Ispitanik, zastupan po Noyb-u, osporio je skočni prozor kojeg koristi Massimo Dutti S.A. na svojoj web stranici.
Massimo Dutti S.A. je koristio tzv. dark patterns kako bi potaknuo korisnike da „prihvate sve kolačiće“ te istovremeno nije omogućio mijenjanje pristanaka nakon prihvaćanja kolačića.
Provjera kolačića prije bilo kakve interakcije sa skočnim prozorom otkrila je instalirane kolačiće koji nisu nužni. Na primjer, dva kolačića performansi ("AKA_A2" i "RT") koje koristi Akamai Technologies, Inc. za optimizaciju vremena odgovora između posjetitelja i web stranice.
Što se tiče dark patternsa, uočeno je nekoliko problema s postavkama pristanka u prvom koraku. Prvo, nedostajao je gumb „odbaci sve“ za opcionalne kolačiće. Drugo, gumb „prihvati sve“ izgledao je slično običnom gumbu, dok je opcija „postavke kolačića“ bila predstavljena kao obična poveznica. Štoviše, gumb „prihvati sve“ imao je drugu boju, što je također dovodilo u zabludu ispitanike (po mišljenju nadzornog tijela). Dakle, informacije koje obavještavaju korisnike o tome što će se dogoditi ako korisnici prihvate kolačiće smatrane su nejasnima i nepotpunima.
Na kraju, povlačenje privole nije bilo tako jednostavno kao davanje. Nakon što ste prihvatili sve kolačiće ili određenu grupu kolačića putem upravljačke ploče, više nije bilo jasnog i jednostavnog načina da kasnije povučete svoj pristanak.
Španjolski DPA isprva je odbacio pritužbu jer Noyb nije smatrao dovoljno ovlaštenim za zastupanje podnositelja zahtjeva. No, Noyb je podnio pisanu žalbu na ponovno razmatranje koju je potvrdio ravnatelj španjolske Agencije za zaštitu podataka, uzimajući u obzir odredbe članka 5.6 LPACAP-a (poseban propis na snazi u toj državi članici EU) i analizirajući dokumentaciju koju je dostavio ispitanik, a u kojoj prenosi svoje zastupanje organizaciji Noyb.
Španjolski DPA nije se složio da kolačići nisu nužni. Kao primjer, primijetili su da oni koje je postavio Akamai Technologies, Inc. nisu identificirali korisnike jer su bili anonimizirani. Tek nakon što korisnik klikne „prihvati sve“, kolačići za praćenje (kao što je MUID; ts; CONSEND; SOCS; CLID; _ga; _gid; ttp; u; NID; AEC; _pinterest_ct_ua i 1P_JAR) postaju postavljeni. Stoga tvrtka primjenjuje kolačiće koji ne spadaju u nužne samo nakon što korisnik na to pristane.
Nadalje, španjolski DPA nije se detaljno bavio dark patterns-ima i umjesto toga usredotočio se na jezik koji je Massimo Dutti S.A. koristio u svom skočnom prozoru. Utvrđeno je da je Massimo Dutti S.A. promijenio jezik natpisa kolačića od 23. rujna 2022. do 16. ožujka 2023. i zaključio da su te promjene prihvatljive. Stoga se jezik natpisa 16. ožujka 2023. smatrao jasnim i nije bio u suprotnosti s člankom 22.2 LSSI-ja.
Dana 16. ožujka 2023. španjolski DPA potvrdio je da ne postoji mehanizam ili pristup upravljačkoj ploči koji bi kasnije omogućio povlačenje prethodno danog pristanka i odbacivanje kolačića koji su prethodno bili prihvaćeni. Španjolski DPA ponovno je provjerio 19. travnja 2023. i došao do istog zaključka jer iako je korisnik sada mogao pristupiti upravljačkoj ploči, klik na 'isključeno' nije rezultirao promjenom postavljenih kolačića. Tek je 6. lipnja 2023. Massimo Dutti S.A. ispravio svoju web stranicu kako bi korisniku omogućio upravljanje kolačićima putem upravljačke ploče i povukao svoj pristanak te vratio web stranicu na osnovne postavke kolačića.
Upravo zbog te prethodne nemogućnosti povlačenja pristanka je španjolsko nadzono tijelo novčano kaznilo Massimo Dutti S.A. za kršenje članka 22.2 LSSI-ja (Zakon o uslugama informacijskog društva i elektroničkoj trgovini) s 5000 eura.
O dark patternsima pisali smo već na blogu: „DARK PATTERNS“ na platformama društvenih mreža: kako ih prepoznati i izbjeći?, 345 milijuna eura kazne TikToku te Smjernice EDPB-a „Obmanjujući obrasci dizajna u sučeljima platformi društvenih medija: kako ih prepoznati i izbjeći“.
Prenijeto sa GDPRhub.