Dark patterns e protezione dati personali

I dark patterns sono tecniche di design di un sito web o un applicativo tali da indurre un utente a fare delle scelte che normalmente non farebbe. 

Le aziende da sempre tendono a convincere gli utenti o a condizionarne le scelte. In internet, sui siti web, sulle App, è possibile disegnare moduli e pagine con specifici colori o accorgimenti grafici. In tal modo l'azienda è in grado di condizionare le scelte degli utenti. Alcuni esempi possono essere:
- il pulsante di accettazione dei cookie impostato con un colore più evidente rispetto a quello di rifiuto del consenso; 
- il servizio di streaming di prova a cui ti sei registrato, che però ti addebbita il prezzo alla scadenza del periodo di prova; 
- l'annuncio dell'app da con la "X" in alto a destra troppo piccola e con colori sbiaditi per essere vista; 
- e così via... 

Tali scelte di design sono definiti "dark pattern" (schemi non trasparenti). Il termine è stato coniato dal web designer inglese Harry Brignulli, che ha anche creato un sito (darkpatterns.org) che aiuta a individuare questi schemi. Si tratta di schemi utilizzati da molte aziende, tra le quali Google, Facebook e Apple. Possono essere intenzionali o accidentali, ma ciò che è importante non è stabilirne l'intento quanto piuttosto verificare i risultati (e gli eventuali danni) di queste impostazioni. 

Video Placeholder

How Dark Patterns Trick You Online

I dark patterns sono definiti dal commissario federale per il commercio degli Stati Uniti, Rohit Chopra, come "caratteristiche di progettazione utilizzate per ingannare, guidare o manipolare gli utenti in un comportamento redditizio per un servizio online, ma spesso dannoso per gli utenti o contrario alle loro intenzioni". Woodrow Hartzog, professore di diritto e informatica alla Northeastern University, sostiene che il modo in cui le interfacce utente sono progettate gioca un ruolo chiave nell'erosione della privacy di un utente. Secondo lui le leggi sulla privacy devono affrontare il design in un modo che sia flessibile e non eccessivamente vincolante definendo anche limiti e obiettivi per la progettazione tecnologica. 

Le linee guida dell'EPDB definiscono i dark pattern come interfacce ed esperienze utente implementate su piattaforme di social media che portano gli utenti a fare scelte non intenzionali, e prendere decisioni potenzialmente dannose in relazione al trattamento dei propri dati personali. I dark pattern mirano a influenzare il comportamento degli utenti e possono ostacolare la loro capacità di proteggere efficacemente i propri dati personali e fare scelte consapevoli. Tali interfacce devono essere sanzionate se violano i requisiti del GDPR. 

In breve un dark pattern è un meccanismo che viola nella sostanza il GDPR mentre formalmente sembra conformarsi ad esso.  Si sfrutta la tendenza delle persone a rispettare le scelte preimpostate. Gli utenti, sovraccarichi di informazioni, quando arrivano su un sito per leggere un determinato contenuto, sono ingannati dal design del sito che porta ad accettare le scelte preselezionate oppure a selezionare delle specifiche scelte più evidenti. In breve il modello è impostato in modo che l'utente possa sbarazzarsi facilmente (minore attrito) degli ingombranti box di scelta per arrivare più velocemente al contenuto richiesto. Così sono incoraggiati a non leggere le condizioni, o a accettare delle scelte che implicano il minimo di attività (e tempo). Le selezioni più tutelanti per gli utenti, quindi, sono impostate in modo che l'utente debba compiere attività più defatiganti (quindi con maggiore attrito). 

E questo specialmente in materia di privacy e di gestione dei cookie, fornendo, ad esempio, troppe informazioni per rendere complessa e defatigante la selezione dell'opzione. Un caso classico è quando si prevedono due scelte: accettare i cookie oppure impostare le preferenze, laddove le preferenze portano ad altra scheda nella quale sono presenti innumerevoli impostazioni per deselezionare i singoli fornitori. 

Tra i dark patterns sono annoverati anche gli schemi che portano ad una manipolazione emotiva, ad esempio presentando una scelta come la migliore per l'utente, quando in realtà porta ad un vantaggio per l'azienda. Un esempio può essere la presentazione degli "amici" che ti mancheranno se decidi di lasciare il servizio online. 

 

Regolamentazione in Europa

Nell'aprile del 2019, la CNIL francese ha pubblicato una relazione in cui rileva l'importanza della progettazione dell'interfaccia utente per la tutela degli utenti. Il design , ha sottolineato la CNIL, è fondamentale per aiutare a proteggere la privacy. Il rapporto ha anche discusso di come il consenso raccolto utilizzando dark patterns potrebbe non essere ritenuto consenso valido liberamente dato: "il fatto di utilizzare e abusare di una strategia per distogliere l'attenzione o modelli oscuri può portare a invalidare il consenso". 

La tutela degli interessati a fronte dei dark pattern si incentra sui seguenti principi: 
- principio di correttezza e trasparenza; 
- privacy by design; 
- principio di responsabilizzazione. 

La normativa in materia di protezione dei dati personali impone non solo un'informazione chiara e trasparente (principio di correttezza del trattamento, art. 5 GDPR), ma anche che le caselle di accettazione non siano preselezionate.  Il GDPR in sostanza impone obblighi di progettazione dei siti web, in modo che l'utente non sia manipolato nelle sue scelte. In tal senso il titolare del trattamento deve impostare fin dall'inizio (privacy by design e by default) il sito web (ma anche l'intero trattamento aziendale) in modo che siano raccolti solo i dati strettamente necessari, ma nel contempo si impone che l'utente abbia facili scelte e semplici possibilità di far valere i suoi diritti. Ad esempio, un sito web deve avere una modalità per il rifiuto dei cookie che sia semplice come la possibilità di accettarli. Inoltre il GDPR obbliga le aziende a rendere accessibili i dati personali all'utente che ne fa richiesta. Infine, il principio di responsabilizzazione entra in gioco, in quanto la user experience, il modo come è disegnato il sito, può essere una modalità attraverso la quale si dimostra la conformità alle norme, evidenziando come gli interessati acquisiscono le informazioni e forniscono il consenso (ove richiesto). 

Anche le legge sui servizi digitali (Digital Servic Act) dell'Unione europea, ancora in discussione, prevede delle norme in materia di schemi ingannevoli. L'art. 13a, infatti, vieta ai fornitori di servizi online l’utilizzo delle loro interfacce online in modo da incidere sulle decisioni degli utenti limitando il diritto a una libera scelta, ad esempio dando risalto visivo a una opzione di consenso rispetto ad altre. 

Il 15 maggio 2022 l'EDPB ha pubblicato le linee guida sui dark pattern, fornendo raccomandazioni per la progettazione delle interfacce utente dei social media. 

 

Regolamentazione negli Usa

Nella California il Consumer Privacy Act (CCPA) ha vietato i dark patterns progettati per rendere difficile per i consumatori l'esercizio di alcuni dei diritti previsti dalla legge, come rinunciare alla vendita dei propri dati. I modelli vietati includono: costringere gli utenti a fare clic su più schermi, scorrere lunghe politiche sulla privacy, esortarli a non rinunciare o utilizzare un linguaggio confuso.