Negli ultimi tempi, le autorità Garanti della protezione dei dati in Europa hanno aumentato l’attenzione sui proprietari di siti web, soprattutto per quanto riguarda l'uso dei cookie banner e la mancata conformità di molti di questi.
Recente è il caso del Garante Spagnolo, che, con il provvedimento EXP202211953 di novembre 2023, sanziona, per una somma di 12mila euro, comportamenti ritenuti scorretti per l'utilizzo dei cosiddetti “dark patterns”, la mancanza di una cookie policy adeguata e il mancato blocco preventivo dei cookie.
Anche in Italia, il Garante della Privacy ha espresso recentemente perplessità simili a quelli del Garante Spagnolo, mettendo in guardia contro l'uso di tecniche non conformi o volte all’uso improprio, come i cosiddetti dark patterns, nei cookie banner.
Ne avevamo parlato anche in questo articolo, dedicato al Registro dei Consensi Cookie ed i Cookie Banner.
Queste tecniche improprie e volte ad aggirare le norme, nei fatti spingono gli utenti a condividere più dati personali di quanto intendano, inducendoli ad accettare i cookie, e costituiscono una distorsione dell’autenticità del consenso raccolto.
Questa situazione pone un crescente rischio di sanzione per le aziende di tutte le dimensioni che, anche inavvertitamente, si sono affidate al fornitore non informato, o ancor peggio mettano in atto queste pratiche non conformi nonostante il rischio.
Un malcostume grave e diffuso
E’ appurato che le pratiche dei dark patterns costituiscono una pratica non conforme, grave, e una violazione sanzionabile.
Ma cosa si intende specificatamente per “dark pattern”?
Il termine “dark pattern” si riferisce a interfacce o implementazioni dell’esperienza utente intese a influenzare il comportamento e le decisioni delle persone nella loro interazione con siti Web, app e social network, in modo che l’utente stesso sia portato a concedere consensi e dati senza alternative, o in modo non conforme alla legge.
Per intenderci, una checkbox preselezionata su un valore “accettato”, senza altre alternative di scelta, costituisce un dark pattern.
Nello specifico, ecco le possibili categorie di dark pattern presenti nelle linee guida:
- sovraccarico: consiste nel presentare troppe possibilità alla persona che deve prendere le decisioni, esaspera l’utente, che finisce per condividere più informazioni personali di quelle desiderate. Le tecniche più comuni per questo metodo di sovraccarico consiste nel mostrare ripetutamente le domande, mostrare troppe opzioni, proporre infinite pagine di scelta.
- occultamento: consiste nel progettare l'interfaccia o l'esperienza dell'utente in modo tale che l'utente non pensi ad alcuni aspetti legati alla protezione dei propri dati, viene distratto da altre informazioni.
- stirring: fare appello alle emozioni degli utenti o utilizzare stimoli visivi sotto forma di effetti per influenzare le decisioni.
- ostacolo: tenta di creare ostacoli affinché l'utente non possa eseguire facilmente determinate azioni. Ciò avviene attraverso tecniche come il posizionamento delle impostazioni sulla privacy in aree a cui è difficile accedere, rendendo di fatto poco fruibile il cambio di impostazioni di consenso, fornendo informazioni fuorvianti sugli effetti di alcune azioni.
- incoerenza: l'interfaccia ha un design instabile e incoerente che non consente all'utente di eseguire le azioni desiderate.
- oscurità: le informazioni o le impostazioni sulla privacy sono nascoste o
presentate in modo poco chiaro utilizzando un linguaggio irregolare e informazioni contraddittorie o ambigue.
Oltre al problema dei dark patterns, c'è una crescente attenzione sul blocco preventivo dei cookie che i banner devono garantire e che, invece, è spesso solo promesso ma non realmente messo in atto.
Nel provvedimento del Garante Spagnolo viene sanzionato infatti proprio il mancato blocco preventivo dei cookie, ovvero l’installazione di Cookie di terze parti, prima che sia stato espresso un qualsiasi consenso da parte dell’utente.
