Linee guida EDPB

Dark pattern sui social, se lo riconosci lo eviti: indicazioni e best practice

L’EDPB ha approva le linee guida sui dark pattern nei social. Cosa sono, le tipologie, i consigli per evitare i “modelli oscuri”, punti di forza e debolezze delle indicazioni del Gruppo Europeo dei Garanti

01 Apr 2022
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

Il Gruppo Europeo dei Garanti ha adottato il 14 marzo scorso le sue linee guida sui cosiddetti dark pattern nei social media.

Le linee guida, in certa misura singolari rispetto ai “prodotti” del gruppo dei garanti, solitamente rivolte agli operatori, sono dirette in primo luogo agli utenti delle piattaforme social, come è evidente sin dal loro nome: “Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them”.

Trasparenza web, attenti ai “dark pattern”: il ruolo del “legal design” per la tutela degli utenti

Le linee guida offrono quindi una serie di indicazioni di ordine pratico rivolte non solo a chi si occupa di realizzare le piattaforme social, ma anche e soprattutto agli utenti per individuate queste pratiche, che sono illegali tutte le volte in cui rendono più difficile l’esercizio dei nostri diritti in tema di tutela dei dati personali.

Le linee guida sono ora aperte alla consultazione e sarà possibile formulare osservazioni sul loro contenuto fino al prossimo 2 maggio, dopodiché verranno approvate nella loro versione definitiva.

La definizione di dark pattern

Le linee guida si aprono con una definizione normativa essenziale e destinata in certa misura a fare scuola, ovvero quella appunto di dark pattern.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

I “modelli oscuri” come potremmo chiamarli in una approssimativa traduzione italiana, vengono definiti come tutte quelle interfacce ed esperienze utente implementate su piattaforme di social media che portano gli utenti a prendere decisioni involontarie, riluttanti e potenzialmente dannose in merito al trattamento dei propri dati personali.

I dark pattern sono tali se implementati con lo scopo di influenzare il comportamento degli utenti e possono ostacolare la loro capacità di proteggere efficacemente i propri dati personali e prendere decisioni consapevoli.

É chiaro quindi quali sono i due principali limiti che ha in mente l’EDPB nel realizzare le proprie linee guida:

  • da un lato vengono presi in considerazione solamente i dark pattern sui social media (escludendo ad esempio altre importanti occorrenze del fenomeno, pensiamo ad esempio ai siti di e-commerce);
  • dall’altro lato vengono presi in considerazione solamente quei dark pattern che possono incidere sul trattamento dei dati personali (non sono quindi di per sé oggetto dell’interesse dell’EDPB tutti quei dark pattern che rendono difficile, se non quasi impossibile, accedere ai servizi di assistenza clienti, salvo questi non fungano anche da canali per prendere decisioni rilevanti in tema di dati personali).

Le tipologie di dark pattern

È interessante poi l’elencazione delle varie “categorie” in cui si suddividono i cosiddetti dark pattern.

L’EDPB ci parla di:

