Dark Pattern in Mercedes? Qui ci vorrebbe proprio un DPO.
Tempo di lettura: 12 minuti... circa.
Cara Mercedes Benz (di seguito MB), guido con piacere i vostri veicoli, li costruite proprio bene e vanno che è un piacere.
Però, in materia di privacy, fate veramente schifo! Consiglio al vostro DPO di farsi un giro come utente per verificare cosa stia combinando l'azienda. In questo caso non si può dire "io non c'ero" o "non sono stato io" oppure "lo hanno fatto nonostante il mio avviso". Qui c'è un problema e non volerlo vedere, o vederlo e soprassedere, significa essere complice.
Dio non voglia che il DPO sia talmente invischiato all'interno del gruppo MB da risentire di un gigantesco conflitto di interessi, talmente grande da nascondere alla vista anche le violazioni più macroscopiche del GDPR.
Vediamo cosa succede all'utente medio, magari un pochetto tonto, quando porta un veicolo dal suo concessionario. Vediamo cosa è successo a me.
Porto la macchina in officina per fare il tagliando appena la macchina stessa mi ha avvertito. Dopo aver fatto le pratiche in accettazione ricevo nella posta una pacata mail che mi invita ad AGGIORNARE I CONSENSI.
Nel mio interesse... naturalmente! Faccio una risatina per il tono rassicurante e procedo
Faccio click sul rassicurante bottone blu, dopo aver letto che "I tuoi dati saranno così sempre al sicuro", chiedendomi a cosa si riferisca quel sibillino "così", se al fatto che sia importante che io aggiorni qualcosa, se al fatto che ora i dati attualmente non siano affatto al sicuro, mah... magari sto esagerando e, come dice mia moglie, penso sempre male.
Aggiornare i consensi mi fa pensare di aver già rilasciato alcuni consensi e, in ogni caso, questo invito pare proprio riferirsi ad essi e mi suggerisce di riconsiderarli e, eventualmente, modificarli. Non ricordavo di aver rilasciato alcun consenso, non è mia abitudine farlo, ma va bene così, a volte non ci si fa caso.
Clicco e penso: "non sarà mica un dark pattern?"
Si apre una paginetta in cui mi aspetterei di trovare i consensi da aggiornare, quelli che ho già espresso all'accettazione, ma non trovo nulla... e allora divento sospettoso. Ma come, mi chiedi di aggiornare i consensi e non sai quali sono?
Oltre a non sapere quali consensi ho già rilasciato, scopro che mi chiedi anche chi sono, nome, cognome, telefono, email, tutto contrassegnato con * e obbligatorio!
Ma come è possibile, il link che ho cliccato nell'email che l'officina mi ha inviato era univoco e individuale, generato proprio per me, in seguito alla mia registrazione in accettazione. quel link è addirittura un tracker, contabilizza e registra ogni apertura di ogni email generata dal sistema... ho cliccato quel link individuale da una email che mi avete appena inviato, già collegata alla mia utenza, e mi chiedete di inserire nuovamente tutti i dati? Voi, proprio voi, Mercedes Benz, lo sapete bene chi sono, sapete che sono proprio io e sapete anche quali consensi ho rilasciato in officina... non mi vorrete fare credere che è "per motivi di privacy"? Mi state forse prendendo in giro?
Non è solo strano, è sospetto e penso: "già, assomiglia proprio ad un dark pattern!"
Ad un tratto tutto si spiega... ecco il motivo di questa raccolta dati ex novo: l'officina alla quale mi sono rivolto è il signor Cricchetto srl... non è il signor Mercede Benz in persona. La mail è stata inviata da Cricchetto ma quello strano pulsante, mistificato da aggiornamento dei dati appena conferiti, mi catapulta in casa d'altri, con la malcelata speranza che io rilasci a MB un nuovo consenso... non serve affatto per aggiornare un consenso precedente o rilasciato a Cricchetto.
Monelli!
Questo non si fa.
Questo è dire bugie o, quanto meno, far credere una cosa per l'altra. Devo ammettere che trovarmi davanti a una pratica così scorretta non mi è affatto piaciuto.
Il GDPR, in effetti, consente la libera circolazione di dati personali anche tra distinti titolari ma ad una condizione: ci vuole un motivo, o meglio, una "base di legittimazione" come dicono quelli che parlano di privacy e protezione dei dati personali. In questo caso non c'è alcuna base di legittimazione per trasferire i dati da Cricchetto a MB, quindi, qualcuno si è inventato questa simpatica procedura per portare il cliente di Cricchetto sul sito di MB e per spingerlo a conferire dati e consensi anche a lui. A leggere i testi, verrebbe quasi da pensare che siano tutti mossi da filantropia: conferire quei dati e quei consensi servirebbe per ricevere fantastiche offerte e imperdibili consigli ma, volendo essere un pò meno disillusi, serve solo per costituire un database di utenti consensati ai quali applicare la peggiore delle profilazioni per fini di marketing.
