GDPR e dark pattern: Cnil sanziona il consenso illecito e la mancanza di prova

Dark pattern

Uno degli elementi centrali della sanzione riguarda la modalità con cui è stato raccolto il consenso degli utenti, spesso tramite data broker, editori di concorsi a premi o siti di test di prodotti.

La Cnil ha accertato l’uso di dark pattern, ovvero interfacce progettate deliberatamente per orientare le scelte degli utenti in modo non trasparente, una sorta di manipolazione by design.

L’Authority francese ha analizzato i moduli forniti da due dei principali partner di raccolta dati della società, evidenziando gravi criticità nel meccanismo dei dark pattern.
La maggior parte dei moduli prevedeva un unico pulsante evidente (“Partecipo”, “Confermo”, “Valida”) che, con un solo click, confermava sia la partecipazione al concorso sia il consenso alla condivisione dei dati.

Il link per partecipare senza fornire il consenso era poco visibile, scritto in piccolo e mimetizzato nel testo, rendendo di fatto difficile per l’utente cogliere l’alternativa.

Anche nei moduli “a due pulsanti” (“Confermo” e “Rifiuto”), la struttura restava ambigua: mentre il significato di “confermo” era chiaro, le conseguenze del clic su “rifiuto” erano spesso vaghe o formulate in modo da far pensare che implicassero la rinuncia al concorso stesso.

Questo approccio – ha sottolineato l’Autorità – lede il principio di libertà del consenso, pilastro essenziale per la liceità del trattamento dei dati personali, soprattutto nel contesto del marketing diretto.

La Cnil ha quindi ritenuto che il consenso raccolto non fosse né libero né univoco, come richiesto dal GDPR.

La responsabilità non ricade solo sui partner, ma anche sulla società che ha utilizzato i dati. Nonostante avesse previsto nei contratti l’obbligo per i partner di ottenere un consenso valido, non ha effettuato verifiche sufficienti sulla reale efficacia e trasparenza delle interfacce utilizzate.

Eppure, secondo la Cnil, aveva tutti gli strumenti – giuridici e tecnici – per accertarsi della legittimità della base giuridica su cui si fondava la propria attività di marketing.

Infine, la decisione sottolinea che le regole sul consenso non sono nuove né soggette a interpretazioni incerte: dalla sentenza Planet49 della Corte di Giustizia UE (2019) alle linee guida del Comitato europeo per la protezione dei dati (Edpb), i principi di libertà, specificità, informazione e chiarezza sono consolidati.

Non basta raccogliere un “sì”: bisogna garantire che quel “sì” sia davvero libero, informato e inequivocabile. In assenza di tali condizioni, il trattamento dei dati personali per finalità di marketing risulta privo di base giuridica.

La prova del consenso

Un altro elemento centrale della sanzione inflitta e che rappresenta un monito per l’intero mercato, riguarda l’incapacità dell’azienda sanzionata di dimostrare la validità del consenso degli interessati.

Questa problematica emerge in particolare in relazione ai dati ricevuti da uno dei fornitori chiave nella catena di acquisizione.

Il principio di accountability è un pilastro del GDPR, e l’articolo 7, paragrafo 1, stabilisce chiaramente che, se il trattamento dei dati si basa sul consenso, il titolare deve essere in grado di dimostrarne l’effettiva acquisizione.

Non basta affermare di averlo, occorre poterlo provare concretamente e con documentazione, anche retroattivamente. Le Linee guida 5/2020 sul consenso dell’EDPB rafforzano questo concetto, specificando che l’onere della prova ricade interamente sul titolare, il quale deve disporre di meccanismi adeguati a dimostrare che il consenso fosse valido, informato, libero e specifico.

Nel caso esaminato, l’azienda non ha raccolto direttamente i dati, delegando tale attività, inclusa la conservazione del consenso, a un partner.

L’Autorità garante ha sottolineato che tale delega non esonera il titolare del trattamento dai suoi obblighi. Durante il procedimento, a fronte della richiesta di elementi concreti a supporto del consenso per oltre 1,2 milioni di persone, i cui dati provenivano da questo partner (come numero e screenshot dei moduli utilizzati), l’azienda ha ammesso di non essere in grado di fornirli, adducendo la mancata collaborazione del fornitore.

Tuttavia, l’Autorità è stata inflessibile: l’inadempienza del partner non giustifica quella del titolare.

Le difese della società

Le argomentazioni difensive dell’azienda, volte a minimizzare la violazione o a spostare la responsabilità sui partner, sono state integralmente respinte.

In particolare, l’Autorità ha chiarito che che le due violazioni sono distinte: una riguarda l’invalidità del consenso (per i dark pattern) e l’altra la totale assenza della prova del consenso (ex art. 7 GDPR), configurandosi come infrazioni separate e cumulabili.

L’Art. 7 del Regolamento europeo 2016/679, ha ribadito, impone la prova dell’esistenza di un consenso valido, e ciò include la documentazione dei meccanismi di raccolta, non solo la mera possibilità di fornire una prova “individuale” decontestualizzata.
Inoltre, la dipendenza da un partner non solleva il titolare dagli obblighi: la scelta del fornitore ricade sotto la sua piena responsabilità organizzativa e legale, e non può esimersi dalla verifica della validità del consenso.

Infine, la prosecuzione del trattamento dei dati per quasi 17 mesi, nonostante l’evidente carenza di base giuridica e la consapevolezza della non collaborazione del partner, è stata considerata una violazione autonoma e un’aggravante significativa.

La questione del legittimo interesse: limiti e inapplicabilità

Il caso ha anche sollevato il tema dell’uso del legittimo interesse come base giuridica per la trasmissione di dati a terzi a fini di prospecting. Ai sensi dell’articolo 6, paragrafo 1, lettera f) del GDPR, il trattamento può essere lecito se necessario per il perseguimento di un interesse legittimo, a meno che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.

La Corte di Giustizia dell’Unione Europea e le Linee Guida dell’EDPB hanno stabilito tre condizioni cumulative per invocare il legittimo interesse: l’esistenza di un interesse legittimo, la necessità del trattamento per realizzarlo e un bilanciamento degli interessi che non veda prevalere i diritti dell’interessato. Quest’ultimo punto implica una valutazione attenta delle ragionevoli aspettative delle persone in base al loro rapporto con il titolare.

Se il trattamento avviene in circostanze in cui gli interessati non si aspettano ragionevolmente tale uso dei loro dati, il legittimo interesse non può costituire una base giuridica valida.

L’Autorità ha ribadito che, sebbene in alcuni contesti la trasmissione di dati a partner per prospecting non elettroniche possa avvenire sulla base del legittimo interesse (a condizione di adeguata informazione e diritto di opposizione), nel caso di specie la mancanza di un consenso valido e dimostrabile rende l’applicazione del legittimo interesse inammissibile.

La responsabilità del titolare

La decisione dell’Autorità nel caso in questione rafforza un principio fondamentale: la responsabilità nella filiera del trattamento dati non è trasferibile.

Il titolare del trattamento è l’unico responsabile della legittimità delle operazioni sui dati, indipendentemente dalla delega a terzi per la raccolta o la gestione. La mancata capacità di fornire prova di un consenso valido equivale alla sua assenza, rendendo il trattamento illegittimo e sanzionabile.

Questo caso serve da chiaro avvertimento per tutte le aziende che si affidano a data broker per l’acquisizione di dati a fini di marketing.