Dark patterns cosa sono e perchè mettono a rischio la privacy
Nelle sue recenti linee guida n. 3/2022, il Comitato Europeo per la protezione dei dati personali mette in guardia sviluppatori e designer di piattaforme sui dark patterns, fornendo utili raccomandazioni su come evitare quei meccanismi che nelle interfacce dei social media possono violare il GDPR. Si tratta in ogni caso di indicazioni che possono tornare vantaggiose anche più in generale, quando si sviluppano le interfacce di siti web e applicazioni.
Cosa sono i dark patterns
I dark patterns sono interfacce grafiche che inducono in maniera subdola l’utente a compiere azioni indesiderate e spesso rischiose sul piano dei loro dati personali, nei casi più complessi arrivano ad effettuare una vera e propria manipolazione cognitiva.
Il termine è stato introdotto nel 2010 dal web designer londinese Harry Brignull, dopo l’esplosione del settore dell’e-commerce.
Secondo il designer, quando gli utenti usano il web, non leggono ogni parola su ciascuna pagina, ma scorrono velocemente e fanno supposizioni: “Se un'azienda vuole indurti con l'inganno a farti qualcosa, può trarne vantaggio facendo sembrare che una pagina stia dicendo una cosa mentre in realtà ne sta dicendo un'altra".
In buona sostanza, i dark patterns sono sistemi elusivi che, mediante le tecniche del neuromarketing, attraverso il tipo di design impiegato, spingono l’utente ad agire inconsapevolmente e mirano ad influenzare il suo comportamento, schivando il controllo che questi può avere sui propri dati personali.
Le modalità in cui i dark patterns possono mostrarsi sono molteplici. Il designer londinese Brignull nel suo sito web Darkpatterns.org ha classificato questi meccanismi, svelandone i trucchi.
Tra i dark patterns presenti sul sito del designer, abbiamo selezionato qualche esempio che riproponiamo, al fine di rendere più chiara la trattazione sull’argomento.
Esca e azione. Questo tipo di dark pattern agisce quando la pagina web è impostata in modo tale che l’utente viene spinto ad intraprendere un’azione per raggiungere uno specifico risultato che egli spera di ottenere, ma invece, finisce per arrivare ad un risultato completamente diverso e inaspettato.
Un altro tipo di dark pattern consiste nell’impostare il design delle pagine web in modo da nascondere gli annunci, facendoli sembrare come parti della pagina web su cui sono collocati.
Anche nelle linee guida dello EDPB in materia di dark patterns sono proposti alcuni esempi di questa tecnica manipolatoria, come il “sovraccarico” che opera quando gli utenti vengono inondati da una grossa quantità di richieste, informazioni, opzioni o alternative per invitarli a condividere più dati o acconsentire involontariamente al trattamento dei dati personali contro le aspettative dell'interessato.
Un’altra forma di dark pattern citata nelle linee guida è il “labirinto”; in questo caso, le interfacce [o l’esperienza utente] sono progettate in modo tale che l’utente dimentichi di pensare a tutti o ad alcuni aspetti della protezione dei dati.
Addirittura, i dark patterns possono operare sulle emozioni dell’utente, provocando ansia se non agisce in un determinato modo. Ad esempio, impostando l’interfaccia grafica della pagina in modo tale da far vergognare l’utente e spingendolo verso una determinata scelta e inducendolo a compiere un’azione che in un contesto libero, non avrebbe compiuto. La possibilità di rifiutare viene spesso disegnata graficamente in modo tale da far sentire gli utenti in colpa.
Quando si parla di dark patterns si fa, dunque, riferimento ad interfacce grafiche volutamente rese dubbie, incoerenti, confusorie, ingannevoli, che possono nascondere informazioni necessarie e che lasciano l’utente in una situazione di incertezza sul trattamento dei propri dati personali, il che rende difficile per l’utente stesso navigare tra i diversi strumenti di controllo della protezione dei dati e acquisire piena consapevolezza delle finalità del trattamento.
Ecco perché i dark patterns sono pericolosi per la privacy.
L’utente, ad esempio, quando è sommerso da informazioni e regole sulla privacy, solitamente è indotto a bypassarle, a non leggerle adeguatamente; in questo modo, viene indotto a prestare il consenso e ad effettuare scelte involontarie.
