Le nuove Linee Guida sui dark patterns: cosa sono e come sono regolamentati?

di Alessandro Amoroso e Elena Paggi


  1. Le Linee Guida

 Il Comitato europeo per la protezione dei dati personali (“EDPB” acronimo di “European Data Protection Board”) ha recentemente approvato la bozza, soggetta a pubblica consultazione, delle Linee guida in materia di dark patterns nelle piattaforme di social media[1] (le “Linee Guida”).

Benché le Linee Guida siano specificamente rivolte alle piattaforme di social media, considerato che in esse sono contenuti indirizzi ermeneutici derivanti da principi generali del Regolamento (UE) 2016/679 (“GDPR”), il tema è certamente di particolare rilievo anche con riferimento ad altri business[2], specie nell’implementazione di procedure digitali e interfacce online per utenti.

Il seguente articolo intende fornire una breve panoramica di consultazione che riepiloghi le tipologie di dark patterns individuati dall’EDPB.

  1. Cosa sono i “dark patterns

I dark patterns sono interfacce ed esperienze utente che mirano ad influenzare il comportamento degli utenti inducendoli a prendere decisioni non consapevoli, involontarie e potenzialmente dannose riguardo al trattamento dei loro dati personali. Si tratta, dunque, di un modo di progettare e presentare i contenuti che, benché formalmente conforme, viola sostanzialmente i requisiti e le condizioni poste dal GDPR.

  1. Disposizioni rilevanti nell’individuazione di “dark patterns

Le disposizioni del GDPR rilevanti per l’individuazione di dark patterns possono essere:

i. i principi di correttezza e di trasparenza nel trattamento (art. 5 (1) (a) GDPR);

ii. il principio di minimizzazione dei dati (art. 5 (1) (c) GDPR);

iii. il principio di responsabilizzazione (accountability) (di cui all’art. 5 (2) GDPR);

e, inoltre, a seconda dei casi specifici anche:

iv. il principio di limitazione delle finalità (art. 5 (1) (b) GDPR);

v. le condizioni per il consenso (art. 7 GDPR);

vi. i principi di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default) (art. 25 GDPR).

  1. Quali sono i “dark patterns” individuati nelle Linee Guida?

Le Linee Guida forniscono alcuni modelli principali di dark patterns che violano il GDPR. Occorre sottolineare che le Linee Guida specificano che si tratta di un elenco esemplificativo e che, dunque, non è possibile escludere ulteriori casistiche rilevanti.

In particolare, le Linee Guida identificano le seguenti categorie di dark patterns:

