Lo scorso 29 gennaio 2024, contestualmente all’avvio della campagna di indagine internazionale sui dark patterns nei siti web (“privacy sweep”), l’EDPB ha pubblicato un tool che può essere utilizzato per analizzare se i siti web siano conformi alla legge. Perché è così importante effettuare un “Website Compliance Audit”? Quali migliori prassi considerare?
Tante novità in pochi mesi
Dalle Linee guida sulle tecniche di tracciamento online, alla c.d. “Cookie banner taskforce”, sino ad arrivare al tool per l’analisi dei siti web: negli ultimi mesi le iniziative di EDPB e Commissione hanno tenuto alta l’attenzione al tema del trattamento dei dati degli utenti online.
Alle molteplici novità di matrice comunitaria, inoltre, si è aggiunta la recente indagine conoscitiva “Privacy Sweep” coordinata dalla rete internazionale “Global privacy enforcement network” (GPEN), volta a valutare l’eventuale presenza di modelli di design ingannevole (i c.d. “dark patterns”) su siti web e applicazioni. Ci aspettiamo quindi, in base ai risultati dell’indagine, ulteriori controlli, nonché l’apertura di nuove istruttorie nei confronti dei titolari del trattamento non conformi.
Una bussola fra le fonti
In tale contesto normativo – che resterà frammentario, almeno sino alla definizione di una riforma sulla c.d. “ePrivacy” (privacy delle comunicazioni elettroniche) – i Responsabili della Protezione dei Dati devono necessariamente fungere da bussola nell’orientare le attività di trattamento svolte dai titolari verso la conformità. Compito non facile, considerando ostacoli quali:
- la sopracitata molteplicità di fonti, di vario livello, applicabili;
- la complessità della materia e la tecnicità delle attività svolte, mediante strumenti informatici quali cookies e altri traccianti sul web;
- la complessità dei trattamenti svolti, sovente particolarmente invasivi (profilazione degli utenti);
- la necessità che vi sia un ampio e costante coinvolgimento del DPO, che deve essere posto nelle condizioni di potersi interfacciare con il webmaster e con tutti i referenti decisori (vertici, responsabili delle funzioni marketing e comunicazione, etc.);
- la necessità che il DPO si doti di strumenti adeguati per la verifica della conformità.
Strumenti tecnici di verifica della conformità: il tool EDPB
In relazione agli strumenti di natura prettamente tecnica, di supporto nelle attività di verifica della conformità di siti web e applicazioni online, si segnala il software di “website audit” messo a disposizione dall’EDPB. Duplice scopo dello strumento è quello di:
- fornire una soluzione facile da usare per agevolare l’applicazione del GDPR da parte delle autorità nazionali di protezione dei dati;
- facilitare i controlli di conformità da parte dei titolari del trattamento.
Infatti, il tool dell’EDPB dovrebbe risultare più immediato e semplice da usare rispetto agli strumenti per l’audit dei siti web attualmente presenti sul mercato, che richiedono solitamente elevate competenze tecniche. Un altro vantaggio importante, derivante dall’uso del tool, è rappresentato dal fatto che si tratta di uno strumento “comune”, ovvero condiviso per standardizzare le modalità di verifica da parte delle Data Protection Authorities nazionali, nonché i controlli svolti, nell’ottica di “self assessment”, da parte dei titolari del trattamento.
Modalità di funzionamento e requisiti per l’utilizzo del tool, pro e contro
In primo luogo, è necessario sapere che lo strumento non opera automaticamente ma, piuttosto, coadiuva l’attività dell’operatore nella ricerca di elementi che possano eventualmente determinare la non conformità del sito web analizzato.
PRO | CONTRO |
Il tool fornisce un elenco completo di tutte le prove / evidenze raccolte in fase di navigazione rispetto ad elementi quali: cookies rilasciati al landing, cookies rilasciati alla chiusura/accettazione del banner, trackers, pixels, validità dei certificati, redirecting a siti terzi, etc. | Le prove/evidenze raccolte attraverso lo strumento devono essere comprese da chi lo utilizza: i report potrebbero essere di lettura difficoltosa per i non addetti ai lavori |
Suggerisce eventuali difformità | Risulta quindi determinante la capacità di lettura critica dell’operatore che utilizza lo strumento, nel valutare se gli elementi suggeriti dal tool costituiscono, a tutti gli effetti, non conformità rispetto alla normativa vigente |
Costituisce un’alternativa più immediata e chiara, rispetto agli strumenti più comuni utilizzati dagli sviluppatori | Ad oggi (e contrariamente alle aspettative), il tool si limita a leggere il codice sorgente della pagina senza però fornire ulteriori indicazioni o suggerimenti per l’operatore |
Strumenti giuridici di verifica della conformità: compliance by design
Veniamo dunque agli strumenti giuridici a disposizione di chi si trova alle prese con la verifica della conformità di un sito web. Innanzitutto è necessario ricordare che l’adeguamento di un sito deve avvenire sin dalla fase di progettazione dello stesso. La valutazione del DPO dovrebbe, quindi, inserirsi nello “staging” del sito, ovvero in un ambiente di prova, provvisorio, che consente di effettuare modifiche, revisioni e aggiornamenti dei contenuti prima che gli stessi diventino definitivi e vadano online.
