- La scena quotidiana di quando scarichiamo un’app “gratis”.
- Il vero prezzo nascosto: dati e attenzione.
- Cosa impone il GDPR: principi, trasparenza, informativa obbligatoria.
- Come le interfacce possono manipolare le tue scelte (dark patterns).
- Il caso TikTok: quando l’EDPB interviene.
- Consigli pratici per difendere i tuoi dati.
- Perché la gratuità non è il problema: lo è la mancanza di trasparenza.
Scarichi un’app gratuita.
Schermo nero, logo colorato, e poi il grande pulsante “Continua con Google”.
Un tap.
Poi “Accetto”.
Due secondi, e sei dentro.
Tutto semplice, tutto veloce.
Ma dietro quella semplicità c’è una domanda che raramente ci facciamo, una cosa importante a cui effettivamente non pensiamo:
Dove finiscono davvero i miei dati? E chi decide cosa posso controllare e cosa no?
Il vero prezzo delle app gratuite
Molte app non ti chiedono soldi. Ti chiedono un’altra valuta:
la tua attenzione, e soprattutto i tuoi dati personali.
Secondo il Regolamento UE 2016/679 (GDPR), il trattamento dei dati deve rispettare principi chiari:
- correttezza e trasparenza
- limitazione della finalità
- minimizzazione dei dati
- liceità del trattamento
In teoria, questo significa che un’app dovrebbe dirti chiaramente perché raccoglie i tuoi dati, quali usa davvero e per quanto tempo li conserva.
In pratica però, non sempre è così.
Molte piattaforme costruiscono profili dettagliati degli utenti, valutando preferenze, comportamenti, interessi e abitudini. Le linee guida europee ricordano che questa profilazione può essere molto invasiva, e perfino influenzare la libertà delle persone nelle loro scelte quotidiane.
Cosa dovrebbero dirti quando ti iscrivi (per legge)
Il GDPR (General Data Protection Regulation) è molto chiaro:
prima di raccogliere i tuoi dati, l’app deve fornirti un’informativa completa (GDPR, articolo 13).
Questa informativa deve includere almeno:
- chi è il titolare del trattamento
- per quali finalità tratta i dati
- su quale base giuridica
- per quanto tempo li conserva
- a chi comunica o trasferisce i dati
- quali diritti puoi esercitare (accesso, cancellazione, opposizione, portabilità, ecc.)
E soprattutto deve essere:
- concisa
- chiara
- trasparente
- scritta con linguaggio semplice
Quante volte ti è successo di leggerne una davvero così?
Quando l’interfaccia spinge a cedere più dati del necessario
Non sempre il problema è cosa c’è scritto nella privacy policy.
Spesso il vero problema è come ti vengono presentate le scelte.
Le linee guida europee parlano di modelli di progettazione ingannevoli (dark patterns):
strategie grafiche o percorsi complessi che mirano a farti accettare impostazioni più invasive per la tua privacy senza che tu te ne accorga.
L’EDPB (European Data Process Board) ne elenca diverse categorie:
1. Overloading – Sovraccarico
Ti sommergono di pop-up, richieste e opzioni fino a quando clicchi su “accetta tutto”.
2. Skipping – Spinta a saltare
L’interfaccia è pensata per farti ignorare le scelte sulla privacy.
3. Stirring – Leva emotiva
Colori, bottoni, frasi che ti spingono impulsivamente a scegliere l’opzione più favorevole alla piattaforma.
4. Obstructing – Ostacoli
Rendere difficile cancellare l’account o revocare il consenso.
5. Fickle – Ambiguità
Poche gerarchie visive, testi confusi, traduzioni imprecise.
6. Left in the dark – Tenerti all’oscuro
Le informazioni critiche sono nascoste o poco visibili.
Questi modelli violano i principi di correttezza, trasparenza e minimizzazione previsti dal GDPR.
Il caso TikTok: quando l’Europa dice “così non va”
Un esempio concreto — e ufficiale — arriva dal caso TikTok.
