DPO a confronto con Dark Patterns e Legal Design: cosa sapere

---

Nel mese di marzo l’EDPB (Comitato europeo per la protezione dei dati personali) ha pubblicato la bozza delle nuove linee guida sui “dark patterns” nei social media, con indicazioni utili per gli utenti e best practices per i provider delle piattaforme. Seppure il tema sia multidisciplinare, dati i molteplici profili coinvolti (marketing, progettazione, comunicazione e legal, solo per citarne alcuni), l’articolo di oggi pone in evidenza le pratiche di “legal design” non conformi al GDPR, in quanto criptiche e poco trasparenti per gli interessati. La conoscenza di queste pratiche rappresenta un tassello fondamentale nel portfolio di competenze trasversali del DPO.

---

Introduzione alle linee guida 

Il documento, sottoposto dall’EDPB al processo di consultazione pubblica fino al mese di maggio, non mira unicamente a sensibilizzare utenti, interessati e consumatori, verso l’adozione di comportamenti di auto-difesa consapevole; bensì mette in guardia anche i titolari del trattamento rispetto all’integrazione di meccaniche poco trasparenti e privacy-oriented. 

Potremmo quindi considerare le recenti indicazioni dell’EDPB, come una sorta di lex specialis delle linee guida sulla trasparenza (pubblicate dal WP29 nel 2018), nonché delle linee guida sulla privacy by design e by default (pubblicate dall’EDPB nel 2019), con focus sul legal design. 

Il Comitato esordisce fornendo due definizioni fondamentali per la comprensione dell’intero documento: quella di “user interface” e quella di “dark patterns”. La user interface rappresenta l’interfaccia utente, ovvero il mezzo utilizzato dagli utenti per interfacciarsi ed interagire con la piattaforma. 

L’interfaccia contribuisce a determinare la “user experience”, cioè l’esperienza complessiva percepita, la quale dipende, fra le altre cose, dalla facilità ed immediatezza nella fruizione dei contenuti, dalla personalizzazione, dall’efficienza nell’interazione e dalla grafica. Proprio il design dell’interfaccia utente ha subito una costante evoluzione negli ultimi anni: alcune pratiche positive mirano a favorire la fruibilità e la chiarezza dei contenuti; altre, invece, sono utilizzate per deviare l’attenzione dell’utente a proprio piacimento. 

L’economia dell’attenzione

L’EDPB parla di “attention economy”, ovvero quando l’attenzione viene considerata una merce, una importante risorsa da sfruttare a fini di marketing e di business in generale, ma non solo.

Arriviamo quindi alla definizione di dark patterns, ovvero elementi della user interface (aspetti del design, scelte di colore, di grafica o di posizionamento dei contenuti) che portano gli utenti a prendere decisioni non intenzionali, involontarie e potenzialmente dannose riguardo al trattamento dei loro dati personali. 

I dark patterns mirano quindi a influenzare il comportamento degli interessati e possono ostacolare la loro capacità di proteggere efficacemente i propri dati personali, di far valere i propri diritti e, più in generale, di fare scelte che siano realmente consapevoli. Per questo, l’uso dei dark patterns, non solo può portare ad una violazione delle norme in materia di protezione dei dati personali, ma può anche considerarsi una pratica contraria ai regolamenti sulla tutela dei consumatori. 

L’indagine dell’EDPB

Le disposizioni del GDPR si applicano all’intero ciclo delle attività di trattamento dei dati, dalla creazione alla cancellazione definitiva di un account utente. È bene quindi considerare che i dark patterns possono insinuarsi in diversi step / fasi del trattamento, che l’EDPB formalizza in cinque casi d’uso (“use cases”) oggetto di indagine: 

1. Aprire un account sui social media (la fase di iscrizione o di registrazione), 
2. Restare informati sui social media (le modalità di conferimento di informazioni e avvisi all’utente), 
3. Restare protetti sui social media (la fase di controllo o di gestione dei dati da parte dell’utente),
4. Restare nel giusto sui social media: diritti degli interessati,
5. Addio: lasciare un account sui social media (la fase di eliminazione dell’account o di disattivazione definitiva).

