Data protection

Dark pattern, così le aziende ingannano gli utenti: le nuove linee guida EDPB

I dark pattern inducono gli utenti ad un consenso forzato al trattamento dati, attraverso stratagemmi sui contenuti e sull’interfaccia grafica. Le nuove linee guida EDPB elencano le categorie e gli schemi di utilizzo più diffusi per disincentivarne l’utilizzo: gli esempi, le buone pratiche, i richiami al GDPR

28 Mar 2022
Angela Lo Giudice

Avvocato, Polimeni.Legal

Dark pattern sui social media: il 14 marzo 2022 sono state adottate dall’EDPB – European Data Protection Board, in versione per la consultazione, le linee guida che offrono raccomandazioni ed indicazioni utili ad evitare l’uso dei “modelli oscuri”.

I dark pattern sono infatti quegli strumenti che spingono gli utenti ad un comportamento potenzialmente dannoso in merito al trattamento dei propri dati personali: li influenzano a conferire più dati del necessario, attraverso stratagemmi nel contenuto o nell’interfaccia web.

Gli stratagemmi nel contenuto riguardano la formulazione delle frasi e il contesto delle componenti informative mentre gli stratagemmi sull’interfaccia sono correlati alle modalità di visualizzazione del contenuto, alla navigazione o all’interazione con il pattern.

Come combattere le pratiche commerciali ingannevoli: strategie e strumenti

Le linee guida da poco adottate sono un utile strumento per gestire o implementare qualsiasi sistema di trattamento dei dati: viene illustrato come rendere un’informativa su più livelli, come comunicare correttamente una violazione di dati personali all’interessato, come consentire una corretta implementazione degli strumenti per l’esercizio dei diritti degli utenti.

Le linee guida, inoltre, fanno spesso riferimento a quelle sul consenso, sulla trasparenza, sul targeting degli utenti dei social media ed a quelle relative alla privacy by design e privacy by default che, per prime, avevano definito i dark pattern come contrari allo spirito del GPDR.

Vengono inoltre richiamati i principi di liceità, correttezza, trasparenza, limitazione delle finalità e minimizzazione dei dati che servono, tutti, a consentire al titolare del trattamento di dimostrare la propria accountability.

Tali principi, infatti, devono essere attuati in modo sostanziale e non solo formale: non stupisce quindi che tra i modelli oscuri vi siano anche quelle pratiche che, pur rispettando formalmente il GDPR, abbiano come effetto quello di confondere l’utente.

Non da ultimo, per ogni fase del trattamento dei dati vengono prese in considerazioni le migliori pratiche da attuare.

Quali sono le sei categorie di dark pattern più diffuse

Le nuove linee guida EDPB individuano sei categorie di dark pattern che, a seconda delle circostanze, possono essere realizzati attraverso la modulazione del contenuto o dell’interfaccia.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Attendendo la versione tradotta, i termini verranno riportati in inglese.

La prima categoria di dark pattern rientra nell’overloading, il “sovraccarico”. L’utente viene sottoposto ad una grande quantità di informazioni, richieste o opzioni che lo inducono a fornire più dati del necessario oppure a consentire involontariamente al trattamento dei propri dati personali.

All’interno di questa prima categoria rientrano tre tipologie di dark pattern: “continuous prompting”; “privacy maze”; “too many options”.

Un esempio di “continuous prompting” basato su contenuto ed interfaccia può essere individuato nella prassi di ripresentare ad ogni accesso la stessa richiesta di fornire alcune informazioni che l’utente ha rifiutato di concedere in un primo momento. L’utente sarà portato a dare le informazioni richieste pur di non vedere riapparire la richiesta.

La stessa pratica è stata utilizzata per convincere gli utenti a prestare il proprio consenso all’installazione dei cookie prima della recente riforma che ne vieta la ripresentazione nei sei mesi successivi alla scelta. L’obiettivo è evitare che l’utente, mosso da sconforto, presti un consenso forzato dalla necessità di non veder più ripresentata la richiesta.

Normalmente, la revoca del consenso dovrebbe essere semplice come la sua prestazione: se il modello fosse valido e lecito, dopo il conferimento del dato, dovrebbe apparire ad ogni accesso lo stesso modulo con la richiesta contraria, cosa che invece non avviene.

Il “privacy maze” basato sul contenuto invece può aversi, per esempio, nel caso in cui le informazioni sulla protezione dei dati, anziché essere collocate negli stessi spazi o in spazi vicini si trovino in diverse schede e quindi non consentano all’utente di orientarsi.

Il “privacy maze” basato sull’interfaccia si verifica invece quando l’informativa privacy, che ai sensi del GDPR può certamente essere costruita su più livelli, viene strutturata così non per agevolare l’utente ma per rendergli più difficile la lettura e la comprensione delle informazioni contenute. Nella maggior parte dei casi, questa strutturazione ha l’obiettivo di costringerlo a fare molti più passaggi del necessario per riuscire ad ottenere il risultato cui mira e quindi che vi rinunci.

Le linee guida ipotizzano che il terzo caso, “too many options”, si possa verificare per quel che riguarda il contenuto quando, per esempio, il menu di una piattaforma social contenga più schede che si occupano della protezione dei dati, compromettendo la capacità dell’utente di fare delle scelte immediate e consapevoli. Non vengono forniti esempi sull’interfaccia.

I dark pattern “skipping”: saltare passaggi sulla policy dati

La seconda categoria è quello dello skipping, con il quale si induce l’utente a saltare alcuni passaggi relativi alla protezione dei dati. All’interno di queste categorie, i tipi di dark pattern sono due: il “deceptive snugness” ed il “look over there”.

