Dark Patterns: tutto quello che hai sempre voluto sapere ma non hai mai osato chiedere...

Legal Watch n. 45 – marzo 2022.

Questo termine inglese, difficile da tradurre, si trova in molte pubblicazioni riguardanti la tecnologia informatica. 

Analogamente al "nudging", che mira a incoraggiare in modo sottile gli utenti di Internet ad adottare il comportamento desiderato, i "dark pattern" mirano allo stesso obiettivo attraverso la progettazione delle interfacce web.

Il 14 marzo, il Comitato europeo per la protezione dei dati ha adottato delle linee guida sui "dark pattern" nelle interfacce delle piattaforme dei social media. 

Il documento, soggetto a consultazione pubblica, è rivolto sia agli utenti per aiutarli a identificare queste tecniche, sia ai progettisti, ai quali offre le migliori pratiche per facilitare la conformità al GDPR. 

Il documento elenca, in quello che sembra un inventario in stile Prévert, diverse pratiche: 

• sovraccarico di informazioni mette l'utente di fronte a una valanga di dati o opzioni (ad esempio, un elenco infinito di destinatari di cookie), inducendolo a condividere più informazioni di quante desideri. 

• Saltare induce l'utente a dimenticare di verificare determinate condizioni di utilizzo dei suoi dati, ad esempio richiamando la sua attenzione altrove.

• Mescolando influenza le scelte degli utenti facendo leva sulle loro emozioni (ad esempio, per incoraggiarli a non cancellarsi da un social network)

• Ostruzione (impedimento) impedisce agli utenti di Internet di effettuare le proprie scelte, tramite link non funzionali, informazioni più lunghe del necessario o fuorvianti.

• Incoerenza del design (volubile) renderà difficile orientarsi tra gli strumenti di controllo, attraverso una presentazione delle informazioni decontestualizzata o non gerarchica.

• Infine, il design può lasciare l'utente di Internet all'oscuro, utilizzando informazioni contrastanti e ambigue (pulsanti di colori diversi abilitati o disabilitati di default) o una discontinuità nelle lingue utilizzate (passaggio dal francese all'inglese).

Si potrebbe quasi rimanere sbalorditi da tali tecniche e da tale immaginazione, se queste pratiche non fossero illegali perché contrarie al principio di lealtà di cui all'articolo 5(1)(a) del GDPR, nonché ai principi di trasparenza, minimizzazione dei dati, responsabilità, finalità e validità del consenso.

Le linee guida dell'EDPB forniscono esempi per ogni tipo di tecnica e consigli per semplificare le scelte degli utenti. 

Le buone pratiche includono: 

• Utilizzo di scorciatoie per abilitare azioni rapide (annullamento dell'iscrizione a un account).

• Utilizzo di banner o pop-up in caso di modifica o rischio particolare (ad esempio violazione della sicurezza).

• L'uso di un linguaggio semplice e coerente.

• Un elenco di definizioni.

• L'uso di esempi.

• Spiegazione delle conseguenze delle diverse opzioni proposte.

• La visualizzazione sistematica della mappa del sito e un pulsante “indietro” che consente all’utente di riprendere la navigazione.

Da notare che le decisioni della CNIL dello scorso gennaio contro Google e Facebook, che hanno multato queste aziende rispettivamente di 150 e 60 milioni di euro, puniscono l'uso di dark pattern nell'uso dei cookie: le interfacce offrivano un'opzione semplice per attivare i cookie, con un clic, mentre per rifiutare tutti i cookie erano necessarie diverse azioni. 

Sebbene l'attenzione delle autorità di controllo si sia finora concentrata sui cookie, ora è in gioco un insieme più ampio di pratiche. Il ruolo dei progettisti di interfacce sta diventando sempre più cruciale.

E anche

Francia:

La sezione criminalità informatica della procura di Parigi ha aperto un'indagine giudiziaria in merito a una massiccia fuga di dati medici. 

Si ritiene che la fuga di dati abbia interessato circa 500.000 persone e abbia avuto origine da una trentina di laboratori di biologia medica. Sono in corso indagini anche da parte dell'ANSSI e della CNIL, in collaborazione con l'editore del software gestionale utilizzato dai laboratori.

Un'altra massiccia fuga di dati ha spinto il Fondo nazionale di assicurazione sanitaria a rilasciare una dichiarazione il 17 marzo, affermando che gli account di almeno 19 professionisti sanitari sul portale Amelipro erano stati compromessi dagli hacker.  

I dati identificativi e i numeri di previdenza sociale di circa 500.000 assicurati sono interessati da questo attacco informatico.

Sempre nel settore sanitario, la cartella clinica condivisa (DMP) è stata integrata nello spazio sanitario digitale (ENS, ovvero “Il mio spazio sanitario”) nel gennaio 2022.  

La CNIL fornisce sul suo sito web un promemoria sul funzionamento di questi due sistemi e sui diritti delle persone interessate.

Il 28 giugno 2022, la CNIL organizzerà a Parigi la prima edizione della Giornata della ricerca sulla privacy., una conferenza internazionale dedicata alla ricerca nel campo della privacy e della protezione dei dati personali.