Si pensi al design di un banner cookie: se il banner viene predisposto in modo tale che l’accettazione dei cookie viene resa semplice per l’utente, mentre la procedura per il rifiuto viene complicata, magari portando l’utente che clicca sul tasto relativo al diniego verso un’altra pagina web nella quale è obbligato a selezionare singolarmente i cookie per rifiutarli anche se suddivisi per categorie, si tratta di un dark pattern che apparentemente rispetta il GDPR e quanto richiesto dal Garante, ma di fatto porta il pubblico ad esprimere un consenso che in una situazione di parità, non avrebbe prestato! Il consenso, invece, in materia di privacy, deve essere libero.
Siamo, pertanto, davanti a strumenti del web design che formalmente pare si conformino alla disciplina in materia di privacy, ma di fatto, la violano, non rispettando in primis il principio della privacy by design.
E questo è particolarmente pericoloso quando vengono ad esempio acquistate interfacce grafiche già predisposte da terzi e collegate ad un sito o ad una applicazione, tipo plug in software. Ecco perché può essere utile farsi consigliare da un esperto in materia di privacy prima di acquistare la licenza di una determinata interfaccia o comunque prima di svilupparla o farla sviluppare.
Lo scopo delle linee guida dello EDPB è quello di fornire raccomandazioni per realizzare interfacce grafiche a norma, in modo che le stesse siano conformi al GDPR, con particolare riferimento al rispetto dei principi di liceità, correttezza, trasparenza, limitazione delle finalità e minimizzazione dei dati nella progettazione e nella presentazione dei contenuti dei servizi web e app.
I suddetti principi devono essere recepiti in modo sostanziale e, dal punto di vista tecnico, essi costituiscono requisiti chiave quando di progettano software e servizi digitali, comprese appunto le interfacce utente.
Le indicazioni contenute nelle linee guida dello EDPB sono anche idonee ad aumentare la consapevolezza degli utenti in merito ai loro diritti e ai rischi che possono derivare dalla condivisione di troppi dati o dalla condivisione dei loro dati in modo incontrollato; esse mirano ad educare gli utenti a riconoscere i "dark patterns", in modo da adottare scelte consapevoli.
Lo EDPB sottolinea che le interfacce grafiche, in virtù del principio di accountability, possono essere utilizzate dal titolare del trattamento per provare la sua adeguatezza al GDPR. Specularmente, questo significa che le stesse interfacce grafiche potranno essere oggetto di valutazione da parte delle autorità Garanti per provare la non conformità.
L’interfaccia e il percorso dell’utente possono essere, dunque, utilizzati come strumento di documentazione per dimostrare che gli utenti, durante le loro azioni, hanno letto e preso in considerazione il modo in cui il titolare tratta i dati personali, che hanno liberamente espresso il proprio consenso, che hanno esercitato agevolmente i propri diritti, ecc.
Indagini qualitative e metodi di ricerca degli utenti di natura quantitativa, come test A/B, eye tracking o interviste agli utenti e i loro risultati e le loro analisi, possono essere utilizzati anche per supportare la dimostrazione della conformità.
Se, per esempio, gli utenti devono spuntare una casella o fare clic su una delle numerose opzioni previste per adeguarsi alla normativa in materia di protezione dei dati, le schermate delle interfacce possono servire a mostrare il percorso fatto dagli utenti attraverso le informazioni sulla protezione dei dati e spiegare come gli utenti stanno adottando una decisione informata e consapevole.
Anche se i titolari del trattamento devono proteggere determinate informazioni aziendali sensibili nei confronti di terzi, scrive lo EDPB, rendere accessibile o registrabile la documentazione sul trattamento potrebbe essere di aiuto a fornire prove dell’accountability: la conferma della lettura può essere ottenuta, ad esempio, in relazione ad un testo che il titolare del trattamento deve mettere a disposizione nel rispetto del principio di trasparenza.
Questo può sempre servire al tempo stesso a garantire la trasparenza nei confronti degli interessati.
Nel documento si rinvengono anche alcuni esempi su come dovrebbero essere implementati determinati processi di acquisizione del consenso, di registrazione e creazione di un account utente, su come dovrebbero essere rese le informative privacy da un punto di vista tecnico.
Lo EDPB propone anche una serie di best practice per progettare le interfacce utente che facilitino l'effettiva attuazione del GDPR nel processo di registrazione.
Le linee guida, al momento in fase di consultazione pubblica, si riferiscono ai social network, ma, come innanzi accennato, si tratta di indicazioni molto utili in generale e possono essere di supporto anche in contesti diversi dai social.