Dark Patterns: le nuove linee guida dell’EDPB

INTRODUZIONE

Il Comitato europeo per la protezione dei dati (EDPB) il 24 febbraio 2023 ha pubblicato le linee guida su come riconoscere ed evitare i “modelli di progettazione ingannevoli” o anche detti “dark patterns”; per dark pattern si intende un’interfaccia progettata affinché l’utente compia azioni indesiderate e inconsapevoli creando un danno alla propria privacy. L’obiettivo di questo “stratagemma” è condurre l’utente a concedere il consenso per il trattamento dei dati personali con una modalità non del tutto libera e in contrasto con i principi con i principi fondamentali del Regolamento UE 216/679 sulla protezione dei dati personali (GDPR).

LE LINEE GUIDA DELL’EDPB

Le Linee Guida offrono raccomandazioni pratiche e concrete ai gestori dei social media, designer e utenti sul comportamento da tenere nei casi in cui si dovessero interfacciare con i “modelli di progettazione ingannevoli”. In particolare, vengono identificate le seguenti sei categorie di dark patterns:

1. Overloading: pone gli interessati di fronte a una grande quantità̀ di richieste, informazioni, opzioni o possibilità̀, al fine di spingerli a condividere più̀ dati o consentire involontariamente il trattamento dei dati personali contro le loro aspettative. Rientrano in questa categoria il continuous prompting che si verifica nel momento in cui all’utente viene richiesto di inserire più volte i propri dati anche quando la fase di registrazione è terminata, il privacy maze che è una pratica che viene messa in atto costringendo l’utente a navigare attraverso troppe pagine per ottenere determinate informazioni portandolo a perdere avvisi utili per la tutela dei propri dati, il too many options che avviene quando all’utente vengono fornite troppe opzioni tra cui scegliere una scelta inconsapevole.

2. Skipping: consiste nel progettare l’interfaccia o l’esperienza di un sito in modo che l’utente non si preoccupi della tutela dei propri dati personali. Ad esempio, attraverso la tecnica del deceptive snugness che propone l’abilitazione predefinita delle opzioni più invasive per i dati oppure il look over there che pone all’attenzione degli interessati un’informazione estranea in grado di distrarre l’interessato da ciò che ricercava inizialmente.

3. Stirring: si individua nell’influenzare la scelta degli interessati facendo appello alle loro emozioni positive o negative o usando stimoli visivi. In questa categoria rientrano l’emotional stirring consistente nell’utilizzare parole o immagini in grado di influenzare lo stato emotivo dell’interessato e l’hidden in plain sight consiste nell’utilizzare un’impostazione grafica che spinga gli utenti verso opzioni meno restrittive.

4. Hindering: significa ostacolare o bloccare gli interessati nel loro processo di informazione o di gestione dei dati, rendendo l’azione di controllo difficile o impossibile da realizzare. Possiamo individuare la tecnica del dead end con la quale si inserisce un link non funzionante; la tecnica del longer than necessary con la quale l’interessato è costretto a fare più passaggi per gestire i propri dati all’interno del sito; la tecnica del misleading information si sviluppa nel fornire informazioni non in linea con le effettive funzionalità disponibili, spingendo gli interessati a scegliere impostazioni meno tutelanti.

5. Fickle: il design dell’interfaccia è incoerente e non chiaro, rendendo difficile per l’interessato navigare tra i diversi strumenti di controllo inerenti alla protezione dei dati. Questa categoria di dark pattern si sviluppa attraverso il sistema del lacking hierarchy che consiste nel fornire informazioni relative alla protezione dei dati in maniera confusa e senza gerarchia, creando confusione nell’interessato e tramite il decontextualising con il quale un’impostazione riguardante i dati personali è posta in una pagina web fuori contesto.

6. Left in the dark: l’interfaccia di un sito è progettata in modo da nascondere informazioni o strumenti di controllo della protezione dei dati. Nel caso del language discontinuity vengono fornite informazioni sul trattamento dei dati personali in una lingua diversa da quella del paese membro, con il metodo del conflicting information si forniscono agli utenti informazioni contraddittorie. Infine, con la tecnica dell’ambiguous wording or information vengono usati termini vaghi e ambigui.

LA VIOLAZIONE DEL GDPR

I dark patterns non ostacolano la gestione dei propri dati online, ma la rendono insidiosa e ingannevole. Perciò, l’interessato che vuole limitare il proprio consenso a solo alcuni tipi di trattamento deve essere ben informato e soprattutto in grado di superare i percorsi oscuri predefiniti dal titolare del trattamento. Dunque, l’utente medio è portato a prestare il proprio consenso nel modo più rapido che gli viene proposto dall’interfaccia, così facendo è portato ad accettare un trattamento poco tutelante per i dati personali.

I dark patterns integrano la violazione di alcuni principi fondamentali riguardanti il trattamento dei dati personali espressi dal GDPR.

In particolare, il primo principio oggetto di violazione è il principio di correttezza e trasparenza secondo il quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (ex art. 5 GDPR). Applicare in modo efficace il suddetto principio significa che le informazioni e le comunicazioni relative al trattamento di dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro; le informative devono quindi essere “intellegibili” ovvero facilmente comprensibili dall’utente medio, evitando frasi e strutture linguistiche complesse e termini ingannevoli. Inoltre, l’interessato deve essere informato dell’esistenza del trattamento stesso e delle sue finalità, fornendogli tutte le informazioni necessarie per comprendere a pieno come i suoi dati personali sono trattati (ex art. 12 GDPR[1]). Ad esempio, l’accesso alla sezione privacy deve essere immediatamente evidente agli interessati per comprendere dove si trovano le informazioni sul trattamento dei dati personali, senza richiedere uno sforzo eccessivo per ricercarle.

Vi è spesso anche la violazione del principio di minimizzazione, il quale è disciplinato dall’art. 5, lett. c, GDPR che esplica che i dati personali trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Infine, i dark patterns sono contrari ai principi di privacy by design e di privacy by default, disciplinati dal GDPR nell’art. 25 che pone in capo al titolare del trattamento l’obbligo di determinare i mezzi e gli strumenti utilizzati, le misure tecniche e organizzative adeguate a tutela della protezione dei dati e che siano conformi ai principi e che soddisfino i requisiti enunciati dal GDPR. Gli strumenti utilizzati devono garantire che siano trattati di default soltanto i dati personali necessari per ogni specifica finalità del trattamento.

[1] L’art. 12 GDPR prevede che «il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni (…) relative al trattamento in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori».