tutelare la parte debole, ossia il soggetto che nello specifico rapporto si trova in una situazione di asimmetria informativa. La tutela viene assicurata, appunto, obbligando il prestatore di servizi a fornire dette informazioni. Ma ciò non basta, in quanto nella pratica sarebbe facile per tale prestatore eludere l’obbligo sia omettendo parte di quanto tenuto a svelare sia, al contrario, dicendo più del dovuto, così creando un surplus informativo che rende difficile per il consumatore/interessato comprendere effettivamente il messaggio.
Nel mondo del digitale tali comportamenti si arricchiscono di altri strumenti. Il disegno dell’interfaccia di un sito o di un’applicazione, la creazione di quella che viene definita User Experience (UX) ha assunto oramai una rilevanza centrale nello sviluppo del business e non è un caso che le interfacce vengano rapidamente modificate e testate per ottimizzare il percorso degli utenti inducendoli a scelte di consumo (spesso basandosi su analisi – sia individuali sia statistiche – dei comportamenti).
Cosa sono i “dark pattern”
Ma, come evidenziato in un report del Consiglio dei consumatori norvegese, la UX può essere utilizzata anche per creare dei “dark patterns” ossia dei percorsi nel design delle interfacce volti a spingere gli utenti a compiere azioni che altrimenti non avrebbero svolto, a rendere più difficile il compimento di altre o a nascondere informazioni. Nell’ambito dei dark patterns rientrano le caratteristiche tipografiche di alcune parole, il colore delle interfacce e dei pulsanti di scelta, il collocamento degli stessi, o il creare un senso di urgenza per il compimento di determinati comportamenti.
In particolare, la preselezione della condivisione dei dati personali o comunque l’associazione di tale scelta a tasti predefiniti ed evidenziati costituiscono comportamenti, che, stante l’importanza della profilazione degli utenti per alcune piattaforme, sono ampiamente utilizzati sul web, accompagnati spesso anche dalla configurazione di percorsi tortuosi ed ostici per cambiare le impostazioni ed esercitare l’opt-out.
A tali aspetti prettamente grafici si associa, come evidenziato anche dal provvedimento dell’Autorità antitrust riportato all’inizio del presente articolo, l’uso di particolari frasi o parole a seconda del contesto, ponendo l’accento sugli aspetti positivi delle azioni favorevoli alla piattaforma ed evidenziando invece quelli negativi per comportamenti che la piattaforma non desidera incentivare (a volte collegati alla prospettazione di premi o punizioni in termini di usabilità del servizio).
Infine, i dark pattern vengono utilizzati per dare un’illusione di controllo all’utente in modo da indurlo a fidarsi maggiormente della piattaforma e, pertanto, a consentire l’utilizzo dei propri dati (il cosiddetto paradosso del controllo).
Il tema da ultimo sviluppato, ossia l’utilizzo diffuso di pratiche decettive nel mondo digitale, ci fa comprendere che il tema della trasparenza non si pone solo ed unicamente in termini di linguaggio utilizzato, ma si fonde necessariamente nelle condotte concrete con cui si procedere a fornire le informazioni che la legge richiede vengano fornite, così correlando in maniera sempre più stretta le previsioni del GDPR con quelle della tutela dei consumatori.
Oltre agli obblighi di rendere le informazioni diviene necessario adeguare la presentazione delle stesse al medium in cui sono comunicate, considerando, ad esempio, che ben diversa è la presentazione di un’informativa su un browser comune rispetto alla presentazione della stessa su una app.
In tale contesto, visto anche che viviamo in una società in cui la fruizione delle informazioni è diventata molto più veloce e che preferisce le immagini al testo (prova ne è la crescita di social network come Instagram), a chi scrive sembra che, nell’ottica di una tutela degli utenti ma anche dei fornitori dei servizi, diventino sempre più importanti e centrali l’adozione di approcci innovativi che possano conciliare le esigenze di “velocità dei consumi” con quelle di trasparenza e conoscenza degli utenti.
Il Legal design come strumento a tutela dei consumatori
Tra tali approcci si sta sempre più affermando il cosiddetto Legal Design, un metodo nato a Stanford, ma di cui già potevano vedersi le basi nel concetto di “proactive law” (ripreso anche dal Comitato Economico e Sociale Europeo), considerato anche dall’Associazione Nazionale Magistrati, e che sta prendendo piede anche in Europa.
Secondo il Legal Design l’informazione giuridica, dalle leggi ai contratti, dalle privacy policy alle sentenze, deve essere redatta utilizzando un approccio interdisciplinare, che unisce il diritto, il design thinking e la tecnologia, per favorire la conoscenza delle regole, semplificando i processi e le modalità con cui esse sono esposte ai destinatari.
E’ una metodologia che nel contesto di cui abbiamo trattato può rivelarsi molto utile, e già esistono startup in Europa che propongono con successo servizi per la semplificazione della gestione della contrattualistica in un’ottica più orientata agli utenti.
In Italia sono stati ancora pochi coloro che hanno trattato questo nuovo approccio, dal punto di vista divulgativo ma anche scientifico. Possiamo augurarci che con l’implementazione del sistema iconografico richiesto dal GDPR da parte della Commissione Europea e, soprattutto, sulla spinta della sempre maggior attenzione che le Autorità stanno ponendo sulla trasparenza delle informazioni, cresca una consapevolezza circa il cambio di paradigma richiesto nel mondo digitale rispetto ai diritti degli utenti di essere informati ed a non essere indotti in maniera decettiva ad effettuare delle scelte, risultato che potrà essere ottenuto solo utilizzando tutti gli strumenti – grafici, testuali e relativi alla UX – che la tecnologia oggi mette disposizione.
