Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Relazioni pericolose fra design dei siti web e violazioni del GDPR

Stefano Gazzella : 1 Gennaio 2023 09:52

L’autorità di controllo danese rilevato una violazione del principio di liceità, trasparenza e correttezza con un’istruttoria riguardante gli strumenti di gestione del consenso per cookie e strumenti di tracciamento da parte dei visitatori di un sito web, contestando sostanzialmente l’impiego di dark pattern.

Nella soluzione adottata, il consenso ai cookie veniva espresso cliccando su una fra tre diverse caselle presentate al visitatore: una per accettare solo i cookie necessari, di colore rosso; una per personalizzare le impostazioni, di colore grigio: una per accettare tutte le finalità, di colore verde.

Qualora fosse stata scelta la personalizzazione delle impostazioni, il visitatore avrebbe avuto così la possibilità di accedere ad una seconda maschera con cui selezionare o deselezionare le singole finalità.


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Partendo dalla considerazione per cui il consenso viene definito come

qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

(art. 4.1 n. 11 GDPR), l’Authority ha contestato proprio la mancanza di validità del consenso prestato attraverso le modalità proposte dal sito oggetto dell’istruttoria.

Per quanto riguarda la previsione di un secondo layer di consenso maggiormente specifico in seguito alla selezione di una personalizzazione delle impostazioni, tale soluzione non si pone in contrasto con la granularità richiesta dalle prescrizioni normative dal momento che l’opportunità di fornire un consenso specifico è comunque garantita.

Ciò che invece è stato valutato come impeditivo o distorsivo di un esercizio di volontà libera è la modalità in cui sono presentate le opzioni di rifiutare o accettare tout court le attività di trattamento.

Infatti, la scelta di impiego del colore rosso per l’accettazione dei soli cookie necessari e verde per l’accettazione di ogni finalità è stata valutata come un’azione di nudging. Si tratta di quella tecnica di persuasione o “spinta gentile” che ha lo scopo di influenzare comportamenti e scelte degli individui, senza imporre limitazioni o costrizioni.

È evidente che dunque il design di un sito web, quale può essere anche la scelta di colori, può comportare conseguenze rilevanti circa la capacità di garantire il rispetto del GDPR in ambiti diversi rispetto alle soluzioni di consenso adottate per la gestione dei cookie. Alcuni esempi:

  • una privacy o cookie policy è valutata come accessibile se è possibile raggiungerla con un massimo di 2 clic da ogni pagina del sito;
  • la scelta di stratificazione delle informative deve essere orientata ad agevolare la comprensione del contenuto e non seguire il proposito di disperdere l’attenzione dell’interessato;
  • la reiterazione della richiesta di consenso in caso di rifiuto non può avvenire se non nel caso in cui siano mutate le condizioni del trattamento, sia tecnicamente impossibile avere contezza della memorizzazione del cookie sul dispositivo o altrimenti siano trascorsi almeno 6 mesi dalla presentazione del banner.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Alla scoperta dei firewall LLM. La nuova frontiera nella sicurezza Informatica Adattiva

Negli ultimi 3 anni, l’intelligenza artificiale generativa, in particolare i modelli linguistici di grandi dimensioni (LLM), hanno rivoluzionato il modo in cui interagiamo con le macchine, perm...

La minaccia più grande dell’Intelligenza Artificiale? E’ che i giovani non sapranno più pensare!

“Ora che il genio è uscito dalla lampada, è impossibile rimetterlo dentro!”. Quante volte abbiamo scritto queste parole riguarda l’intelligenza artificiale? Ora che il g...

Una vulnerabilità RCE in Wing FTP Server da score 10 apre le porte a 10.000 aziende

I ricercatori di Huntress hanno rilevato lo sfruttamento attivo di una vulnerabilità critica in Wing FTP Server, appena un giorno dopo la sua divulgazione pubblica. La vulnerabilità CVE-2025...

Il Ministero degli Esteri italiano preso di mira in una campagna di spionaggio da Gruppo DoNot APT

Secondo Trellix, il gruppo DoNot APT ha recentemente condotto una campagna di spionaggio informatico in più fasi, prendendo di mira il Ministero degli Affari Esteri italiano. Il gruppo, attribuit...

Vulnerabilità Critica nel Kernel Linux: Una nuova Escalation di Privilegi

È stata scoperta una vulnerabilità critica di tipo double free nel modulo pipapo set del sottosistema NFT del kernel Linux. Un aggressore senza privilegi può sfruttare questa vulne...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006