L’esigenza di porre particolare attenzione ai rischi insiti negli strumenti digitali più diffusi presso i consumatori ha spinto l’European Data Protection Board ad adottare, in data 15 marzo 2022, delle linee guida con le quali si offrono delle raccomandazioni pratiche ai designer e utenti di piattaforme social per valutare ed evitare i dark patterns, i quali rappresentano una “patologia” che affligge l’esperienza degli utenti e che i service provider impiegano, volontariamente o inconsapevolmente, per fuorviare gli stessi.
I dark pattern
I dark patterns consistono in scelte di design che vengono implementate sulle interfacce di siti internet e piattaforme social con l’obiettivo di indurre gli utenti a prendere delle decisioni non intenzionali e talvolta potenzialmente dannose riguardo il trattamento dei loro dati personali. Infatti, a causa della presenza dei dark patterns, l’utente potrebbe essere indotto ad acquistare un certo prodotto o a registrarsi ad un determinato servizio, anche se non aveva alcuna intenzione di farlo.
Per quanto esistano un grande numero di dark pattern, l’EDPB ha cercato di razionalizzare il tema classificando i dark pattern nelle seguenti sei macro-categorie:
- overloading: gli utenti sono messi di fronte ad una grande quantità di richieste, informazioni, opzioni o possibilità al fine di spingerli a condividere più dati o consentire involontariamente il trattamento dei dati personali;
- skipping: progettare l’interfaccia o l’esperienza utente in modo che gli utenti dimentichino o non pensino a tutti o ad alcuni aspetti riferibili alla protezione dei dati;
- stirring: influenzare la scelta che gli utenti, facendo appello alle loro emozioni o utilizzando specifici stimoli;
- hindering: ostacolare o bloccare gli utenti nel loro processo di informazione o di gestione dei propri dati rendendo l’azione difficile o impossibile da realizzare;
- fickle: il design dell’interfaccia è incoerente e non chiaro, rendendo difficile per l’utente navigare tra i diversi strumenti di controllo della protezione dei dati e comprendere lo scopo del trattamento;
- left in the dark: un’interfaccia è progettata in modo da nascondere informazioni o strumenti di controllo della protezione dei dati o da lasciare gli utenti insicuri su come i loro dati sono trattati e che tipo di controllo potrebbero avere su di essi riguardo all’esercizio dei loro diritti.
Gli esempi indicati dall’EDPB riguardano, quindi, specifiche categorie di dark pattern in cui gli utenti incappano praticamente ogni giorno, anche inconsapevolmente.
Oltre a raggruppare i dark pattern in queste categorie in base ai loro effetti sul comportamento degli utenti, i dark pattern possono anche essere suddivisi in content-based pattern (basati sul contenuto) e interface-based pattern (basati sull’interfaccia). I pattern basati sul contenuto si riferiscono al contenuto effettivo e quindi anche alla formulazione e al contesto delle frasi e delle componenti informative. Tuttavia, vi sono anche componenti che hanno un’influenza diretta sulla percezione di questi fattori. Questi modelli basati sull’interfaccia sono legati ai modi di visualizzare il contenuto, navigare attraverso di esso o interagire con esso (pattern basati sull’interfaccia).
La metodologia applicata dall’EPDB
Gli esempi citati sono spesso ricorrenti in diverse fasi di interazione tra utente e piattaforma social, pertanto l’EDPB fornisce casi pratici, connessi alle macro-categoria elencate, contestualizzandoli:
- nella fase di iscrizione e registrazione alla piattaforma social;
- al momento in cui viene fornita l’informativa sul trattamento dei dati personali;
- ai casi di contitolarità e di comunicazione di violazioni dei dati;
- al consenso e alla gestione della protezione dei dati;
- all’esercizio dei diritti degli interessati durante l’uso dei social media e;
- alla chiusura di un account sui social media.
La valutazione sulla presenza o meno di dark pattern viene effettuata dall’EDPB in base all’art. 5 del GDPR, che descrive i principi applicabili al trattamento. L’EDPB, infatti, propone degli esempi per i quali indica le disposizioni del GDPR di riferimento e le modalità con le quali i dark pattern indicati negli esempi violano il GDPR. In aggiunta vengono fornite delle best practice riferibili al design delle interfacce utente.
Conclusioni
L’EDPB ha ritenuto necessario porre un freno all’uso dei dark patterns, concentrando le proprie interpretazioni sulle piattaforme social, le quali risultano essere uno dei più importanti touchpoint attraverso cui milioni di persone ogni giorno interagiscono.
È importante anche ricordare che il tema dei dark pattern non riguarda solo la normativa in materia di protezione dei dati ma anche, in alcuni casi, la normativa a tutela dei consumatori. I confini tra questi due ambiti sono spesso molto sottili ma di grande rilevanza: in tal senso, le best practice fornite nelle linee guida potranno fornire un supporto fondamentale per la creazione di interfacce per gli utenti che siano conformi alle normative (privacy e non).