Come anticipato, in ciascuna di queste fasi è possibile ritrovare dei dark patterns. Il Comitato europeo per la protezione dei dati personali li suddivide nelle seguenti categorie: 

• “Overloading”: significa che gli utenti hanno a che fare con una grande quantità di richieste, informazioni, opzioni o possibilità al fine di indurli a condividere più dati. I seguenti tre tipi di dark patterns rientrano in questa categoria: “continuous prompting” (un invito continuo), “Privacy Maze” (il Labirinto Privacy) e “too many options” (troppe opzioni).
• “Skipping”: significa progettare l'interfaccia o l'esperienza utente in modo che gli utenti dimentichino o non pensino a tutti o ad alcuni aspetti della protezione dei dati. I seguenti due tipi di dark pattens rientrano in questa categoria: “deceptive snugness” (disinvoltura ingannevole) e “look over there” (guarda laggiù).
• “Stirring”: influenza la scelta che gli utenti farebbero, facendo appello sulle loro emozioni o utilizzando stimoli visivi. I seguenti due tipi di dark patterns rientrano in questa categoria: “emotional steering” (orientamento emotivo) e “hidden in plain sight” (nascosto in bella vista).
• “Hindering”: significa intralciare o bloccare gli utenti nel loro processo di informazione o di gestione dei loro dati, rendendo l'azione difficile o impossibile da realizzare. I seguenti tre tipi di dark patterns rientrano in questa categoria: “dead end” (vicolo cieco), “longer than necessary” (più lungo del necessario) e “misleading information” (informazioni fuorvianti).
• “Fickle”: significa che il design dell'interfaccia (impostazioni o privacy) è incoerente e non chiaro, rendendo difficile per l'utente navigare tra i diversi strumenti di controllo della protezione dei dati e riuscire a capire lo scopo del l'elaborazione. I seguenti due tipi di dark patterns rientrano in questa categoria: “lacking hierarchy” (mancanza di gerarchia) e “decontextualising” (decontestualizzazione).
• “Left in the dark”: significa che un'interfaccia è progettata in modo da nascondere informazioni o strumenti di controllo della protezione dei dati o da lasciare gli utenti insicuri su come i loro dati sono trattati e che tipo di controllo potrebbero avere su di essi, riguardo all'esercizio dei loro diritti. I seguenti tre tipi di dark patterns rientrano in questa categoria: “language discontinuity” (discontinuità linguistica), “conflicting information” (informazioni contraddittorie) e “ambiguous wording or information” (formulazione di parole o di informazioni ambigua).

Oltre a raggruppare i dark patterns in categorie basate sugli effetti sul comportamento degli utenti, gli stessi possono anche essere divisi in “content-based patterns” ed in “interface-based patterns”. Nel primo caso si fa riferimento alla formulazione e al contesto delle frasi e delle componenti informative; nel secondo caso ci si riferisce al modo di visualizzare il contenuto, di navigare attraverso di esso o di interagire con esso.

Alcuni esempi e best practice 

Come si traducono tutte queste nozioni all’atto pratico? Prendiamo, ad esempio, uno dei cinque casi dell’EDPB: la fase relativa all’esercizio dei propri diritti privacy sui social media (la numero quattro: “restare nel giusto sui social media”). 

• In questa fase, sovente, possiamo ritrovare alcuni dei dark patterns rientranti nella categoria “Hindering”. Questo capita quando, ad esempio, cliccando sulla voce “Esercita il tuo diritto di accesso”, l’utente viene reindirizzato sul proprio profilo, che chiaramente non fornisce alcuna indicazione rispetto a quanto richiesto dall’interessato (di fatto si tratta di una strada a fondo cieco, “dead end”). 
• Talvolta in questa stessa fase troviamo dark patterns rientranti nella categoria “left in the dark”, ad esempio quando, cliccando sullo stesso link di cui sopra “Esercita il tuo diritto di accesso”, l’utente viene reindirizzato sulla pagina in inglese o con una lingua diversa dalla sua (si tratta di una discontinuità relativa alla lingua con cui vengono fornite le informazioni, “language discontinuity”).
• In altri casi troviamo dark patterns rientranti nella categoria “Stirring”, ovvero quando, ad esempio, le informazioni sul diritto di accesso sono inserite all’interno della privacy policy, ma, non essendo presenti collegamenti in chiaro, l’unico modo per visualizzare le impostazioni o proseguire con la richiesta è passare col cursore del mouse sopra determinate parole, in modo da visualizzare il piccolo box con l’ingranaggio (qui le informazioni sono nascoste in piena vista, “hidden in plain sight”). 
• Infine, è utile citare anche i casi di dark patterns della categoria “Overloading”, che, restando in tema di esercizio dei diritti privacy, spesso si sviluppano fino a formare un vero e proprio Labirinto della Privacy (“Privacy Maze”). L’EDPB riporta un’immagine di come confondere gli utenti, andando ad inserire informazioni relative all’esercizio dei diritti in diverse pagine che rimbalzano le richieste reciprocamente. 