Il modello di “deceptive snugness” viene presentato esclusivamente in relazione all’interfaccia. Un esempio è quando funzionalità e opzioni più invasive per i dati sono abilitate per impostazione predefinita: un dark pattern, perché di solito l’utente mantiene l’opzione preselezionata senza valutare le altre disponibili.

Anche il modello “Look over there” viene presentato solo in relazione all’interfaccia: è un sistema utilizzato per deviare l’attenzione dell’utente su elementi estranei alla protezione dei dati. Uno degli esempi riportati dalle linee guida è quello relativo alla presentazione di un cookie banner con un link alla ricetta dei biscotti, un link alla cookie policy ed il pulsante per accettare i cookie.

I dark pattern “stirring”: la leva delle emozioni

La terza categoria è quella dello “stirring” che influisce sulle scelte degli utenti facendo leva sulle emozioni o attraverso l’impatto visivo delle interfacce.

Di questa categoria fanno parte i dark pattern “emotional steering” ed “hidden in plain sight”.

Con l’ “emotional steering” vengono presentati all’utente solo gli effetti negativi di una ipotetica scelta per indurlo a non compierla. L’”Hidden in plain sight” come interfaccia si realizza usando opzioni visive che mettono in mostra l’opzione meno restrittiva a discapito di quella più restrittiva, così che l’utente ignori l’alternativa o abbia difficoltà a leggerla.

I dark pattern “Hindering”, o delle azioni impossibili

La quarta categoria si basa sull’ “Hindering”: ostacolare o bloccare gli utenti in vari modi, come ad esempio rendendo delle azioni difficili o impossibili da realizzare.

I tre dark pattern che rientrano in questa categoria sono: “dead end”, “longer than necessary” e “misleading information”.

In un modello basato sull’interfaccia il primo si ottiene, per esempio, quando mancano alcuni link che consentirebbero all’utente di esercitare i propri diritti, o ancora quando le interfacce sembrano non rispondere ai comandi perché non viene prodotto alcun tipo di effetto visivo.

A livello contenutistico lo schema del “longer than necessary”, invece, si ottiene attraverso la messa in discussione delle scelte operate e il prolungamento inutile del processo di scelta; nell’interfaccia, con la proliferazione dei passaggi dell’opt-out rispetto all’opt-in.

Le “misleading information”, informazioni ingannevoli, si realizzano con i contenuti facendo credere all’utente che l’informazione da fornire sia indispensabile ad ottenere un risultato: in questo caso specifico, il dark pattern viola il principio di minimizzazione che impone di raccogliere e trattare solo i dati strettamente necessari al raggiungimento delle finalità.

Il dark pattern “Fickle”: quando il design è poco chiaro

La quinta categoria è definita “fickle”: il design dell’interfaccia è incoerente e rende difficile all’utente navigare tra gli strumenti di controllo della protezione dei dati e comprendere lo scopo del trattamento.

Le due tipologie che appartengono a tale categoria sono il “lacking hierarchy” e il “decontextualising”.

Il “lacking hierarchy” si realizza quando, per esempio, l’informativa resa all’utente non è suddivisa in sezioni o paragrafi, rendendo difficile l’orientamento nella lettura, o nel caso in cui la piattaforma del social differisce dal solito modello di progettazione solo per alcuni aspetti.

A livello di interfaccia, avviene quando nelle diverse versioni per dispositivo della piattaforma social le impostazioni sono visualizzate con un simbolo diverso.

Il “decontextualising”, decontestualizzazione, si realizza nei modelli basati sull’interfaccia: un’informazione o un controllo relativo alla protezione dei dati si trova su una pagina fuori contesto, e diventa difficile da trovare per l’utente perché ha una collocazione controintuitiva.

Il dark pattern “Left in the dark”: quando prevale l’incertezza

Infine, la categoria del left in the dark può essere ottenuta attraverso: “language discontinuity”, “conflicting information” o “ambiguous wording or information”.

La “language discontinuity”, discontinuità linguistica, si verifica quando le informazioni sulla protezione dei dati non sono fornite nelle lingue ufficiali del Paese in cui vivono gli utenti, al contrario del servizio.

Le “conflicting information”, informazioni contrastanti, lasciano l’utente incerto su cosa debba fare e sulle conseguenze delle proprie azioni: ad esempio, il social informa l’utente del controllo sulle proprie preferenze di condivisione ma nello stesso momento specifica che non è possibile modificarle sui contenuti pubblicati.

Oppure, quando l’interfaccia utilizza un interruttore a levetta per consentire agli utenti di dare o revocare il consenso e non si capisce in quale posizione l’interruttore si trovi, perché la levetta non corrisponde al colore. Ad esempio: il lato destro è associato all’attivazione della funzione (“accensione”) e il colore dell’interruttore è rosso, il che di solito significa che una funzione è invece disattivata. O, al contrario, quando l’interruttore si trova sul lato sinistro, a significare solitamente che la funzione è disattivata, il colore di sfondo dell’interruttore è verde, che è normalmente associato a un’opzione attiva. Questo rende le informazioni poco chiare confondendo l’utente.

Da ultimo, l’utilizzo di parole o informazioni ambigue: ad esempio, attraverso l’uso del condizionale o di una formulazione vaga, che lascia l’utente incerto sull’utilizzo dei dati e per quale finalità. Oppure, attraverso l’utilizzo di un linguaggio specifico o tecnico difficilmente comprensibile da un utente medio.

Conclusioni

L’interessato e le sue legittime aspettative, così come la trasparenza nella raccolta e nell’uso dei dati, sono lo strumento su cui misurare l’accountability del titolare del trattamento. Questi concetti si legano strettamente ai principi di etica e sostenibilità dei dati che dovrebbero sempre essere posti alla base di ogni trattamento lecito.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4