Europa: 

È in vista un accordo tra Europa e Stati Uniti in merito al trasferimento dei dati personali. 

Ursula Von der Leyen e Joe Biden hanno annunciato il 25 marzo un accordo politico sull'argomento, annuncio chiarito dal commissario europeo per la giustizia Didier Reynders, che ha indicato che si trattava di un accordo sui "principi" di un futuro accordo transatlantico. 

Il nuovo quadro giuridico succederebbe ai "Principi di Safe Harbor" e al "Privacy Shield", entrambi dichiarati obsoleti dalla Corte di giustizia europea per non conformità ai principi europei di protezione dei dati. 

La proposta della Commissione europea di estendere le normative sui certificati Covid (EUDCC) è nel mirino delle autorità per la protezione dei dati. 

Il GEPD e l'EDPB hanno espresso riserve in merito alla mancanza di una valutazione d'impatto prima delle proposte della Commissione di rinnovare tali certificati per un anno.  

Il Comitato e il Garante europeo della protezione dei dati hanno tuttavia riconosciuto che l'estensione delle tipologie di test accettate e l'inserimento nel certificato del numero di dosi somministrate non modificano sostanzialmente le attuali disposizioni.

A metà marzo, i dipendenti di Amazon hanno presentato una richiesta collettiva di accesso ai dati che l'azienda detiene su di loro, al fine di verificare le condizioni di sorveglianza nei loro luoghi di lavoro.  

I ricorrenti, provenienti da Germania, Regno Unito, Italia, Polonia e Slovacchia, hanno presentato la loro richiesta ai sensi dell'articolo 15 del GDPR in collaborazione con la Global Workers' Union (UNI) e la ONG NOYB.  

Oltre alle linee guida sui “dark pattern” nei social media, Il Comitato europeo per la protezione dei dati ha adottato linee guida sull'applicazione dell'articolo 60 del GDPR in merito alla cooperazione tra le autorità garanti della protezione dei dati nella riunione plenaria del 14 marzo. 

Il presente documento mira a migliorare l'applicazione delle disposizioni dello sportello unico. 

Il sistema prevede un'autorità di contatto per le aziende stabilite nell'Unione Europea in base alla loro sede principale e una procedura di cooperazione con tutte le altre autorità coinvolte in caso di reclami o sedi annesse nel loro Paese. 

Il 10 febbraio l'Autorità Garante per la protezione dei dati personali ha inflitto a Clearview IA una multa di 20.000.000 di euro. per aver utilizzato sistemi di riconoscimento biometrico su fonti Internet pubbliche in violazione del GDPR. Ha ordinato la cancellazione dei dati. Il 28 febbraio, l'autorità britannica per la protezione dei dati ha multato uno studio legale di 117.000 euro. per violazione degli articoli 5(1)(f) e 32 del GDPR e in particolare per mancata attuazione di misure di sicurezza adeguate. 

La Spagna ha approvato un codice di condotta il 17 febbraio relativa alla protezione dei dati nel contesto delle sperimentazioni cliniche e della farmacovigilanza.

Il 15 marzo, l'autorità irlandese per la protezione dei dati ha inflitto a Meta (ex Facebook) una multa di 17 milioni di euro a seguito di diverse violazioni della sicurezza. : l'autorità di controllo ha ritenuto che la società non avesse adottato le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati. 

La decisione presa a seguito di una procedura di cooperazione con le altre autorità di controllo europee interessate dal caso (art. 60 GDPR).

In Germania, il 3 marzo l'autorità per la protezione dei dati di Brema ha multato una società di gestione immobiliare (Brebau GmbH) di 1.900.000 euro per aver elaborato illegalmente dati sensibili. riguardanti più di 9.500 candidati inquilini. 

Tra i dati elaborati rientravano il colore della pelle, la religione, l'orientamento sessuale, lo stato di salute, l'acconciatura e l'odore corporeo.

Internazionale: 

In un ordine di conciliazione datato 4 marzo, La Federal Trade Commission degli Stati Uniti chiede a WW International (Weight Watchers) di distruggere gli algoritmi o i modelli di intelligenza artificiale progettati utilizzando i dati personali dei minori. senza il previo consenso dei genitori. 

Alla società è stata inoltre inflitta una multa di 1,5 milioni di dollari e le è stato ordinato di distruggere i dati raccolti illegalmente. 

Questa è la terza volta che la FTC chiede la distruzione di un algoritmo di intelligenza artificiale in un ordine di conciliazione.  

IL Sri Lanka ha adottato una legge sulla protezione dei dati personali il 19 marzo 2022.

Nokia, che ha annunciato la sospensione delle attività in Russia a causa della guerra in Ucraina, è accusata di aver abbandonato un sistema di telecomunicazioni che consentiva la sorveglianza della popolazione russa. 

Secondo documenti interni rivelati dal New York Times, da oltre cinque anni Nokia fornisce alla Russia apparecchiature e servizi per collegare il sistema di sorveglianza russo SORM (System for Operative Investigative Activities) al più grande servizio di telecomunicazioni russo, MTS.

Anna Cristina Lacoste  Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.