Principi generali e considerazioni utili

Per quanto riguarda la conformità alla protezione dei dati delle interfacce utente delle piattaforme online, i principi di protezione dei dati applicabili sono indicati all’interno dell'articolo 5 del GDPR. Il principio di correttezza (par. 1 lettera a) dell’articolo 5), in particolare, serve come punto di partenza per valutare se un modello di progettazione costituisce effettivamente un dark pattern. Altri principi che giocano un ruolo chiave in questa valutazione sono: la trasparenza, la minimizzazione dei dati trattati rispetto alle finalità perseguite e la responsabilizzazione del titolare. In altri casi, la valutazione giuridica si basa anche sulle condizioni relative alla raccolta del consenso, ai sensi degli articoli 4 (punto 11) e 7 GDPR o altri obblighi specifici, come quelli di cui all'articolo 12 GDPR. 

Nell'ambito dei diritti degli interessati (la fase esemplificata al paragrafo precedente), si deve tener conto di tutto il capo terzo del GDPR (relativo, appunto, ai diritti dell’interessato), nonché dei requisiti relativi alla protezione dei dati per progettazione e per impostazione predefinita, di cui all'articolo 25 GDPR, i quali svolgono un ruolo fondamentale, in quanto la loro applicazione, prima di lanciare un progetto di interfaccia in via definitiva, aiuterebbe preventivamente i titolari ad evitare di ricorrere ai dark patterns.

Già le linee guida sulla Protezione dei dati fin dalla progettazione e per impostazione predefinita del 2019, infatti, esemplificavano alcuni dark pattens “contrari allo spirito dell’articolo 25”. 

Tra gli elementi principali della progettazione e dell’impostazione predefinita, relativi alla correttezza, possono figurare:

• autonomia – agli interessati dovrebbe essere garantito il massimo grado possibile di autonomia nel determinare l’utilizzo cui sono sottoposti i loro dati personali, nonché l’ambito di applicazione e le condizioni di tale utilizzo o trattamento;
• interazione – gli interessati devono essere in grado di esercitare i propri diritti in relazione ai dati personali trattati dal titolare;
• aspettativa – il trattamento dovrebbe corrispondere alle aspettative ragionevoli degli interessati;
• libertà di scelta – il titolare non dovrebbe «catturare» i propri utenti in modo scorretto (fenomeno del cd. “lock-in”, ostacolo all’esercizio del diritto alla portabilità dei dati); 
• equilibrio dei rapporti di forza – occorre evitare gli squilibri nei rapporti di forza e, qualora ciò non sia possibile, è necessario individuarli e tenerne conto al fine di adottare adeguate contromisure;
• assenza di prassi ingannevoli – le informazioni e le opzioni relative al trattamento dei dati devono essere fornite in modo obiettivo e neutrale, evitando formulazioni o meccanismi ingannevoli o manipolatori;
• rispetto dei diritti – il titolare deve rispettare i diritti fondamentali degli interessati e attuare misure e garanzie adeguate, senza comprimere tali diritti se non ove ciò sia espressamente giustificato dalla legge;
• eticità – il titolare dovrebbe guardare all’impatto complessivo del trattamento sui diritti e sulla dignità delle persone;
• veridicità – il titolare deve dichiarare le proprie modalità di trattamento dei dati personali e deve agire secondo quanto dichiarato in merito, senza fuorviare gli interessati;
• intervento umano – il titolare deve integrare un intervento umano qualificato in grado di individuare le distorsioni (bias) che le macchine possono generare;
• imparzialità degli algoritmi – valutare periodicamente se gli algoritmi funzionino in linea con le finalità e adeguarli per attenuare le distorsioni e garantire l’imparzialità del trattamento. 

Il ruolo del DPO

Proprio nella fase di progettazione di un determinato trattamento dovrebbe inserirsi l’intervento attivo del DPO, il quale dovrebbe informare il titolare sui rischi, anche in termini sanzionatori, derivanti da un ricorso a dark patterns in violazione del Regolamento europeo in materia di protezione dei dati personali.  

Ogni DPO, infatti, dovrebbe essere dotato di una conoscenza specialistica della normativa e della prassi in materia di protezione dei dati personali, che gli consenta di dare attuazione a elementi essenziali del Regolamento, quali, in particolare, i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione.

Le linee guida dell’EDPB, attraverso la descrizione di best practices, costituiscono un ausilio importante ai fini della realizzazione di un design user-friendly e conforme alle norme.