Sul web diluvio di cookie illegittimi e percorsi ingannevoli (dark pattern). In rete continuano a proliferare ostacoli e trabocchetti per ingannare l’utente e costringerlo ad accettare cookie o a desistere nello scegliere opzioni di maggior tutela della sua privacy (come cancellare un account). A livello internazionale il 97% dei siti presenta dark pattern e per l’Italia il 60% dei banner sui cookie è fuori legge. È quanto emerge dalla indagine conoscitiva della rete internazionale del GPEN (Global privacy enforcement network), dedicata nel 2024 ai modelli di design ingannevole, i cui risultati sono stati diffusi dal Garante della privacy. Tutti gli utenti della rete hanno esperienza di dark pattern, quando non riescono a trovare il link da cliccare (perché troppo piccolo o inserito su un’altra pagina o confuso in uno sfondo opaco, ecc.) per negare il consenso al trattamento, per rifiutare in blocco i cookie o per gestire dati caricati sull’account o chiuderlo e così via. Tutto ciò mentre, al contrario, le opzioni favorevoli alle piattaforme sono in bella vista. Il GPEN ha vagliato 899 siti e 111 app e l’esito è disarmante: nel 97% dei casi si riscontrano linguaggio complesso e confuso, passaggi non necessari, elementi per velare le opzioni privacy, richiesta di informazioni eccedenti. Concentrandosi sul caso Italia, su 50 siti web di comparatori di prodotti, i cookie banner e le modalità di cancellazione degli account utente sono illegali nel 60% dei casi, nel quasi 40% l’utente è costretto a una gincana per rifiutare i cookie e nel 30% dei siti, addirittura, è presente solo il link per accettarli in blocco. Tutto ciò nonostante siano passati 6 anni dall’inizio di operatività del Gdpr.
Continua l’azione del Garante privacy contro i contratti fake nel settore energia. Stavolta la sanzione irrogata a un fornitore di energia elettrica e gas è di 5 milioni di euro (ingiunzione n. 440 del 17/7/2024). Le violazioni, che hanno riguardato 2300 clienti, sono quelle accertate anche in altri casi: compilazione di contratti inventati di sana pianta, con dati carpiti da agenti porta a porta e sottoscritti con firme false; contratti mandati avanti nonostante l’esito negativo della telefonata di controllo; agenzie incaricate operanti a briglia sciolta. Evidentemente, stante il ricorrente ripetersi di fenomeni di questo tipo, le sanzioni privacy non ottengono tutto quell’effetto disincentivante sul piano del pregiudizio economico e della compromissione della reputazione commerciale che ci si attenderebbe.
Le sentenze sono sì pubbliche, ma non sono pubblicabili liberamente per esteso. I giornali devono stare molto attenti e devono preoccuparsi in prima persona di oscurare i dati personali non essenziali rispetto alla notizia. E lo devono fare anche quando i tribunali non abbiano oscurato i dati o lo abbiano fatto male, lasciando, per errore, alcuni dati nel corpo del testo. La responsabilità diretta delle testate giornalistiche è il principio applicato dal Garante per irrogare (con l’ingiunzione n. 411 del 4/7/2024) la sanzione di 10 mila euro a una rivista on line. Quest’ultima, all’interno di un articolo, ha inserito il link a una sentenza riportante in chiaro dati di alcuni minorenni, coinvolti in una causa tra due comuni, in lite su chi dovesse sostenere le spese per la loro accoglienza in strutture assistenziali. La rivista ha cercato di sostenere che la colpa era del tribunale, che non aveva oscurato i dati. Al contrario, i giornali devono comprendere che, quando mettono a disposizione dei lettori le sentenze, diventano loro i titolari del trattamento e devono loro valutare quali dati personali in sentenza sono pertinenti e mettere un omissis sugli altri.
Riproduzione riservata