In questa fase il DPO dovrebbe verificare, fra le altre cose, che non siano presenti modelli di progettazione ingannevoli, ovvero “interfacce e percorsi utente che cercano di influenzare le persone a fare scelte inconsapevoli riguardo al trattamento dei loro dati personali, non volute e potenzialmente dannose, spesso contrarie agli interessi degli utenti, ma favorevoli a quelli delle piattaforme”. In questo articolo abbiamo parlato delle linee guida di riferimento dell’EDPB, di dark patters e di legal design.
Privacy Sweep ed il caso Ediscom
Proprio i dark patterns, come anticipato, sono stati oggetto della recente campagna di indagine internazionale “Privacy Sweep”. La nostra Autorità di controllo, peraltro, aveva già sanzionato, nel corso del 2023, una società che utilizzava, sui propri portali web, dei modelli di design ingannevole per condizionare le scelte degli utenti. In tale occasione, il Garante aveva rilevato due dark patterns:
- il primo rientrante nella fattispecie dello “Stirring”, categoria di modelli oscuri caratterizzata dal fatto che l’interfaccia è progettata in modo da calamitare l’attenzione dell’utente solo su alcuni elementi (ad esempio quelli posti in particolare evidenza, per colori e forme);
- il secondo qualificabile come “Obstructing”, modello mediante il quale si cerca di intralciare gli utenti nel processo di gestione dei loro dati, rendendo determinate azioni (come la revoca del consenso) difficili o impossibili da realizzare.
In considerazione della violazione degli articoli 5, par. 1, lett. a) («liceità, correttezza e trasparenza»), 7 par. 2 (caratteristiche del consenso) e 25 (protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita) del GDPR, l’Autorità aveva sanzionato Ediscom S.p.A. per un importo pari a 300 mila euro.
Il Website Compliance Audit: conformità tecnico - giuridica
Il Website Compliance Audit, quindi, dovrebbe essere condotto considerando sia il profilo prettamente tecnico, mediante il ricorso a strumenti ora “ufficiali” quali il tool dell’EPDB; sia il profilo giuridico, verificando che l’organizzazione rispetti le principali fonti del diritto applicabili, nonché le indicazioni fornite dalle Autorità europee e nazionali attraverso:
- Le “Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita” dell’EDPB;
- Le “Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them” dell’EDPB;
- Le “Linee guida sull’ambito tecnico di applicazione dell’articolo 5, paragrafo 3, della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)”” dell’EDPB (ne abbiamo parlato qui);
- Il “Discussion Paper” della Commissione UE contenente otto principi di alto livello da rispettare per arginare il fenomeno della “cookie fatigue” (ne abbiamo parlato qui);
- Le “Linee guida cookie e altri strumenti di tracciamento” del Garante per la protezione dei dati personali;
- Gli specifici provvedimenti delle DPAs nazionali;
- Tutte le altre fonti utili, fra cui si citano le “le Linee guida di design per i siti internet e i servizi digitali della PA” adottate da Agid.
Obiettivo del Website Compliance Audit
In conclusione, l’audit di conformità dei siti web rappresenta uno strumento essenziale di valutazione della compliance dei titolari del trattamento. Se effettuato correttamente, seguendo le modalità esaminate e applicando le indicazioni delle principali Autorità in materia di protezione dei dati personali, mediante il “Website Compliance Audit” i DPO possono comprendere se l’organizzazione auditata:
- rispetta i principi generali di protezione dei dati di cui all’art. 5 del GDPR, nonché gli ulteriori principi individuati dalla Commissione per arginare la “cookie fatigue”;
- garantisce la concreta ed efficace attuazione dei principi di protezione dati sin dalla progettazione e per impostazione predefinita (privacy by design e by default);
- garantisce l’implementazione di interfacce “privacy oriented”, ovvero tali da favorire la fruibilità e la chiarezza dei contenuti;
- adempie agli obblighi informativi e di trasparenza del GDPR;
- adempie agli obblighi in materia di acquisizione del consenso online;
- implementa un cookie banner allineato alle indicazioni fornite dal Garante attraverso le “Linee guida cookie e altri strumenti di tracciamento”;
- limita la conservazione dei dati raccolti, anche attraverso gli strumenti di tracciamento online, a quanto strettamente necessario rispetto alle specifiche finalità perseguite;
- etc.
Nell’articolo di oggi abbiamo visto, da un punto di vista prettamente teorico, come effettuare un “Website Compliance Audit” completo. Da un punto di vista operativo, invece, risulta fondamentale il confronto fra professionisti DPO, la condivisione di esperienze di audit e analisi effettuate sul campo. L’Associazione ASSO DPO è stata fondata proprio con l’obiettivo di favorire questo scambio positivo di conoscenze fra associati e di “sviluppare soluzioni condivise ai problemi applicativi posti dalla normativa”.
Se ti interessa aderirvi, clicca qui.