Consenso ai cookie: una sentenza del Garante danese ribadisce che anche il design di un sito web può portare a violazioni del GDPR - il pericolo dei dark pattern.

Contributo degli esperti di acconsento.click

Consenso ai cookie: l'istruttoria del Garante danese

Nel 2021 l'autorità danese per la protezione dei dati personali ha aperto una istruttoria relativa al trattamento dati dei visitatori del sito web www.eb.dk, appartenente il tabloid danese Exstra Bladet. L'azienda redattrice ha deciso di utilizzare una soluzione per la gestione dei consensi al trattamento dati tramite cookie che presenta tre diverse opzioni:

• solo necessari, intendendo così solo i cookie tecnici;
• accetta tutto, scegliendo il quale sono installati sul dispositivo dell'utente tutti i cookie attivi sul sito web;
• personalizza, che consentiva agli utenti di esprimere preferenze granulari.

Fin qui tutto bene, ma a uno sguardo più approfondito il Garante ha trovato diverse violazioni del GDPR.

Consenso ai cookie su più livelli: facilita la comprensione dell'utente?

Le tre scelte, ha approfondito il Garante danese, era correlate a colori diversi:

• verde per accettare tutto;
• rosso per accettare solo i cookie necessari / tecnici;
• grigio per la personalizzazione delle preferenze.

Il click sulla personalizzazione apriva un secondo livello, nel quale l'utente poteva selezionare o deselezionare le singole finalità di trattamento dei dati.

Il Garante danese ha ritenuto queste modalità di raccolta del consenso non valide, perchè non conformi al GDPR. In dettaglio ha cioè ravvisato la violazione degli obblighi di liceità (del trattamento), trasparenza e correttezza. In termini di trasparenza, il Garante danese ha preso atto del fatto che l'utente che ha fatto click su Accetta tutto ha prestato un consenso senza ricevere alcuna informazione sulle finalità dei singoli trattamenti. Un consenso "cumulativo" che non consente all'utente di verificare le finalità dei singoli trattamenti viola apertamente il principio di trasparenza e nega il diritto dell'utente di esprimere un consenso 

• libero
• informato
• consapevole.

Infatti, per la conformazione del cookie banner, per avere accesso all'elenco dei singoli trattamenti, e quindi alle loro finalità, l'utente deve accedere al secondo livello del banner, ovvero cliccare sul tasto "personalizza preferenze".

Consenso ai cookie: anche il colore conta!

Un altro punto interessante di questo provvedimento è che si concentra anche sui colori utilizzati per colorare i tasti e il testo del cookie banner. Ora, il GDPR non dà alcuna indicazioni specifica su quali colori possono essere impiegati e quali no. L'importante è che il design e in generale la conformazione dei siti web non sia tale da "spingere" l'utente verso scelte che ne possano ledere i diritti.

L'uso del rosso per identificare l'opzione di rifiuto del trattamento dati e del verde invece per accettare "massivamente" tutti i trattamenti è stata qualificata come Dark Patterns. 
 

Il problema dei Dark Patterns 

Per Dark Patterns si intendono quegli elementi dell'UI (user interface) o UX (user experience) pensati e usati allo scopo di disorientare l'utente e spingerlo a compiere azioni indesiderate o comunque con scarsa consapevolezza. Esempi comuni di dark patterns sono i link di disiscrizione dalle newsletter assolutamente microscopici e quasi illeggibili, quei fastidiosi popup che nascondono la X di chiusura al punto da non farla notare più, ma anche messaggi che apostrofano le scelte dell'utente come inappropriate. Ad esempio mostrando all'utente la frase "No grazie, non voglio risparmiare" al posto della semplice possibilità, per l'utente, di non accettare un'offerta.

Il Garante danese ha ritenuto l'uso dei colori rosso, verde e grigio nel cookie banner del sito web come un esempio di dark patterns. Insomma, la conformità al GDPR per i siti web non passa solo dall'adozione di soluzioni tecniche, ma deve rispettare il principio di "privacy by design": la concezione stessa del sito, le sue parti, i suoi livelli, i suoi colori devono essere scelti e ragionati in base alle previsioni del GDPR.

Il provvedimento completo del Garante danese è disponibile qui