Che cosa sono i Dark Pattern?
Il 9 dicembre 2022, il Commissario europeo per la Giustizia e la Tutela dei Consumatori, Didier Reynders, ha annunciato che la Commissione europea nel 2023 avrebbe concentrato i propri sforzi sulla regolamentazione dei Dark Pattern e il loro rapporto con il GDPR (General Data Protection Regulation), oltre che sulla trasparenza nel mercato della pubblicità online.
I Dark Pattern, secondo la definizione fornita dal Garante per la Protezione dei Dati Personali (GPDP), sono “modelli di progettazione ingannevoli” che mirano a influenzare il comportamento delle persone e possono ostacolarne la capacità di proteggere efficacemente la privacy online.
Nel dettaglio, si tratta di interfacce e percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate – e potenzialmente dannose dal punto della privacy del singolo – ma favorevoli all’interesse della piattaforma o del gestore del servizio.
In altre parole, i Dark Pattern sono tecniche di UX design utilizzate dalle aziende per condizionare gli utenti e convincerli a compiere determinate azioni che molto probabilmente non avrebbero preso in considerazione.
Lo scorso 24 febbraio 2023, il Comitato europeo per la protezione dati (European Data Protection Board-EDPB) ha pubblicato le linee guida che spiegano come riconoscere ed evitare questo tipo di sistemi. Il documento offre dei consigli pratici a gestori dei social media designer e utenti su come comportarsi di fronte a queste interfacce che si pongono in violazione del GDPR privacy.
6 tipologie di Dark Pattern secondo EDPB
Gli schemi di progettazione ingannevoli trattati nelle linee guida EDPB possono essere suddivisi nelle seguenti sei categorie:
- Overloading (sovraccarico): si verifica nel momento in cui gli utenti si trovano di fronte a una grande quantità di richieste, informazioni, opzioni o possibilità che hanno l’obiettivo di spingerli a condividere più dati o a consentire involontariamente al trattamento dei dati personali contro le aspettative dell’interessato;
- Skipping (saltare): significa che l’interfaccia o il percorso dell’utente sono progettati in modo che l’utente dimentichi o non pensi a tutti o ad alcuni aspetti della protezione dei dati.
- Stirring (agitazione): influisce sulla scelta che gli utenti farebbero facendo appello alle loro emozioni o usando sollecitazioni visive;
- Obstructing (ostacolare): accade quando gli utenti sono ostacolati o bloccati nel processo di informazione sull’uso dei propri dati o nella gestione degli stessi;
- Fickle (volubile): quando gli utenti acconsentono al trattamento dei propri dati senza capire quali siano le finalità a causa di un’interfaccia incoerente o poco chiara. Per “volubile” si intende che il design dell’interfaccia è incoerente e non chiaro, quindi rende difficile per l’utente navigare tra i diversi strumenti di controllo della protezione dei dati e comprendere lo scopo del trattamento;
- Left in the dark (lasciato nel buio/all’oscuro): questa espressione si riferisce a quelle interfacce progettate in modo da nascondere informazioni o strumenti di controllo della protezione dei dati. Gli utenti navigano nell’incertezza e non sanno come vengono elaborati i loro dati e che tipo di controllo possono avere su di essi.
Come evidenziato dal GPDP, le interfacce e informazioni sottoposte agli utenti dovrebbero sempre riflettere fedelmente le conseguenze dell’azione intrapresa ed essere coerenti con il percorso di esperienza-utente.
Ne consegue che l’approccio alla progettazione non deve mettere in discussione la decisione della persona per indurla a scegliere o mantenere un ambiente meno protettivo nei confronti dei propri dati. Al contrario, il modello deve essere utilizzato per avvisare l’utente che una specifica scelta potrebbe comportare rischi per i propri dati e la privacy.
Quali sono le disposizioni del GDPR sui Dark Pattern?
In merito alla conformità alla protezione dei dati delle interfacce utente, come riportato nelle linee guida EDPB, i principi applicabili sono stabiliti dall’articolo 5 del GDPR.
Il principio del trattamento equo di cui all’articolo 5, paragrafo 1, lettera a) serve come punto di partenza per valutare se un modello di design costituisce effettivamente un “modello di design ingannevole”. Altri principi che svolgono un ruolo in questa valutazione sono quelli della trasparenza, della minimizzazione dei dati e della responsabilità ai sensi dell’articolo 5 (1) (a), (c) e (2), nonché, in alcuni casi, della limitazione delle finalità ai sensi dell’articolo 5 (1) (b).
In alcuni casi, la valutazione si basa anche sulle condizioni di consenso ai sensi degli articoli 4 (11) e 7 o su altri obblighi specifici, come l’articolo 12. Nel contesto dei diritti degli interessati occorre tenere conto anche del terzo capitolo del Regolamento Generale sulla Protezione dei Dati.
Infine, i requisiti di protezione dei dati per progettazione e per impostazione predefinita, ai sensi dell’articolo 25, svolgono un ruolo fondamentale in quanto la loro applicazione prima di avviare la progettazione di un’interfaccia aiuta ad evitare modelli di progettazione ingannevoli.
Esempi di Dark Pattern nel ciclo di vita di un account social media
Il documento redatto dal Comitato europeo per la protezione dati chiarisce che le disposizioni del GDPR si applicano all’intero corso del trattamento dei dati personali nell’ambito del funzionamento delle piattaforme di social media, ossia all’intero ciclo di vita di un account utente.
L’EDPB fornisce altresì vari esempi concreti di modelli di progettazione ingannevoli per diversi casi d’uso all’interno del ciclo di vita di un account di social media, a partire dall’iscrizione, vale a dire il processo di registrazione per aprire un account sui social media, passando per le notizie attinenti all’informativa sulla privacy, la gestione del consenso al trattamento dei dati, l’esercizio dei diritti degli interessati durante l’utilizzo dei social media e, infine, la chiusura di un account sui social media.
Ogni specifico caso d’uso fornisce ai progettisti di interfacce una spiegazione precisa e dettagliata di quali norme del General Data Protection Regulation siano rilevanti per esso al fine di facilitare l’effettiva attuazione del Regolamento Generale sulla Protezione dei Dati.