DATA PROTECTION

Dark pattern e dati personali: ecco le linee guida EDPB per il legal design dei social (e non solo)

I dark pattern, usati per indurre utenti online a tenere comportamenti non del tutto consapevoli, rappresentano un tema “tangente” la disciplina consumeristica e della privacy, tanto da essere ora diventati oggetto esclusivo di un nuovo parere dell’EDPB che, con le nuove linee guida, prova a fare chiarezza sul tema. Ecco tutti i dettagli

25 Mar 2022
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Il tema dei dark pattern – cioè l’uso di varie tecniche perlopiù di design per indurre utenti online a tenere certi comportamenti non del tutto consapevolmente – è crescente da anni. È arrivato ora persino a essere oggetto esclusivo di un nuovo parere dell’EDPB (il consesso unionista delle autorità per la protezione dei dati personali). Infatti il nuovo documento n. 3/2022 del Board si intitola proprio “Dark patterns in social media platform interfaces: How to recognise and avoid them”, del 14 marzo scorso, descrivendo ben di più di ciò che può far pensare il titolo in sé.

Di seguito scorreremo il testo – tuttora provvisorio, essendo in consultazione pubblica fino a maggio – per individuare alcuni punti di maggiore interesse tra ben 64 pagine complessive.

Essendo in gioco l’autonomia e l’autodeterminazione delle persone, crediamo che queste linee guida presentino un interesse più esteso del solito, in aree legali extra data protection.

Dark pattern, l’EDPB detta le regole ai designer: ecco i tipi più comuni di “percorsi oscuri”

Dark pattern: allarmi alle due sponde dell’Oceano

Non è la prima volta che in questo contesto si parla di dark pattern: non dimentichiamo che si tratta di un tema “tangente” la disciplina della privacy e quella consumeristica. E non solo l’Unione si preoccupa del tema, ad es. anche gli Stati Uniti stanno affrontando il tema da tempo, coinvolgendo l’FTC (Federal Trade Commission, l’ente per la tutela del commercio, spesso chiamata in causa a livello federale per temi di rilevanza data protection se riferibile ai consumatori) per il livello federale e diversi procuratori a livello statale.

candidatura
Passione per il diritto dell’informatica? Candidati per il team Legal di P4I!
Legal
Privacy

Peraltro la difesa del consumatore, sotto questo punto di vista, ha indagato aspetti pertinenti al social engineering (tecniche per ottenere informazioni da una persona, di solito appannaggio della sicurezza delle informazioni e IT) e alla vulnerabilità della persona.

Restando in ambito europeo, il documento EDPB cita alcuni importanti studi pregressi sul tema, come il report Deceived by design del Norwegian Consumer Council oppure il report del CNIL Shaping Choices in the Digital World: From dark patterns to data protection: the influence of ux/ui design on user empowerment.

Fondamentale è stato il contributo degli studi sulla disciplina consumeristica: i risultati dei tanti anni dedicati al tema hanno portato a categorizzare e perimetrare diverse prassi, negative e positive, sfruttate dall’EDPB nel suo documento.

Tra i tanti antecedenti possiamo citare lo studio della Commissione Europea Consumer vulnerability across key markets in the European Union del 2016, nonché il più recente documento di indirizzo Guidance on the interpretation and application of Directive 2005/29/EC of the European Parliament and of the Council concerning unfair business-to-consumer commercial practices in the internal market del 2021.

Il tema è chiaramente interdisciplinare: oltre ai profili legali, sono evidenti i necessari contributi di web designer, esperti di comunicazione e psicologi (cognitivisti), digital marketer.

Tutte figure, non a caso, coinvolte nel legal design, disciplina che si prende cura dell’utente “posto al centro” a cui indirizzare la miglior comunicazione possibile, con la massima trasparenza a colmare eventuali asimmetrie contrattuali e informative.

Potremmo considerare il documento EDPB proprio come una sorta di prima guida al legal design delle interazioni titolari-interessato. Queste considerazioni rientrano in un contesto di abusi tanto più allarmanti se si pensa che incide ancor più significativamente sulle categorie più deboli e vulnerabili di utenti, come ad es. i minori.

Ultima premessa: il documento è indirizzato all’uso dei dati personali raccolti tramite social media, collegandosi apertamente alle precedenti linee guida EDPB 8/2020 sul social targeting. Però sarebbe ingiustificato confinare le indicazioni del Board al solo ambito dei social, potendosi calare perfettamente gli stessi rischi e prassi anche in ambiti diversi, come la raccolta diretta di dati tramite siti web o app di diversa natura rispetto ai social. Dovrebbero costituire un punto di partenza per una revisione complessiva delle proprie prassi di interazione con gli utenti interessati.