Filantropia, proprio.
Alla domanda: "come fanno i call-center ad avere il mio numero'", ripensate a pagine di "aggiornamento dati" come questa.
Avendo lavorato nel settore, mi pare di sentire un odore, una puzza che mi è nota e che ho già incontrato: la puzza dei soldi scambiati ogni volta che un utente dell'officina di cricchetto approda e si registra sul sito di MB.
Do ut des.
Tu manda questa mail, se il pesce abbocca, io ti riconosco 10 talleri.
Peraltro, la puzza si intensifica quando entrano in gioco le logiche di gruppo: se mandi questa email, io ti applico il listino premium partner, se non le mandi, ti attacchi!
A prescindere dalle finalità recondite e dalla operosità commerciale, torniamo alle schermate perché, dopo aver inserito i miei dati, posso procedere e, finalmente, posso scoprire come saranno trattati i miei dati e per quali finalità. Tu pensa che coglione che sono, a me piace saperlo prima, ma si vede che non era proprio possibile... infatti prima mi hanno detto una cosa diversa da quella che mi viene mostrata adesso:
Urca, che spataffiata... una paginata che richiede almeno 15 minuti per essere letta (calcolato, senza consultare i link). Per fortuna posso farlo dall'ufficio e non sono costretto a procedere velocemente, come a volte capita.
Ho annerito i dati di Cricchetto e ho sottolineato tutti i punti problematici:
La acquisizione di dati e la loro condivisione non si limita a Cricchetto e MB, ma si estende anche a "PARTNER" di MB... chi sono?
Società e partner Mercedes-Benz
e i rispettivi aventi causa.
- Mercedes-Benz AG e le rispettive Concessionarie, agenti e collaboratori di servizio autorizzati, che sono geograficamente più vicini all'indirizzo che ho indicato come anche gli agenti, concessionarie e collaboratori di servizio autorizzati da Mercedes-Benz che ho contattato o ho selezionato come agente/concessionaria o collaboratore di servizio preferito
- Mercedes-Benz Mobility AG
- Mercedes pay GmbH
- MERCEDES-BENZ ITALIA S.p.A.
- Mercedes-Benz Financial Services Italia S.p.A.
- Mercedes-Benz Lease Italia S.r.l
quell'ultima frasetta "e i rispettivi aventi causa" è un po come dire...
"e anche a chi cazzo vogliono loro."
Urca, diciamo che c'è un sacco di gente che non conosco, con cui non desidero avere nulla a che vedere e, in ogni caso, mi piacerebbe poter dire "questo si, questo no", purtroppo il form è concepito in modo rigido, prendere o lasciare, o tutto o nessuno. Questo per il GDPR non è proprio l'ideale poiché il consenso dovrebbe essere libero e granulare. Qui si gioca l'asso di briscola che piglia tutto... oppure il due di bastoni che non piglia nulla. La formula cumulativa diventa illecita per il GDPR quando include una voce aperta (chi cazzo vogliono loro) che mina e sgretola completamente l'applicazione dei principi di trasparenza, di buona fede, di limitazione del trattamento.
Proseguendo arriva l'arricchimento del dato: migliorare le informazioni di base grazie a i dati raccolti da due grandi blocchi, meglio spiegati nei pop-up:
1) Come utilizzo i veicoli e i servizi
2) Come utilizzo i dispositivi digitali di MB
In pratica, barrando queste due caselline, ogni cosa che accade al veicolo ed ogni cosa che accade nell'uso del sito, delle app e delle mail, viene registrata, collegata all'utente e utilizzata per profilarlo meglio. E il tutto viene anche condivisa con tutti i partner, inclusi i "chi cazzo vogliono loro".
Dicendo condiviso, in realtà potrei dire venduto, ceduto dietro compenso, affittato, prestato... ci sono mille modi per condividere e alcuni sono particolarmente ingegnosi, ma anche particolarmente scorretti. Un giorno ne discuterò, svelando alcuni trucchetti applicati da colleghi discutibili.
Tornando ai dati che MB desidera arricchire, troviamo: i dati di del GPS per la geolocalizzazione del veicolo, come usi il veicolo, se acceleri tanto o poco, se inchiodi spesso o se freni dolcemente, se fai curve da rally oppure se guidi come mia zia Clotilde, se fai il pieno solo quando asciughi anche la riserva o se rabbocchi già a metà serbatoio, se parcheggi bene o se sfondi il paraurti ogni volta che ti appoggi, se usi il controllo vocale e cosa chiedi al fantasma digitale che abita nel cruscotto, i luoghi (desunti dagli indirizzi IP) da dove consulti le email o visiti il sito MB, da dove usi la app MB, da quali dispositivi, quanto spesso, a che ora, a che ora sblocchi la macchina al mattino e a che ora la chiudi la sera, ecc.