  • Overloading: porre gli interessati di fronte a una valanga/grande quantità di richieste, informazioni, opzioni o possibilità, al fine di spingerli a condividere più dati o consentire involontariamente il trattamento dei dati personali contro le loro aspettative. Rientrano in questa categoria i seguenti tre modelli:
    • Continuous prompting: spingere gli interessati a fornire più dati personali di quelli necessari per la finalità del trattamento o a prestare il consenso ad un altro uso dei loro dati, mediante ripetute richieste di fornire dati o di acconsentire ad una nuova finalità di trattamento e offrendo argomenti per cui dovrebbero fornirli.
    • Privacy Maze: rendere particolarmente difficile ottenere determinate informazioni, utilizzare un controllo o esercitare un diritto mediante procedure che costringono gli interessati a navigare attraverso troppe pagine per ottenere le informazioni o i controlli pertinenti, senza mettere a disposizione una panoramica completa ed esaustiva in un’unica soluzione.
    • Too many options: fornire agli interessati troppe opzioni tra cui scegliere. La quantità di scelte ingenera negli interessati confusione e rende difficile per essi compiere una scelta consapevole o li induce a trascurare alcune impostazioni, soprattutto se le informazioni non sono disponibili/facilmente disponibili.
  • Skipping: progettare l’interfaccia o l’esperienza utente in modo che gli interessati dimentichino o non pensino a tutti o ad alcuni aspetti della protezione dei dati. Rientrano in questa categoria i seguenti due modelli:
    • Deceptive Snugness: prevedere, per impostazione predefinita, l’attivazione delle caratteristiche e delle opzioni più invasive in termini di data protection mediante opzioni preselezionate, facendo leva sul fatto che difficilmente gli interessati modificheranno le impostazioni predefinite.
    • Look over there: porre all’attenzione degli interessati un’azione o un’informazione relativa alla data protection insieme ad un altro elemento, anche estraneo o non rilevante, in grado di distrarre l’interessato dalle informazioni o dalle azioni che in prima battuta ricercava.
  • Stirring: influenzare la scelta degli interessati facendo appello alle loro emozioni positive o negative o usando stimoli visivi. Rientrano in questa categoria i seguenti due modelli:
    • Emotional Stirring: utilizzare parole e/o immagini in grado di influenzare lo stato emotivo dell’interessato, in maniera da fargli fare scelte contrarie ai suoi interessi di protezione dei dati. Ciò può avvenire usando formulazioni o immagini in una prospettiva altamente positiva, cioè facendo sentire al sicuro l’interessato, o in una altamente negativa, cioè facendo sentire l’interessato spaventato o colpevole.
    • Hidden in plain sight: utilizzare un visual style in merito alle informazioni e ai controlli che spinga gli interessati verso opzioni meno restrittive e quindi più̀ invasive in termini di data protection.
  • Hindering: significa ostacolare o bloccare gli interessati nel loro processo di informazione o di gestione dei loro dati, rendendo l’azione di controllo difficile o impossibile da realizzare. Vi rientrano i seguenti tre modelli:
    • Dead End: implementare procedure che finiscono per impedire agli interessati di trovare informazioni o esercitare una funzione di controllo, perché il link non funziona o non è affatto disponibile.
    • Longer than necessary: l’esperienza utente è fatta in modo che richiede che gli interessati siano costretti a fare più passaggi per selezionare opzioni meno invasive rispetto a quanti necessari per l’attivazione delle opzioni più invasive in termini di protezione dei dati personali.
    • Misleading information: fornire informazioni non in linea con le effettive funzionalità disponibili, spingendo gli interessati a scegliere impostazioni (meno tutelanti) che non intendono scegliere.
  • Fickle: significa che il design dell’interfaccia è incoerente e non chiara, rendendo difficile per l’interessato navigare tra i diversi strumenti di controllo inerenti la protezione dei dati e capire le finalità del trattamento. Vi rientrano i seguenti due modelli:
    • Lacking hierarchy: fornire informazioni relative alla protezione dei dati in maniera confusa e senza gerarchia, facendo sì che le informazioni appaiano più volte e siano presentate in diverse modalità, ingenerando confusione negli interessati e rendendoli non in grado di comprendere appieno come vengono trattati i loro dati e come esercitare i diritti riconosciuti.
    • Decontentextualising: inserire un’informazione o una funzionalità di controllo sulla protezione dei dati in una pagina, sezione o area che è fuori contesto, in modo da renderla più difficilmente reperibile, perché in una collocazione poco intuitiva.
  • Left in the dark: progettare un’interfaccia in modo da nascondere informazioni o strumenti di controllo della protezione dei dati o da lasciare gli interessati insicuri su come i loro dati sono trattati e che tipo di controllo potrebbero avere su di essi, anche con riferimento all’esercizio dei loro diritti. Vi rientrano i seguenti tre modelli:
    • Language discontinuity: fornire le informazioni sul trattamento dei dati personali in una lingua diversa da quella del paese in cui gli interessati vivono, mentre le informazioni sul servizio sono rese in tale lingua; in questo modo, gli interessati che non padroneggiano la lingua in questione non potranno comprendere con consapevolezza le informazioni sul trattamento.
    • Conflicting information: fornire agli interessati pezzi di informazione che in qualche modo sono in conflitto tra loro, ingenerando incertezza e confusione negli interessati.
    • Ambiguous wording or information: usare termini ambigui e vaghi, generando negli interessati incertezza su come i dati personali saranno trattati o su come esercitare il controllo sulle informazioni coinvolte.
  1. Cosa ci aspetta?

Le Linee Guida imporranno alle piattaforme di social media molta attenzione nella valutazione circa l’esistenza di dark patterns. Come anticipato, però, i dark patterns sono applicabili anche al di fuori di tale settore, e c’è da aspettarsi che l’utilizzo di questi modelli riceverà sempre maggiore attenzione dalle autorità di protezione dei dati personali. Le aziende, dunque, dovranno fare attenzione già da subito a trovare l’equilibrio richiesto dalle Linee Guida nell’implementazione di interfacce e procedure inerenti all’esperienza di utenti.

Gli esempi di dark patterns più rilevanti e tratti dalle Linee Guida sono disponibili qui.


[1] Linee guida 3/2022 – Disponibili qui: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-32022-dark-patterns-social-media_en .

[2] Il tema dei dark patterns, infatti, è già emerso in alcune decisioni delle autorità di controllo europee in tema di cookies e strumenti di tracciamento (cfr. CNIL, SAN-2021-023, 31 dicembre 2021 (Google LLC e Google Ireland Limited, e CNIL, SAN-2021-024, 31 dicembre 2021 (Facebook Ireland Limited).


Autori:

Alessandro Amoroso

Elena Paggi

it_IT