Alcune definizioni di base

Il Board esordisce con poche ma importanti definizioni per aiutare la comprensione:

  • interfaccia utente: corrisponde a tutti i mezzi attraverso cui le persone possono interagire con le piattaforme di social media, si pensi all’esempio classico del form per la raccolta dati alla registrazione del proprio account;
  • dark pattern: sono considerati tali le predette interfacce utente e comunque le tipologie di UX (User Experience) implementate su piattaforme di social media, quando portano gli utenti a prendere decisioni non intenzionali, involontarie e potenzialmente dannose in merito ai loro dati personali; mirano a influenzare il comportamento degli utenti e possono ostacolare la loro capacità di proteggere efficacemente i propri dati personali, oltre che di fare scelte consapevoli.

Le categorie di dark pattern secondo l’EDPB

Contestualizzando i dark pattern entro il recinto della data protection, è evidente che si tratta di vulnus ai principi scolpiti nell’art. 5 GDPR, come la trasparenza e la correttezza, oppure ai requisiti di trasparente, adeguata, accessibile informazione di cui all’art. 12 GDPR o ancora al consenso informato ex art. 7 GDPR. Solo per menzionare i principali e più ricorrenti agganci normativi nell’analisi in parola. I principi dovrebbero essere comunque la stella polare di ogni compliance, in questo caso soprattutto nella progettazione dell’interfaccia utente, con una funzione “ombrello” soprattutto del principio di correttezza.

Non da poco sono anche le annotazioni sulle possibili dimostrazione, in sede di accountability, della compliance coi predetti principi: “gli utenti devono spuntare una casella o fare clic su una delle diverse opzioni di protezione dei dati, gli screenshot delle interfacce possono servire a mostrare il percorso degli utenti attraverso le informazioni sulla protezione dei dati e spiegare come gli utenti stanno prendendo una decisione informata”.

L’EDPB non scorda di riallacciare il discorso a quello già introdotto con le precedenti linee guida 4/2019 sulla privacy by design e by default, richiamandone le istanze che si erano classificate al tempo e che sono sottese alla tutela generale degli interessati: autonomia dell’interessato; interazione (tra interessato e titolare) per l’esercizio dei propri diritti; aspettative (ragionevoli) dell’interessato; scelte dell’interessato (ad es. circa la libera portabilità dei dati); equilibrio di potere tra le parti (anche adottando contro-misure compensative); assenza di inganno e manipolazione; veridicità delle informazioni fornite. Il rispetto di questi requisiti, di per sé, dovrebbe far evitare il fenomeno ingannevole di cui stiamo parlando.

Torniamo ai punti “dolenti”, alle condotte da evitare. Le macro-categorie di dark pattern intercettate dall’EDPB sono sei, modellate sulla base degli effetti provocati verso gli utenti (si badi alla personale traduzione italiana di alcuni termini, nella versione definitiva del documento potranno ovviamente essere tradotti diversamente):

  1. Overloading (sovraccaricare): gli utenti si trovano di fronte a una grande quantità di richieste, informazioni, opzioni o possibilità, così da spingerli a condividere più dati o consentire – involontariamente – il trattamento dei dati personali contro le aspettative dell’interessato; sotto-tipologie: “prompting continuo” – “labirinto privacy” – “troppe opzioni”;
  2. Skipping (saltare): interfaccia/UX predisposte in modo che gli utenti dimentichino, o non pensino, ad alcuni aspetti della protezione dei dati; sotto-tipologie: “confidenza ingannevole” – “guarda laggiù”;
  3. Stirring (stimolare): influenzare le scelte che gli utenti altrimenti non compirebbero, facendo appello alle loro emozioni o usando sollecitazioni visive; sotto-tipologie: “guida emotiva” – “nascosto in bella vista”;
  4. Hindering (ostacolare): un ostacolo o blocco degli utenti nel loro processo di informazione o nella gestione dei propri dati, rendendo l’azione favorevole all’utente difficile o impossibile da attuare; sotto-tipologie: “vicolo cieco” – “più a lungo del necessario” – “informazione fuorviante”;
  5. Fickle (mutare): il design dell’interfaccia è incoerente e non chiaro, rendendo difficile per gli utenti navigare tra i diversi strumenti di controllo della protezione dei dati, oltre a ostacolare la comprensione della finalità stessa del trattamento; sotto-tipologie: “mancanza di gerarchia” – “decontestualizzazione”;
  6. Left in the dark (lasciare all’oscuro): l’interfaccia è progettata in modo da nascondere informazioni o gli strumenti di controllo per la data protection, oppure gettando incertezza su come vengono trattati i dati e su quale tipologia di controllo potrebbero avere gli interessati sugli stessi (per quanto riguarda l’esercizio dei loro diritti); sotto-tipologie: “discontinuità linguistica” – “informazioni contraddittorie” – “formulazione ambigua”.

