Il 14 febbraio 2023 l’EDPB (European Data Protection Board) ha adottato la versione 2.0 delle Linee Guida 3/2022 focalizzate sui dark patterns sui social e nel web. L’obiettivo è quello di dare raccomandazioni pratiche ai fornitori di social media e in generale a tutti i proprietari di piattaforme online, web designer e agli utenti che ne fruiscono, su come valutare ed evitare i cosiddetti “modelli di progettazione ingannevoli” che violano i requisiti del GDPR.
Ma cosa sono i dark patterns? Perché l’EDPB ha ritenuto necessario intervenire sul tema?
Con questo articolo faccio il punto della situazione alla luce dei nuovi aggiornamenti. Soprattutto, offro spunti utili ai proprietari dei siti web per migliorare le loro piattaforme nell’ottica del legal design, per essere in regola con la complessa normativa privacy europea e dormire sonni tranquilli.
| Cosa sono i dark patterns: gli “schemi oscuri” nemici della privacy by design
Secondo la definizione dell’EDPB, i dark patterns sono
percorsi creati sulle interfacce dei social media che mirano a influenzare gli utenti a compiere azioni involontarie, decisioni non volute e/o potenzialmente dannose relativamente al trattamento dei propri dati personali, favorendo l’interesse delle piattaforme”.
Ampliando lo sguardo, il fenomeno dei dark patterns non è relegabile solo al mondo dei social media o al trattamento dei dati. Il mondo di internet vive delle scelte che gli utenti compiono ogni giorno e i dark pattern sono un modo per indirizzarle.
Difatti il concetto di dark pattern è strettamente legato al web design. Si tratta di tutte quelle soluzioni create per manipolare la user experience in maniera ingannevole, basandosi su aspetti cognitivi, e influenzare i comportamenti degli utenti col fine di far compiere azioni specifiche.
Da utente, chissà quante volte ti sarà capitato di cliccare distrattamente su un bottone piuttosto che su un altro, semplicemente perché il design della pagina lo poneva in rilievo, magari utilizzando un colore più acceso. Ecco, quello è un dark pattern.
| GDPR e dark patterns
Restando nel campo “privacy”, l’utilizzo dei dark patterns nel web e sui social viola diversi principi del GDPR.
In primis all’art. 5, è stabilito che i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”. L’art. 7 sulle “Condizioni per il consenso” indica esplicitamente che “la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”. I dark patterns, invece, costituiscono sicuramente un modo ingannevole di richiedere il consenso.
Inoltre, l’art. 7, proseguendo, afferma che “nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante”, annullando difatti gli effetti del consenso ottenuto con questa pratica.
Dunque, i casi in cui i dark patterns costituiscono violazione del GDPR sono diversi. Sintetizzando, però, si può dire che implementare queste pratiche sui siti web va esattamente nella direzione opposta rispetto al principio della privacy by design stabilito dall’art. 25 del Regolamento. Quest’ultimo, infatti, introduce l’obbligo per le aziende di concepire a priori ogni progetto con la previsione di utilizzare strumenti e pratiche operative che siano certamente a tutela dei dati personali dei fruitori.
Approfondisci qui > Consulenza GDPR per siti web
| Linee Guida 3/2022 dell’EDBP: versione 2.0 del 14 febbraio 2023
L’EDBP è l’organismo dell’UE incaricato dell’applicazione del GDPR ed è composto dal Garante europeo e dal responsabile di ciascuna autorità nazionale.
Per arginare l’impatto concreto e potenzialmente pericoloso del fenomeno, a marzo 2022, l’EDBP ha pubblicato la versione 1.0 delle Linee Guida 3/2022, sottoponendola ai pareri degli stakeholders pubblici e privati di ogni singolo Paese membro.
A seguito di questa consultazione pubblica, durata quasi un anno, e acquisiti ed esaminati i feedback forniti, il 14 febbraio 2023 l’EDPB ha adottato la versione 2.0 delle Linee Guida 3/2022 denominata “Deceptive design patterns in social media platform interfaces: how to recognise and avoid them”.
Queste Linee Guida ad oggi rappresentano le prime vere raccomandazioni pratiche per tutti i proprietari di piattaforme online su come adattare l’approccio del legal design alla tutela dei dati personali a norma di GDPR.
In questo documento l’EDPB ha raggruppato e catalogato le varie tipologie di dark patterns con le rispettive best practice che rappresentano le istruzioni da seguire.
| Esempi di dark patterns nelle Linee Guida
Sono state individuate sei macro-aree di dark patterns e, per ognuna, una serie di esempi pratici che le esplicitano in maniera più chiara:
> Overloading
In caso di overloading, gli utenti sono bersagliati da una valanga di richieste. Hanno così tante scelte da effettuare e informazioni da sondare che, involontariamente, acconsentono a trattamenti di dati personali superiori (o contro) le aspettative.
Esempio pratico: Continuous prompting
Spingere gli utenti a fornire più dati personali di quelli necessari per le finalità del trattamento (o a dare il consenso per ulteriori finalità) con richieste ripetitive e martellanti. Tali richieste possono verificarsi attraverso uno o più dispositivi. È probabile che gli utenti finiscano per cedere, stanchi di doverle rifiutare continuamente interrompendo l’utilizzo della piattaforma.
> Skipping
Nello skipping, si creano interfacce e percorsi che contribuiscono a distogliere l’attenzione dagli aspetti legati al trattamento dei dati.
Esempio pratico: Deceptive snugness
Abilitare di default le opzioni più invasive spinge le persone a mantenere un’opzione preselezionata. È improbabile che gli utenti la disattivino anche se ne hanno la possibilità.
> Stirring
Si influenza la scelta degli utenti facendo ricorso a trick grafici o sfruttando la loro sfera emotiva.