Nel 2023 l’EDPB (Comitato europeo per la protezione dei dati) ha stabilito che alcune interfacce mostrate ai minori violavano il principio di correttezza del GDPR.
Cosa accadeva?
- Nel Registration Pop-Up, ai ragazzi veniva suggerita in modo implicito la scelta di un profilo pubblico.
- Nel Video Posting Pop-Up, il pulsante “Post Now” era più visibile e immediato rispetto all’opzione per postare in privato.
- Per rendere un contenuto privato servivano più passaggi: un esempio classico di obstructing.
Perché è un problema?
Perché l’interfaccia guidava i minori verso decisioni più rischiose per la privacy, rendendo difficile scegliere l’opzione più sicura.
L’EDPB ha concluso che queste scelte di design:
- erano ingannevoli
- violavano il principio di fairness
- non rispettavano la protezione dei dati by design e by default
TikTok è stato obbligato a eliminare queste pratiche e a modificare le interfacce.
Cosa puoi fare tu (noi), in concreto
Non siamo indifesi. Ecco qualche passo pratico che puoi fare ogni volta che installi un’app:
1. Leggi le finalità
Chiediti sempre: “Perché l’app ha bisogno di questo dato?”
La finalità deve essere specifica e legittima (GDPR, articolo 5).
2. Controlla con chi condividono i dati
Partner, terze parti, trasferimenti extra UE: devono essere indicati chiaramente.
3. Riconosci i dark patterns
Se noti:
- pulsanti colorati solo sul “Sì”,
- percorsi lunghi solo per negare il consenso,
- impostazioni private nascoste.
Allora sei di fronte a strategie che l’EDPB considera ingannevoli.
4. Ricorda i tuoi diritti
Il GDPR ti garantisce:
- diritto di accesso
- diritto di cancellazione (“diritto all’oblio”)
- diritto di opposizione
- diritto di portabilità dei dati
- diritto di revocare il consenso
Sono strumenti potentissimi e valgono per tutte le app che trattano i tuoi dati.
È importante capire che: Non è la gratuità il problema
Non esiste nulla di sbagliato nelle app gratuite.
Il problema nasce quando il rapporto tra utente e piattaforma diventa:
- opaco,
- squilibrato,
- manipolato dal design.
La vera soluzione — e il cuore del GDPR — sta in un principio semplice ma fondamentale, ovvero:
“Protezione dei dati by design e by default“
E cosa significa “protezione dei dati by design e by default”?
Significa interfacce chiare, scelte corrette, percorsi trasparenti.
Significa rispettare l’utente prima ancora che l’utente inizi a usare il servizio.
Non è un dettaglio tecnico. È una questione di fiducia.
E la fiducia, soprattutto nell’era digitale, vale più di qualunque dato.
C’è un dettaglio che spesso dimentichiamo:
Tutto questo è possibile perché l’Unione Europea ha scelto di proteggerci davvero.
Le norme, le autorità di controllo, le indagini e le sanzioni non sono banale burocrazia: sono uno scudo silenzioso che difende ogni giorno i nostri diritti digitali, spesso senza che ce ne accorgiamo.
E mentre gran parte del mondo sta ancora cercando il modo di regolamentare i dati, l’UE ha già costruito un sistema che mette al centro la tutela dei diritti delle persone, e non gli interessi economici delle piattaforme.
Fonti e Approfondimenti
- Regolamento (UE) 2016/679 – GDPR
Testo ufficiale del Regolamento europeo sulla protezione dei dati personali. - EDPB – Linee guida sui modelli di progettazione ingannevoli nelle interfacce delle piattaforme social (Guidelines 03/2022)
Documento che definisce e classifica i “dark patterns” e spiega perché violano i principi del GDPR. - EDPB – Comunicato sulla decisione riguardante TikTok (2023)
Analisi delle pratiche di design che hanno spinto i minori verso impostazioni meno sicure e violato il principio di correttezza. - Linee guida del Gruppo Articolo 29 sulla profilazione e sul processo decisionale automatizzato (2017/2018)
Documento che approfondisce i rischi della profilazione, i principi applicabili e i diritti degli interessati.