L’elenco delle tipologie – non esaustivo, precisa l’EDPB che invita sempre e comunque a valutazione caso per caso – è accompagnato, nel documento, da numerosi esempi concreti. Non possiamo analizzare tutti gli esempi in questa sede, rimandando al testo originario per ogni approfondimento. Ci limiteremo ad alcuni casi, accompagnati da esempi grafici, per comprendere la metodologia seguita dall’EDPB che titolari possono adottare nelle proprie valutazioni.

Facciamo un’ultima premessa: il Board, che si focalizza sul contesto dei social media, sottolinea che la protezione dei dati deve avvenire per tutto il ciclo di vita dei dati e della durata del rapporto titolare-interessato. Ciò comporta che l’analisi è suddivisa nelle fasi di tale ciclo di vita, ovvero: il processo di registrazione; i casi di utilizzo delle informazioni (con riflesso su informativa privacy, contitolarità e data breach); la gestione del consenso e della protezione dei dati; l’esercizio dei diritti dell’interessato durante l’utilizzo dei social media; infine, la chiusura di un account sui social media.

Dark pattern: alcuni esempi dall’EDPB

Il primo esempio che trattiamo qui riguarda un caso di informazioni contraddittorie (macro-tipologia: “lasciare all’oscuro”): è ovvio che ciò porta all’incertezza negli utenti su cosa dovrebbero fare e sulle conseguenze delle loro azioni. Ne consegue, generalmente, che l’utente non prende alcuna decisione e mantiene le impostazioni predefinite dal social media, usualmente non improntate alla minimizzazione ma anzi alla massima condivisione dei dati.

Ciò può essere amplificato grazie al supporto di tecniche di guida emotiva (“emotional steering” nell’originale inglese): i contenuti di accompagnamento e design (testi, immagini e colori motivanti e accattivanti) possono aiutare nel generare reazioni emotive e così aiutare a sorvolare sugli elementi da ponderare razionalmente.

Di seguito vediamo l’esempio di layout ingannevole proposto dall’EDPB.

Come afferma il Board: “l’illustrazione che rappresenta la fotografia di un simpatico animale che gioca con una palla […] può dare agli utenti l’illusione di sicurezza e comfort per quanto riguarda i potenziali rischi della condivisione di qualche tipo di informazione sulla piattaforma”. Da qui lo sfruttamento del lato emotivo della comunicazione.

Poi si tratta dell’aspetto informativo: “D’altra parte, le informazioni fornite su come controllare la pubblicità dei propri dati non sono chiare. Per prima cosa si dice che gli utenti possono impostare la loro preferenza di condivisione e il tempo che desiderano. Tuttavia l’ultima frase indica che ciò non è possibile, una volta che qualcosa è già stato pubblicato sulla piattaforma”. Qui arriviamo alla contraddizione e infine all’incertezza dell’utente.

Nell’allegato finale alle Linee guida l’EDPB riassume – in questo e negli altri casi – la fattispecie e indica i principi GDPR violati: nell’esempio appena visto, sono elencati quello di correttezza (art. 5), di trasparenza informativa (art. 12), di consenso informato (artt. 4 e 7).

Veniamo al secondo caso che potremmo intitolare “il lungo addio”, utile per capire la necessità di sorvegliare tutto il percorso di interazione utente. Qui si tratta della disiscrizione al social media, la fase finale del rapporto. La sotto-tipologia è “più a lungo del necessario”, macro-tipologia è “ostacolare”. Il mockup presentato dal Board nell’esempio è il seguente.

Come si può notare agilmente, gli utenti visualizzano prima una casella di conferma per cancellare il proprio account (dopo averlo richiesto con apposita opzione). L’EDPB ravvisa un poco di guida emotiva, tuttavia vi si può riconoscere una ratio di sicurezza sì da ottenere conferma dall’utente di un’effettiva volontà di cancellazione (potrebbe essersi sbagliato cliccando). Premendo su “Elimina il mio account”, tuttavia l’utente si trova di fronte a una seconda casella che chiede di motivare l’abbandono e finché non si è inserito qualcosa nella casella di testo non si può eliminare davvero il proprio account. Difatti il design prevede un pulsante associato all’azione di eliminazione definitiva che risulta inattivo e disattivato, fino al riempimento obbligato della predetta motivazione.

