Home Data Protection & CybersecurityIl GPEN ha pubblicato il rapporto dello Sweep 2024 incentrato sui dark pattern

Il GPEN ha pubblicato il rapporto dello Sweep 2024 incentrato sui dark pattern

28 Agosto 2024 by

Il Global Privacy Enforcement Network (GPEN) ha pubblicato il rapporto dello Sweep 2024 incentrato sui “Deceptive Design Patterns” (DDP), noti anche come “dark pattern”, riscontrati nei siti web e nelle app mobile. L’iniziativa si propone di esaminare come le scelte di design delle piattaforme digitali influenzino, manipolino o costringano gli utenti a prendere decisioni che potrebbero non essere nel loro interesse, in particolare per quanto riguarda la privacy.

Il contesto

Lo Sweep si è svolto dal 29 gennaio al 2 febbraio 2024, con la partecipazione di 26 autorità Autorità privacy, tra cui il Garante per la protezione dei dati personali, che hanno esaminato un totale di 1.010 siti web e app. Lo Sweep di quest’anno è stato significativo perché è stato coordinato con l’International Consumer Protection and Enforcement Network, segno di una solida collaborazione tra le autorità di regolamentazione per la tutela della privacy e dei consumatori. Questa collaborazione dimostra la crescente intersezione tra privacy e protezione dei consumatori nell’economia digitale.

Metodologia

Lo Sweep mirava a riprodurre l’esperienza dei consumatori e le Autorità privacy partecipanti dovevano interagire con siti web e app mobile per valutare come queste gestiscono le scelte sulla privacy, forniscono informazioni sulla privacy e gestiscono le disconnessioni e le cancellazioni degli account. L’Office of the Privacy Commissioner of Canada ha coordinato lo Sweep, fornendo istruzioni standardizzate e un questionario per garantire l’uniformità della valutazione. Il questionario si è concentrato su cinque indicatori chiave derivati dalla tassonomia dei dark pattern dell’OCSE:

  • Linguaggio complesso e confuso (Complex and confusing language): informative privacy eccessivamente tecniche o lunghe, che rendono difficile la comprensione da parte degli utenti.
  • Interferenza dell’interfaccia (Interface interference): elementi di design che manipolano la percezione e il processo decisionale degli utenti in merito alle opzioni sulla privacy.
  • Fastidio (Nagging): richieste ripetute che possono compromettere gli interessi degli utenti in materia di privacy.
  • Ostruzione (Obstruction): passaggi aggiuntivi che impediscono agli utenti di raggiungere gli obiettivi legati alla privacy.
  • Azione forzata (Forced Action): costringere gli utenti a fornire più dati personali del necessario.

Risultati

Durante lo Sweep è stato rilevato che i dark pattern erano prevalenti nella maggior parte dei siti web e delle app esaminate, con il 97% che conteneva almeno un elemento di design ingannevole. Il DDP più comune è stato l’uso di un linguaggio complesso e confuso nelle informative sulla privacy, riscontrato in media nell’89% dei casi. Queste informative erano spesso eccessivamente lunghe (alcune superavano le 3.000 parole) e piene di linguaggio tecnico, scoraggiando gli utenti dal leggerle e comprenderle.

L’interferenza dell’interfaccia è un altro dark pattern frequente, osservato in media nel 43% delle interazioni. Si trattava di tattiche come la falsa gerarchia, in cui le opzioni meno protettive per la privacy venivano visualizzate in modo più evidente, e venivano preselezionate le impostazioni più invasive per la privacy. È stato individuato anche il cd. Confirm-shaming, attraverso il quale viene utilizzato un linguaggio emotivo per spingere gli utenti verso determinate scelte, come la conferma delle impostazioni privacy di default dell’app.

L’ostruzione è stata utilizzata in media nel 39% delle interazioni, creando ostacoli agli utenti che cercano di esercitare i propri diritti privacy. Ad esempio, l’opzione per cancellare degli account era difficile da trovare o richiedeva più click, con il 55% dei siti che non forniva un’opzione diretta di cancellazione dell’account.

Le azioni fastidiose e forzate sono state meno comuni ma comunque degne di nota, comparendo rispettivamente nel 14% e nel 21% delle interazioni. Queste modalità includevano richieste ripetute per interrompere l’esperienza dell’utente e incoraggiarlo a cedere alle richieste per evitare ulteriori fastidi e la fornitura obbligatoria di dati per accedere ai servizi o cancellare l’account, compromettendo così l’autonomia dell’utente.

Raccomandazioni

Per mitigare l’impatto negativo dei sweep dark pattern, il GPEN raccomanda alle organizzazioni di:

  • semplificare le informative privacy per renderle accessibili e comprensibili;
  • progettare interfacce che rispettino le scelte degli utenti in materia di privacy senza manipolazioni;
  • evitare passaggi e barriere inutili nei processi legati alle scelte sulla privacy; e
  • fornire opzioni chiare e semplici per la gestione degli account, compresa la loro cancellazione.

Per essere conformi a tali indicazioni si raccomanda di adottare tecniche di legal design che aiutino l’utente a prendere decisioni più informate e garantiscano la conformità ai principi e agli obblighi del GDPR.

Il Garante privacy si è già pronunciato precedentemente sui dark pattern, per saperne di più può essere d’interesse l’articolo “La prima sanzione del Garante privacy sui dark pattern: l’importanza del legal design“.

(Visited 17 times, 1 visits today)

Potrebbe interessarti

Data Protection & Cybersecurity

Governance dell’AI, etica e privacy con Giorgia Vulcano di Anheuser-Busch InBev

Giorgia Vulcano illustra le criticità derivanti dall’intersezione tra AI, privacy ed etica e su come...

Fascicolo Sanitario Elettronico 2.0: Garante Privacy avvia procedimenti contro alcune Regioni e Province Autonome

Il Garante Privacy ha notificato a 18 Regioni e alle Province autonome di Bolzano e Trento l’avvio di...

Il Garante Privacy emana linee guida per prevenire il Web Scraping da parte dell’intelligenza artificiale

Il Garante per la protezione dei dati personali ha recentemente pubblicato una nota informativa con...

Close Search Window