  • Overloading (sovraccaricare): quando agli utenti sono presentate una valanga di informazioni, richieste, opzioni o possibilità che finiscono per favorire una scelta frettolosa con conseguente condivisione di più dati di quanti si vorrebbe (è evidente che questa tecnica è sanzionata solo laddove la scelta “frettolosa” porta ad una scelta “preimpostata” che comporta una condivisione dati non realmente ponderata e verosimilmente maggiore di quella che si sarebbe potuta ottenere con un layout chiaro e trasparente). Questa categoria si può “presentare” in diversi modi, tra cui: “Prompting insistito” (chiedo un consenso reiterato ad un trattamento dati ulteriore fino a sfiancare l’utente), “Privacy Maze” (ovvero la creazione di un “labirinto” in cui far perdere l’utente con lo scopo di impedirgli o comunque rendere difficoltose le scelte conservative in ambito privacy) e “Too many options” (ovvero la parcellizzazione delle possibilità di scelta fatta per “stancare” l’utente determinato al controllo dei propri dati);
  • Skipping (saltare): quando agli utenti è presentata un’interfaccia o user experience pensata per far dimenticare o comunque tralasciare gli aspetti privacy. In questa categoria rientrano l’ipotesi dell’”Accoglienza Ingannevole” (la presentazione di una preselezione di opzioni che però non sono le più conservative dal punto di vista privacy) e quella del “Look over there” (la presentazione dell’interfaccia evidenzia aspetti non rilevanti o parziali, ad esempio in tema di sicurezza, mentre omette o presenta in maniera dimessa altre informazioni più significative);
  • Stirring (far leva sulle emozioni): quando agli utenti è presentata un’interfaccia in cui, attraverso percorsi di stimolazione emotiva e/o visuale si direzionano le sue scelte. Questa categoria include le pratiche dell’”Emotional Steering” (pratica particolarmente influente nei confronti di utenti meno esperti e vulnerabili come minori, consistente nella presentazione degli aspetti positivi di una maggior condivisione di dati personali e/o nel far percepire come “incompleta” l’esperienza d’uso in mancanza di condivisione) e dell”Hidden in plain sight” (ovvero il “nascondere in bella vista” le opzioni conservative in tema di privacy, tecnica spesso utilizzata in congiunzione con quella vista più sopra del “Look over there” destinata invece ad evidenziare le opzioni che comportano una maggior condivisione di dati, un esempio può essere quello di presentare un form da compilare nascondendo in coda al modulo l’informazione su quali informazioni sono obbligatoriamente da inserire e quali no, spingendo così l’utente a completare integralmente il modulo prima di accorgersi che poteva evitare di inserire molti dati);
  • Hindering (ostacolare): questa tecnica, ben nota ai consumatori per come è applicata per rendere difficile l’accesso ad una voce umana in un call center, nel mondo informatico consiste nell’attività di progettazione dell’interfaccia utente di modo che sia difficile o impossibile per l’utente ad accedere a determinate opzioni o impostazioni. Quel che interessa all’EDPB è ovviamente quando questo strumento è utilizzato per ostacolare scelte in tema di gestione dei dati personali dell’utente sui social. In questo campo rientrano le seguenti tipologie: ”Dead End” (ovvero il far finire l’utente in un “vicolo cieco” dove lo stesso non può esercitare il controllo dei propri dati personali, ad esempio fornendo all’utente un link alla privacy policy durante la fase di registrazione, link in seguito non più raggiungibile), ”Longer than necessary” (un classico esempio di questa prassi è rappresentato dal “metodo” adottato da molti siti web quando si tratta di esercitare le proprie scelte in tema di cookie: l’opzione di accettare tutti i cookie è facile, invitante e richiede una frazione di secondo, l’opzione di rifiutare tutti i cookie non necessari non è invece disponibile e impone all’utente un percorso più lungo di selezione dei singoli cookie da accettare e rifiutare) e il fornire Informazioni fuorvianti (ad esempio indirizzare l’utente verso una pagina dedicata al controllo dei dati personali mentre la stessa pagina in realtà non include tutte le opzioni disponibili);
  • Fickle (incostanza): consiste nel presentare un’interfaccia progettata in modo incoerente, rendendo difficile per l’utente navigare tra i diversi strumenti preposti a tutela della sua privacy e a comprendere lo scopo del trattamento dati da parte della piattaforma. Le pratiche che rientrano in questa tipologia sono la mancanza di gerarchia (consistente nella presentazione confusa e ripetuta di informazioni e opzioni in tema di protezione dati personali, ad esempio presentare in una serie di menù le opzioni in ordine crescente di tutela mentre con riguardo ad un dato di particolare interesse per il social network l’ordine di presentazione è decrescente) e la decontestualizzazione (consistente ad esempio nel presentare i settaggi in tema privacy in menù che poco hanno a che fare con la materia, ad esempio sotto la voce “Sicurezza”);
  • Left in the dark (lasciare all’oscuro): progettare l’interfaccia in modo da nascondere le informazioni o gli strumenti di controllo della protezione dei dati o comunque per lasciare gli utenti incerti su come vengono trattati i loro dati personali e sulla loro possibilità di incidere su questo trattamento. In quest’ultima categoria rientrano le ipotesi della discontinuità linguistica (non si forniscono le informazioni in tema privacy in una lingua che l’utente a cui si rivolge il servizio di social media può comprendere), del fornire informazioni contrastanti (ad esempio quando le informazioni fornite non chiariscono davvero cosa accade con i dati forniti dall’utente e sulle sue possibilità di controllo, si tratta di una pratica i cui effetti deleteri possono essere amplificati dall’emotional steering visto sopra) e del fornire informazioni ambigue (ad esempio nell’informativa, facendo ricorso a formule vaghe e di stile finalizzate a lasciare l’utente all’oscuro su come di fatto vengono trattati i dati, l’EDPB fa riferimento all’inciso, abusato in molte privacy policy, “I suoi dati potrebbero essere utilizzati al fine di migliorare i nostri servizi”, frase che riferisce di una mera ipotesi e descrive in maniera vaga presupposti e oggetto del trattamento dati).