Molti siti web non implementano un adeguato blocco preventivo di questi strumenti, come di altri servizi di tracciamento (vedi Facebook Pixel, LinkedIn Pixel, Google Ads, ecc..) esponendosi quindi a rischi di non conformità e di sanzioni di importi anche rilevanti.
Il GDPR, la normativa europea sulla protezione dei dati, impone requisiti stringenti per la raccolta e il trattamento dei dati personali, e il mancato rispetto di queste direttive può portare a sanzioni economiche niente affatto simboliche: fino al 4% dell’intero fatturato aziendale.
I pericoli dei Dark Patterns e l’importanza del Blocco Preventivo
Alla luce dell’attenzione crescente dei Garanti Europei su questi fenomeni, l'uso dei cookie banner non conformi, e delle fantasiose attività per aggirare le normative, è una pratica sempre meno sensata, vista la reale potenzialità di danno economico, di immagine, etico e pratico.
Perché maltrattare i propri utenti, tramite scelte grafiche e di interfaccia utente, complicando e rendere più macchinoso e complicato il rifiuto dei cookie o la chiusura dei banner, magari per spingere l’utente a fornire un consenso prestato non per reale volontà ma “per sfinimento” ?
Inoltre, riguardo al blocco preventivo dei cookie, è comprensibile che ci sia una spinta dalle agenzie di marketing per l’installazione di tracciatori “a tutti i costi”, ci sono dei benefici nella possibilità di dimostrare un risultato di performance al proprio cliente, tuttavia, il titolare dell'azienda cliente è realmente consapevole che questo è, di fatto, un illecito, sanzionabile e sanzionato, e di cui rimane interamente unico responsabile?
Fino ad oggi il “blocco preventivo” era il cosiddetto “elefante nella stanza”.
Se infatti fino ad oggi la tendenza è stata quella di dialogare prima di sanzionare, è evidente il cambio di rotta dei Garanti di tutta Europa .
Non è più il tempo di pensare di farla franca. E’ il momento di mettersi realmente a norma.
Ti svegli una mattina e scopri che la tua azienda è stata sanzionata per migliaia di euro, semplicemente perché il cookie banner sul tuo sito non blocca i cookie di terza parte o utilizza una grafica non conforme e ritenuta ingannevole. Non era meglio pensarci prima?
Questi provvedimenti danneggiano la tua reputazione e la fiducia dei clienti, portando a un impatto complessivo molto negativo.
Cosa dovrebbero fare i Proprietari di Siti Web
Per evitare le gravi conseguenze di non conformità alle normative sui cookie e al GDPR, i proprietari di siti web devono adottare un approccio proattivo.
Ecco alcune azioni fondamentali da intraprendere:
- Verifica e Aggiornamento dei Cookie Banner:
Assicurati che il tuo cookie banner sia chiaro, trasparente e facile da comprendere. Deve offrire agli utenti la scelta di accettare, rifiutare o personalizzare le loro preferenze sui cookie in modo semplice e diretto. - Implementazione del Blocco Preventivo:
È importante che tutti i cookie di terza parte siano bloccati fino a quando l'utente non dà il suo esplicito consenso. E no: dare solo una parvenza di blocco con due opzioni sul banner non conta. Il blocco deve essere reale. - Analisi e Audit del Sito Web:
Effettua regolarmente audit di verifica del tuo sito web per identificare e correggere eventuali problemi relativi alla privacy e alla protezione dei dati. Per iniziare, puoi richiederci un test di conformità del tuo sito web cliccando qui. - Adozione di Soluzioni Affidabili:
Scegli con attenzione il tuo cookie banner. Deve realmente bloccare i cookie, non utilizzare dark patterns nel design, e offrire un servizio di assistenza che in caso di necessità sia rapido e risolutivo: My Agile Privacy è pluri-recensita per tutti questi aspetti. (vedi le recensioni qui)
Proteggi la fiducia dei tuoi clienti e la sicurezza della tua azienda scegliendo My Agile Privacy. Con la nostra soluzione, garantisci la conformità ai requisiti della Cookie Law, GDPR e del Garante.