La questione delle privacy policies del Fantasanremo

Dopo l’exploit dello scorso anno, il Fantasanremo ha spostato verso l’alto l’asticella del suo consenso e della partecipazione da parte degli utenti. Dopo la chiusura delle registrazioni al portale dedicato all’edizione 2023, nel “Campionato Mondiale” (cioè la lega pubblica a cui si risulta iscritti di default al momento dell’iscrizione) risultano essere iscritte oltre 1 milione e 632mila squadre (equivalenti agli utenti registrati). Vista la possibilità di partecipare fino a un massimo di cinque Leghe per ogni account, il totale delle squadre partecipanti (che non devono essere composte necessariamente dagli stessi artisti) è superiore ai quattro milioni. Un successo tangibile anche a livello mediatico, visto che anche i cantanti in gara – spesso e volentieri, ma non sempre – si sono “prestati” a comportamenti sul palco per consentire agli utenti di guadagnare i punti bonus. Da un grande successo, però, derivano grandi responsabilità. Eppure qualcosa, dal punto di vista della gestione delle autorizzazioni delle privacy policies, sembra essere andato storto.

LEGGI ANCHE > È il momento del FantaSanremo

A segnalare le principali problematiche, riscontrate in fase di iscrizione, stato il DPO (Data Protection Officer) Christian Bernieri che in un lungo thread su Twitter ha messo in evidenza molte controversie che appaiono fin dal momento della registrazione.

E dopo aver sottolineato come sia sempre inopportuno procedere all’iscrizione a una piattaforma (e non solo al Fantasanremo) utilizzando la “scorciatoia” del social-login – da Facebook o da Google in questo caso – proprio per cercare di proteggere ancor di più la propria privacy non consentendo un intreccio di dati (come nome utente e password), ha sottolineato un aspetto controverso: l’obbligo (al fine della registrazione al sito) di accettare – con un unico “click” (di autorizzazione) – il regolamento (dopo aver dichiarato di averlo letto), i termini di utilizzo, la privacy policy e acconsentire al trattamento dei dati personali. Tutto insieme, in un solo calderone.

1) la privacy policy NON SI ACCETTA, si riceve e basta.

2) il CONSENSO non può MAI essere obbligatorio o necessario

3) il consenso non può MAI essere omnicomprensivo e riguardare trattamenti differenti

4) …nell’informativa avete scritto una cosa diversa.
Non male. pic.twitter.com/3eDS0ZFsxZ

— Christian Bernieri – DPO (@prevenzione) February 6, 2023

Quattro “consensi” in un solo click, obbligatorio per poter accedere al dashboard della piattaforma e iniziare a creare la propria squadra e iscriversi a una sola (ovvero il “Campionato Mondiale”) o a più leghe. Anche quelle “gestite” dagli sponsor che, per l’edizione del 2023, si sono affiliati a questa iniziativa. E Bernieri fa riferimento a un fatto: da una parte ci sono quelle autorizzazioni (all in one) necessarie e fondamentali per iscriversi, dall’altra c’è l’informativa che racconta un qualcosa di differente: il consenso, per quel che riguarda la “Comunicazione a terzi dei dati personali” risulta essere facoltativo. Ma in fase di iscrizione, quella spunta unica per poter registrarsi lo rende – di fatto – obbligatorio. Proprio per chiarire questo aspetto, abbiamo parlato con il manager del Fantasanremo che ci ha esposto la sua versione dei fatti.

Fantasanremo, le problematiche rilevate nelle privacy policies

Una serie di problematiche che concorrono in alcune violazioni del GDPR. Anche per quel che riguarda gli sponsor che quest’anno hanno sostenuto (commercialmente) il Fantasanremo in caso di utilizzo di quei dati. Giornalettismo ha contattato proprio Christian Bernieri (il primo e l’unico ad aver denunciato tutte queste criticità) per approfondire in modo più accurato la sua denuncia, partendo proprio dal punto di caduta del suo ragionamento nel thread su Twitter: «Purtroppo le intenzioni, a volte, non sono coerenti con le situazioni reali: l’informativa racconta uno scenario differente e l’unico consenso richiesto è quello per la comunicazione dei dati agli sponsor per fini di marketing. Di conseguenza, chiedere il consenso all’utente può essere ricondotto unicamente a quell’unico trattamento che lo richiede. Ci sono tre diverse interfacce e sono tutte problematiche rispetto agli adempimenti del GDPR: iscrizione con email, iscrizione con utenza social, adesione alla lega dello sponsor».

Problemi con il Regolamento generale sulla protezione dei dati che si evidenziano, come sottolineato da Bernieri a Giornalettismo, in modo piuttosto palese: «Salvo recenti modifiche, chiunque provi ad iscriversi può verificare che il consenso al trattamento per finalità di comunicazione agli sponsor a fini di marketing è necessario per poter procedere. L’accesso alla lega ripropone lo stesso scenario cioè un popup difficile da chiudere senza aver prima dato il consenso». Ma c’è di più, perché solamente un utente esperto può essere in grado di effettuare l’accesso e l’iscrizione senza dare quel via libera alla comunicazione dei dati agli sponsor per fini di marketing, mentre l’utente medio è portato ad accettare tutto spuntando quell’unica opzione che contiene quattro autorizzazioni in una: «Nel caso specifico, l’utente è messo di fronte a ciò che si chiama “dark pattern” cioè una modalità di fruizione pensata per spingere l’utente in una determinata direzione. In pratica, per riuscire a usare il sistema senza dare il proprio consenso, bisogna fare i salti mortali.  Un utente medio si lascia guidare dalle scritte grandi e colorate piuttosto che da quelle piccole e nascoste, segue il percorso più naturale o comodo, cliccando distrattamente per poter procedere e giocare. Questa impostazione condiziona la validità stessa dei consensi perché, a giudizio dei Garanti, comprime la libera scelta facendo leva su impercettibili ma efficaci condizionamenti».