Magari vi fa piacere anche una fettina di culo tagliata vicino all'osso?
Ma il bello deve ancora arrivare: ciò che mi ha fatto trasecolare, che mi ha costretto a scrivere questo pezzo, è il punto in cui si dice "Questo vale anche per i dati analitici esistenti"
Ripetiamolo... nelle intenzioni di MB, il consenso che viene conferito oggi, autorizza MB e tutta l'allegra brigata di partner a prendere ogni dato precedentemente sgraffignato e associarlo all'utente, non più pseudonimo ma spontaneamente registrato e identificato.
Mi domando, ma tutti quei dati analitici preesistenti, per quale stracazzo di motivo sono stati raccolti, archiviati, utilizzati anche se in forma pseudonima, se poi site in grado di associarli alla mia persona? Sulla fiducia che prima o poi avrei sbagliato e avrei dato un consenso senza fare caso a questa congerie di dark pattern?
Mi domando, inoltre, per quale stracazzo di motivo pensate che il consenso che vi posso dare OGGI, possa in qualche modo riguardare anche dati acquisiti in passato, dei quali non ho memoria e che, soprattutto, sono stati generati da miei comportamenti che, in quel momento, ritenevo liberi e non destinati a popolare database con i dati da essi desunti?
Mi domando, pertanto, per quale stracazzo di impedimento non mi date la possibilità di escludere i dati pregressi da questo consenso e vi sentite in diritto di scegliere per me, negandomi persino la possibilità di scegliere se escluderli?
Mi domando, infine, come stracazzo potete pensare che i dati precedenti alla mia registrazione siano effettivamente miei dati personali e non siano dati altrui?
Se la macchina è stata appena vinta ad una partita di Texas hold'em, quei dati riguardano uno sfortunato giocatore, non me. State commettendo un doppio illecito trattamento:
1) attribuite a me dati altrui, quindi trattate dati errati;
2) non chiedere il consenso all'effettivo interessato che ha generato tali dati personali, quindi non avete una base di legittimazione per farlo.
...e scusate se è poco.
Beh, a conti fatti, penso che non premerò quel pulsante. Già, a proposito... il pulsante.
Rimarrebbe una simpatica e maliziosa domandina: cosa significa "SALTA"? Cos'è, un modo creativo o velato per dire "nego il consenso" senza essere così volgari ed espliciti? A me pare l'ennesima e conclusiva presa per i fondelli. Basta proseguire e leggere le scritte in piccolo: subito dopo si capisce bene perché avete scritto "SALTA" anziché una qualsiasi classica formula di negazione del consenso:
La ragione è semplice: tutto questo gigantesco marchingegno per acquisire dettagliatissimi dati e pantagruelici consensi è e vuole essere una cosa ben distinta da ogni altro consenso eventualmente rilasciato a MB oppure a Cricchetto. Una cosa distinta in modo che dare, revocare o negare il consenso qui, non abbia alcun effetto su altri consensi eventualmente rilasciati altrove o in precedenza.
Quando chiederete al vostro DPO un parere a riguardo, lui vi spiegherà che tutto ciò ha un nome: si chiama DARK PATTERN ed è una pratica vietata dalla legge. Il GDPR non consente di prendere per il culo la gente.
Ora, per un attimo, torniamo dove tutto è incominciato e dove mi avete convinto a fare il click che mi ha portato al cospetto di questo mostro mangiadati:
Aggiornando questo consenso ci consentirai di offrirti servizi su misura e di proporti offerte personalizzate, inoltre, potrai definire i canali di comunicazione con cui desideri essere contattato. I tuoi dati saranno così sempre al sicuro.
Puoi effettuare l'aggiornamento cliccando su questo link
[ Aggiorna ora ]
"Aggiornando"
"Puoi effettuare l'aggiornamento"
"Aggiorna ora"
Come ho anticipato, sono un po' tonto e tendo a non capire bene il mondo che mi circonda, ma ho come l'impressione che stiate cercando di convincermi a fare un aggiornamento, non un conferimento ex novo, autorizzando un altro soggetto, a me ignoto, a trattare i miei dati per finalità di cui non so nulla, arricchendoli con strumenti che fatico a comprendere, utilizzando vecchi dati che non sapevo nemmeno aveste raccolto, condividendoli poi con la qualunque.
Comunque, a prescindere da tutto, la macchina è bella e va bene... peccato che abbia gli interni neri e io l'abbia ordinata con gli interni bianchi... ma questa è tutta un'altra storia.
Per la cronaca, il DPO è codesto:
Data Protection Officer Mercedes-Benz Group AG
Chief Officer Corporate Data Protection
HPC W079 - 70546 Stuttgart - Germany
e-mail: data.protection@mercedes-benz.com
Prosit.
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili per la tua vita, prendi in considerazione l'idea di ringraziarmi. Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
👇 👇 Clicca qui 👇 👇