by

Il Global Privacy Enforcement Network (GPEN) ha pubblicato il rapporto dello Sweep 2024 incentrato sui “Deceptive Design Patterns” (DDP), noti anche come “dark pattern”, riscontrati nei siti web e nelle app mobile. L’iniziativa si propone di esaminare come le scelte di design delle piattaforme digitali influenzino, manipolino o costringano gli utenti a prendere decisioni che potrebbero non essere nel loro interesse, in particolare per quanto riguarda la privacy.

Il contesto

Lo Sweep si è svolto dal 29 gennaio al 2 febbraio 2024, con la partecipazione di 26 autorità Autorità privacy, tra cui il Garante per la protezione dei dati personali, che hanno esaminato un totale di 1.010 siti web e app. Lo Sweep di quest’anno è stato significativo perché è stato coordinato con l’International Consumer Protection and Enforcement Network, segno di una solida collaborazione tra le autorità di regolamentazione per la tutela della privacy e dei consumatori. Questa collaborazione dimostra la crescente intersezione tra privacy e protezione dei consumatori nell’economia digitale.

Metodologia

Lo Sweep mirava a riprodurre l’esperienza dei consumatori e le Autorità privacy partecipanti dovevano interagire con siti web e app mobile per valutare come queste gestiscono le scelte sulla privacy, forniscono informazioni sulla privacy e gestiscono le disconnessioni e le cancellazioni degli account. L’Office of the Privacy Commissioner of Canada ha coordinato lo Sweep, fornendo istruzioni standardizzate e un questionario per garantire l’uniformità della valutazione. Il questionario si è concentrato su cinque indicatori chiave derivati dalla tassonomia dei dark pattern dell’OCSE:

  • Linguaggio complesso e confuso (Complex and confusing language): informative privacy eccessivamente tecniche o lunghe, che rendono difficile la comprensione da parte degli utenti.
  • Interferenza dell’interfaccia (Interface interference): elementi di design che manipolano la percezione e il processo decisionale degli utenti in merito alle opzioni sulla privacy.
  • Fastidio (Nagging): richieste ripetute che possono compromettere gli interessi degli utenti in materia di privacy.
  • Ostruzione (Obstruction): passaggi aggiuntivi che impediscono agli utenti di raggiungere gli obiettivi legati alla privacy.
  • Azione forzata (Forced Action): costringere gli utenti a fornire più dati personali del necessario.

Risultati

Durante lo Sweep è stato rilevato che i dark pattern erano prevalenti nella maggior parte dei siti web e delle app esaminate, con il 97% che conteneva almeno un elemento di design ingannevole. Il DDP più comune è stato l’uso di un linguaggio complesso e confuso nelle informative sulla privacy, riscontrato in media nell’89% dei casi. Queste informative erano spesso eccessivamente lunghe (alcune superavano le 3.000 parole) e piene di linguaggio tecnico, scoraggiando gli utenti dal leggerle e comprenderle.

L’interferenza dell’interfaccia è un altro dark pattern frequente, osservato in media nel 43% delle interazioni. Si trattava di tattiche come la falsa gerarchia, in cui le opzioni meno protettive per la privacy venivano visualizzate in modo più evidente, e venivano preselezionate le impostazioni più invasive per la privacy. È stato individuato anche il cd. Confirm-shaming, attraverso il quale viene utilizzato un linguaggio emotivo per spingere gli utenti verso determinate scelte, come la conferma delle impostazioni privacy di default dell’app.

L’ostruzione è stata utilizzata in media nel 39% delle interazioni, creando ostacoli agli utenti che cercano di esercitare i propri diritti privacy. Ad esempio, l’opzione per cancellare degli account era difficile da trovare o richiedeva più click, con il 55% dei siti che non forniva un’opzione diretta di cancellazione dell’account.

Le azioni fastidiose e forzate sono state meno comuni ma comunque degne di nota, comparendo rispettivamente nel 14% e nel 21% delle interazioni. Queste modalità includevano richieste ripetute per interrompere l’esperienza dell’utente e incoraggiarlo a cedere alle richieste per evitare ulteriori fastidi e la fornitura obbligatoria di dati per accedere ai servizi o cancellare l’account, compromettendo così l’autonomia dell’utente.

Raccomandazioni

Per mitigare l’impatto negativo dei sweep dark pattern, il GPEN raccomanda alle organizzazioni di:

  • semplificare le informative privacy per renderle accessibili e comprensibili;
  • progettare interfacce che rispettino le scelte degli utenti in materia di privacy senza manipolazioni;
  • evitare passaggi e barriere inutili nei processi legati alle scelte sulla privacy; e
  • fornire opzioni chiare e semplici per la gestione degli account, compresa la loro cancellazione.

Per essere conformi a tali indicazioni si raccomanda di adottare tecniche di legal design che aiutino l’utente a prendere decisioni più informate e garantiscano la conformità ai principi e agli obblighi del GDPR.

Il Garante privacy si è già pronunciato precedentemente sui dark pattern, per saperne di più può essere d’interesse l’articolo “La prima sanzione del Garante privacy sui dark pattern: l’importanza del legal design“.

(Visited 37 times, 1 visits today)
Close Search Window