Le linee guida

Dopo questo ventaglio di definizioni (che l’EDPB si premura di indicare come non esaustivo, in quanto il fenomeno dei dark pattern è per sua natura in continua evoluzione proprio in risposta alla “denuncia” delle pratiche più comuni, che vengono per questo evitate pur senza rinunciare all’obiettivo di fagocitare quanti più dati possibili degli utenti, da ottenere con nuove metodiche) si aprono le linee guida vere e proprie, costituite da una lunga e dettagliata serie di esempi e casi d’uso, che possono essere letti da chi progetta i social media come una guida operativa su cosa evitare nel realizzare la loro piattaforma, ma anche dai semplici utenti, che possono utilizzare le linee guida come strumenti per riconoscere e superare le insidie dei dark pattern (e/o segnalarli quando vi incorrono).

L’EDPB si preoccupa poi di ricordare i principi che dovrebbero ispirare i gestori delle piattaforme social nel trattare i dati e nell’informare gli utenti, quali trasparenza, correttezza e progettazione delle loro piattaforme con un’attenzione, fin dalla fase iniziale, nel rispetto del GDPR.

Le linee guida approfondiscono poi le varie ipotesi di dark pattern nel “ciclo di vita” di un account social, dalla creazione alla chiusura dell’account, accompagnati anche da esempi testuali e grafici, come ad esempio quello che segue:

L’immagine rappresenta bene il concetto di “Accoglienza Ingannevole”, con cui si preseleziona per l’utente l’opzione più invasiva dal punto di vista privacy, nascosta in piena vista è poi l’opzione per saltare il passaggio dell’inserimento della data di nascita, che evidentemente non costituisce (nell’esempio, perché è ben difficile che nella pratica sia così viste le normative sempre più stringenti circa l’individuazione dell’età dell’utente del social network) un dato obbligatorio.

Le best practice

Le varie fasi della vita di un account esaminate nelle linee guida si concludono con l’elencazione di una serie di best practice pensate per evitare i dark pattern, fra cui ricorrono:

  • fornire esempi pratici;
  • fornire un elenco di definizioni;
  • presentare una navigazione coerente sul sito, ricca di link e indici ipertestuali e di scorciatoie per tornare al livello superiore o alla home page;
  • fornire informazioni coerenti ed effettuare, a tal fine, una verifica di coerenza delle informazioni fornite prima di licenziare il sito o il suo aggiornamento;
  • creare un menù ad hoc per le impostazioni sul tema della protezione dei dati personali (con un nome che richiami chiaramente la funzione del menù), che contenga tutte le opzioni rilevanti in merito.

L’importanza delle linee guida

Il fenomeno dei dark pattern, ovvero tattiche in apparenza legittime ma finalizzate in realtà a incidere negativamente sui diritti degli utenti, è utilmente contrastato da una chiara individuazione dei confini di queste pratiche, per questo l’operato dell’EDPB è di grande rilievo.

Chiamare il demone con il suo nome lo indebolisce e, nel caso, la diffusa elencazione delle pratiche illegittime adottate da molte piattaforme social fatta dall’EDPB ha il sicuro merito di far venire allo scoperto una serie di comportamenti maliziosi, rendendo gli utenti maggiormente consapevoli dei loro diritti.

La difficoltà è ora quella di continuare a “mappare” il fenomeno che sicuramente gioverà di nuovi e imprevedibili sviluppi nel tentativo di soddisfare l’esigenza, non sopita, di dati personali in capo alle piattaforme social.

Punti deboli delle linee guida

Le linee guida presentano però anche profili di debolezza, di cui forse il principale consiste proprio nel far leva in alcune occasioni sull’intento della piattaforma di carpire una mole di dati maggiore degli utenti, l’indagine sui dark pattern dovrebbe invece essere completamente separata dall’aspetto dell’intenzione (per evitare di complicare inutilmente l’attività di indagine) e concentrarsi piuttosto sull’effetto delle malaccorte scelte di design e su quanto queste incidano sull’esercizio dei diritti in capo all’utente.

Un ulteriore punto critico delle linee guida è quello per cui le stesse sembrano rivolgersi esclusivamente ai social network “maturi” e consolidati, dai quali è lecito attendersi un adeguamento privacy rigoroso e presumere che nel momento in cui il legal design si discosta da quello ottimale il fine sia quello di illegittimamente estendere il trattamento dei dati personali.

Il mondo dei social network è però molto più esteso ed è chiaro che ci sono una serie di social in fase di primo approccio al mercato, o rivolti a nicchie di utenti specifiche, che nel rispettare tutto il portato delle linee guida si troverebbero inevitabilmente in difficoltà e che verosimilmente potrebbero incorrere involontariamente in dark pattern pur senza alcuna intenzione malevola.

Una declinazione “dimensionale” delle pretese regolatorie (e/o sanzionatorie) è quindi senz’altro da augurarsi in sede di applicazione delle linee guida.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4