Questa pratica rende la cancellazione un iter più lungo del necessario, cioè uno sforzo e/o un tempo aggiuntivi obbligatori ma non necessari.

Il terzo e ultimo caso che illustriamo appartiene alla tipologia “sovraccaricare” e attraversa potenzialmente l’intero ciclo di vita del rapporto con l’utente. Lo strumento specifico è quello del “prompting continuo”: nell’esempio EDPB si ipotizza che il social media notifichi più e più volte lo stesso pop-up all’utente che continua a negare un consenso marketing, come ben mostrato nella linea temporale stilizzata di seguito (brillante esempio di design da parte della stessa EDPB).

La violazione della privacy utente è evidente, considerando che tale forma di pressione cerca di ottenere il consenso – non certo libero – attraverso la stanchezza dell’utente, tempestato di notifiche ripetitive fin dalla fase di registrazione dell’account e in molte occasioni successive. Si presenta anche un c.d. “effetto mirroring” se si pensa che – una volta reso il tanto sollecitato consenso – all’utente non si notificherà certo un popup che ricordi la possibilità di revocare lo stesso consenso.

Oltretutto si noterà come vi sia sfruttato un ulteriore pattern, cioè “nascosto in bella vista”, a mente della diversa resa grafica tra pulsante di accettazione (molto evidente) e quello di rifiuto (quasi invisibile).

Best practice e conclusioni

Oltre a fornire i citati casi, il Board ci mostra altresì l’altro “lato della luna”, quello luminoso delle best practice positive, riconducibili a cinque fattispecie essenziali:

  1. fornire più indicazioni coerenti tra loro, non contradditorie;
  2. usare le definizioni per chiarire l’esatto significato dei termini chiave;
  3. usare esempi, per esplicare il contesto, l’implicato trattamento dei dati;
  4. spiegare le conseguenze delle possibili scelte e azioni all’utente;
  5. essere coerenti tra più dispositivi: quando la piattaforma è disponibile attraverso dispositivi diversi (ad es. computer, smartphone, ecc.) allora “le impostazioni e le informazioni relative alla protezione dei dati dovrebbero trovarsi negli stessi spazi nelle diverse versioni e dovrebbero essere accessibili attraverso gli stessi elementi di UX e di interfaccia”.

Si badi che quelle vagliate dall’EDPB non sono condotte che necessitano di uno stato soggettivo di dolo, di volontà ingannevole da parte del titolare che le pone in essere. Ragionando civilisticamente, sarebbe sufficiente un presupposto colposo, specie se consideriamo ancora inquadrabile il trattamento di dati personali sotto l’egida dell’art. 2050 c.c. circa le attività pericolose e che verte su una presunzione di responsabilità (colposa). Ragion per cui si può andare esenti da responsabilità solo provando di aver adottato tutte le misure idonee per evitare il danno.

Ergo: considerate le puntuali ed estese indicazioni del Board, i titolari dovrebbero (ri)esaminare le proprie prassi di interazione con gli utenti/interessati, per ogni touch point, per tutto il ciclo di vita dei dati, per evitare di replicare perlomeno i casi censurati nel documento. Non basterà certo scusarsi, di fronte alle autorità, asserendo che si è solo copiata l’impostazione di terzi o che la soluzione di design era fornita da terzi o ancora che non ci si era resi conto delle possibili implicazioni negative. E non si può affatto escludere un possibile utilizzo di queste indicazioni anche da parte dell’AGCM per vagliare eventuali pratiche commerciali scorrette e aggressive, lato consumeristico, per le ragioni viste sopra.

Per chiudere, possiamo azzardare e affermare che la divulgazione di queste tematiche non è rilevante solo per i titolari e la loro compliance, ma anche per gli interessati/consumatori stessi che dovrebbero avere maggiore familiarità con le possibili tecniche di “inganno”, così da attuare adeguati comportamenti di “coping”, di auto-difesa (cognitiva). Il riconoscimento di determinate tattiche nocive è fondamentale per addestrare la soglia di attenzione e decidere di attuare un comportamento difensivo, in risposta al tentativo coercitivo. Ecco perché sarebbe opportuno che vi fossero (ad es. da parte delle autorità di controllo citate, Garante e AGCM per l’Italia) campagne informative efficaci per “educare” collettivamente i consumatori/interessati.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3