Esempio pratico: Emotional Steering
Usare parole o elementi visivi (come stile, colori, immagini o altro) in modo da propinare scelte scomode in un prospettiva positiva, facendo sentire sicuro e appagato l’utente. Al contrario, suscitare emozioni negative se le condizioni più scomode non sono accettate. È probabile che influenzare lo stato emotivo degli utenti in questo modo porti a compiere azioni che vanno contro i loro interessi in materia di protezione dei dati.
> Obstructing
Consiste nell’ostacolare o bloccare gli utenti nel loro processo di gestione dei dati personali. Si creano labirinti e ostacoli nel processo informativo rendendo più complessa la scelta più favorevole all’utente.
Esempio pratico: Dead end
I link appositi per cercare informazioni sul trattamento dei dati non funzionano o non sono disponibili. Ciò rende effettivamente impossibile portare a termine un controllo.
> Fickle
Si rende l’interfaccia granulare e incomprensibile, così da complicare la navigazione agli utenti.
Esempio pratico: Decontextualising
Le informazioni sulla protezione dei dati sono decontestualizzate. Per gli utenti diventa improbabile trovarle perché nascoste in pagine che non hanno niente a che fare con l’argomento.
> Left in the dark
Si progetta l’interfaccia in modo tale da nascondere le informazioni e gli strumenti di controllo sui dati personali. Così si lasciano gli utenti all’oscuro della possibilità di esercitare i loro diritti.
Esempio pratico: Ambiguous wording or information
Usare termini ambigui e vaghi quando si forniscono informazioni. È probabile che lasciati nell’insicurezza, gli utenti desisteranno dall’esercizio del controllo.
Di seguito un’immagine che riassume alcuni dei principali dark patterns utilizzati sui siti web.
| Dark patterns nel cookie banner
Sicuramente uno degli elementi più discussi nel percorso di gestione dei dati personali sul web è il cookie banner, spesso progettato per eludere scelte consapevoli degli utenti, proprio utilizzando diversi tipi di dark patterns.
Gli esempi più diffusi in tal senso sono:
- la mancanza di un bottone per negare il consenso a un trattamento (spesso sostituito da un link che allunga il percorso);
- la presenza di checkbox pre-selezionate;
- l’utilizzo di colori a contrasto per le opzioni di accettazione;
- il ricorso al legittimo interesse per giustificare il trattamento.
Proprio il Garante privacy italiano ha attenzionato questo tema più specifico, adottando le “Linee Guida cookie e altri strumenti di tracciamento”.
Se vuoi conoscere in maniera dettagliata come creare un cookie banner a prova di GDPR ho creato una guida apposita, proprio ispirata alle indicazioni del Garante.
Approfondisci qui > Come impostare il cookie banner correttamente: le regole
| Come evitare i dark patterns: il legal design a prova di GDPR
Nell’allegato 2 delle Linee Guida, l’EDPB ha creato una panoramica sulle best practice descritte nell’intero documento.
Questa lista può essere utilizzata per progettare interfacce utente che facilitano l’effettiva interazione degli utenti con gli aspetti legati alla privacy e costituiscono un modo corretto di implementazione di siti web a norma di GDPR. Vediamo le principali.
| Utilizza link diretti e scorciatoie
Crea collegamenti a informazioni, azioni o impostazioni che possono essere di aiuto pratico per gli utenti. Questi link devono essere disponibili ovunque.
| Usa le operazioni in blocco
Metti insieme le opzioni che hanno lo stesso scopo di elaborazione, in modo che gli utenti possano modificarle più facilmente, pur lasciando la possibilità di apportare modifiche specifiche.
| Crea una panoramica iniziale nell’informativa privacy
All’inizio dell’informativa sulla privacy, includi un sommario (comprimibile) con titoli e sottotitoli che mostrano i diversi passaggi contenuti nel documento, i singoli titoli devono guidare chiaramente gli utenti sull’esatto contenuto.
Approfondisci qui > Informativa Privacy per e-commerce: il modello
| Chiarisci termini tecnici con definizioni e utilizza gli stessi in tutti i documenti
Quando utilizzi parole o gergo tecnico non di utilizzo comune, fornisci una definizione in un linguaggio semplice con degli esempi che aiutino gli utenti a comprendere le informazioni, inoltre utilizza sempre la stessa formulazione in tutte le pagine dedicate alla tutela dei dati personali.
| Prevedi un data protection onboarding
Subito dopo la creazione di un account, fornisci all’utente tutti gli strumenti idonei a impostare anche i loro consensi sui dati personali, invitandoli a gestire ogni opzione rilevante come con tutte le altre impostazioni dell’account.
| Crea una “directory della privacy”
Per facilitare l’orientamento degli utenti, crea una pagina che comprenda i link a tutte le pagine relative al tema. Questa deve essere facilmente raggiungibile e inclusa nel menù di navigazione principale.
| Crea un modulo di esercizio dei diritti degli interessati
Per agevolare gli utenti nell’esercizio dei propri diritti GDPR, predisponi un modulo dedicato che li aiuti a comprenderli e li guidi nell’espletamento di questo tipo di richieste.
| Legal design: come può aiutarti Ecommerce Legale
Come abbiamo visto, la possibilità di creare un sito web legal designed è possibile, la buona notizia è che pur dovendo implementare alcuni accorgimenti aggiuntivi, spesso questi implicano anche un miglioramento della user experience e maggior coinvolgimento e fiducia degli utenti.
Andare nella direzione opposta servendosi dei dark patterns non solo è controproducente ma porta ad annullare gli effetti delle scelte degli utenti, andando incontro a pesanti sanzioni.
Noi siamo a tua disposizione per aiutarti a migliorare costantemente. Parliamone
Floriana Capone
L’Avvocato dell’Ecommerce
