Linee Guida 3/2022 dello EDPB su dark pattern stimolano un approccio di legal design

Le linee guida del EDPB sul dark pattern richiedono che le imprese adottino un approccio più trasparente che sarebbe facilitato da soluzioni di legal design.

L’European Data Board Protecion (“EDPB”) ha adottato il 14 marzo le Linee Guida 3/2022 (le “Linee Guida”) in materia di dark pattern, ovvero quell’insieme di tecniche utilizzate per indurre gli utenti del web ad adottare azioni e comportamenti non intenzionali e a prendere decisioni dannose.

Cosa si intende per dark pattern?

I dark pattern sono un concetto principalmente legato alla User Experience Design (“UX Design”) e sono progettati intenzionalmente per fare agire gli utenti come probabilmente non avrebbero agito. Durante la progettazione di un App o di un sito web, infatti, vi è quasi l’obbligo di considerare al centro dell’interfaccia l’utente (“human-centered design”), ovvero il fruitore finale di quest’ultima. Ed è questo che determina una corretta UX, che qualificherà anche il successo di un sito web o interfaccia.

Per dark pattern (o “percorsi oscuri”), dunque, si intendono quelle interfacce ed esperienze utente implementate su piattaforme social media (ma non solo) che inducono gli utenti a prendere decisioni potenzialmente dannose e involontarie in relazione al trattamento dei dati personali. Ciò che principalmente influenza il comportamento degli utenti, infatti, è la capacità di controllare in modo effettivo le attività svolte con i propri dati personali. Attraverso le Linee Guida l’EDPB vuole fornire esempi concreti sulle varie tipologie di dark pattern, nonché casi d’uso e raccomandazioni per evitare di incorrere in questi scenari.

Esempi di dark pattern nelle Linee Guida

L’EDPB evidenzia come i dark pattern siano in contrasto con i principi enunciati all’art. 5 del GDPR, come per esempio la trasparenza, o ancora, il consenso informato ai sensi dell’art. 7 GDPR. Ma non solo, anche i principi di accountability sono minati: rendere particolarmente difficile un “percorso” (ad esempio, rendere particolarmente complicato all’utente il rifiuto l’installazione dei cookie attraverso svariati layer), può essere particolarmente dannoso per il titolare, in quanto tale comportamento è facilmente dimostrabile attraverso degli screenshot, per esempio.

L’EDPB individua sei macro-aree di esempi di dark pattern modellate sulla base delle interfacce che potrebbero provocare gli utenti:

  • Overloading: gli utenti si trovano di fronte ad un labirinto. Devono fare una scelta, ma si trovano di fronte a un’enorme quantità di richieste, informazioni e possibilità. Questo spingerà l’utente a condividere in maniera involontaria più dati rispetto a quelli che avrebbe altrimenti condiviso;
  • Skipping: attraverso questa interfaccia si cerca di far dimenticare all’utente qualche aspetto relativo alla protezione dei suoi dati;
  • Stirring: si sfrutta la sfera emotiva dell’utente per far compiere azioni che altrimenti non avrebbero compiuto;
  • Hindering: gli utenti si trovano di fronte ad ostacoli o blocchi nel processo informativo e di gestione dei propri dati personali. Si rende dunque quella che sarebbe la scelta più favorevole per l’utente, la più difficile da compiere;
  • Fickle: si rende l’interfaccia granulare e incoerente. Non vi è un senso logico e l’utente si trova di fronte ad un’interfaccia decontestualizzata;
  • Left in the dark: si cerca di spaesare l’utente attraverso interfacce progettate in modo da nascondere una serie di informazioni, oppure gettando incertezza sul trattamento dei dati e sull’esercizio dei diritti.

 

Legal design e dark pattern

Le Linee Guida dell’EDPB potrebbero essere interpretate come le prime vere istruzioni su come adattare l’approccio del legal design alla tutela dei dati personali. Le istruzioni del Board infatti sono chiare: il design rappresenta un elemento principale e fondamentale per condurre l’utente a compiere scelte consapevoli, ed è pertanto importante evitare di creare interfacce utente che lo possano spingere a scelte poco razionali a causa del troppo dispendio di tempo. Questo ce lo insegnano anche le Linee Guida sui cookie del nostro Garante Privacy che pone degli obblighi ben precisi anche di desgin del cookie banner che deve contenere per esempio una ‘X’ in alto a destra, e porre la stessa rilevanza grafica su tutti i bottoni, non producendo molteplici layer che potrebbero indurre l’utente a compiere scelte inconsapevoli.

Il team di DLA è impegnato nella produzione di documenti in stile legal design che aiutino le aziende ad adempiere ai propri obblighi di accountability!

Su di un simile argomento, potrebbe interessarti “Discutiamo con il Garante delle linee guida sui cookie”.