I dark pattern sono diventati un problema sempre più rilevante all’interno dei siti web, che spesso si avvalgono di interfacce e percorsi di navigazione appositamente studiati per influenzare il comportamento dell’utente on-line, con pregiudizio dei diritti degli interessati alla protezione dei propri dati personali.
Per chi ancora non ha familiarità con questo termine, con il termine dark pattern si è soliti indicare una scelta di design nella costruzione di un sito web che ha come scopo principale quello di ingannare l’utente, spingendolo a compiere un’azione che altrimenti non avrebbe compiuto o, viceversa, a non compiere azioni che vorrebbe realizzare, con pregiudizio della tutela dei suoi dati personali e vantaggio economico per il proprietario del sito web.
Si tratta, in sostanza, di trucchi di manipolazione psicologica che si fondano su studi di scienza comportamentale e cognitiva, finalizzati a indurre l’utente a scelte involontarie e potenzialmente dannose con riferimento al trattamento delle proprie informazioni personali.
Il tema è più rilevante di quanto si possa immaginare e, pertanto, l’EDPB è intervenuta per chiarire, al di là di ogni dubbio o travisamento, che le pratiche di design che si fondano sui dark pattern devono considerarsi sempre contrarie ai principi del GDPR, dato che il Regolamento ha tra i suoi cardini il principio della scelta consapevole ed informata dell’interessato.
Il 24 febbraio 2023 l’EDPB ha, infatti, pubblicato le Linee Guida 3/2022 per informare gli utenti su come riconoscere ed evitare questi trucchi navigando sul web, indicando, altresì, una serie di raccomandazioni pratiche a gestori di social media, designer e utenti su come comportarsi di fronte a queste interfacce ingannevoli.
In estrema sintesi, l’EDPB individua diverse tipologie di dark pattern:
– overloading: l’utente è messo davanti ad una grande quantità di richieste/informazioni/opzioni/possibilità, che lo spingono a condividere maggiori informazioni di quelle che vorrebbe dare o a consentire, involontariamente, il trattamento dei propri dati personali, in contrasto con i propri desideri;
– skipping: si tratta di sistemi di progettazione dell’interfaccia utente del sito web che inducono l’interessato a dimenticare o a non pensare ad alcuni aspetti della protezione dei propri dati personali;
– stirring: con queste soluzioni, il sito web influisce sulla scelta dell’utente, grazie alla sollecitazione delle emozioni dell’utente oppure tramite l’utilizzo di stimoli visivi;
– hindering: il sito web ostacola o blocca l’utente nel suo processo di informazione e/o di gestione dei propri dati personali, rendendo l’azione impossibile o molto complessa da realizzare;
– fickle: in questo caso, il design dell’interfaccia utente risulta incoerente e non chiaro, complicando la navigazione tra i diversi strumenti di controllo della protezione dei dati personali e offuscando il reale scopo del trattamento dei dati che il sito web persegue;
– left in the dark: questa tipologia di dark pattern viene realizzata tramite un’interfaccia utente progettata in modo da nascondere le informazioni o gli strumenti di controllo della protezione dei dati personali o lasciando l’utente in uno stato di incertezza su come i propri dati personali verranno trattati.
Sulla base di tutti gli elementi raccolti nella sua indagine, l’EDPB ha, quindi, segnalato quali dovrebbero essere le best practices user friendly da seguire per migliorare la capacità informativa dell’utente che vuole iscriversi a un servizio on-line.
Anche il nostro Garante per la Protezione dei Dati Personali ha realizzato una pagina informativa per dare maggiori informazioni su un tema spesso misconosciuto ai più, richiamando – appunto – le linee guida dell’EDPB.
Il nostro Garante ha, in particolare, ricordato che le interfacce e le informazioni sottoposte agli utenti devono sempre riflettere fedelmente le conseguenze dell’azione intrapresa dall’utente stesso ed essere coerenti con il percorso di esperienza voluto e/o perseguito dall’interessato.
Alla luce delle prese di posizione dell’EDPB e del nostro Garante, diviene, pertanto, ineludibile per chi realizza siti web utilizzare un approccio di progettazione dell’interfaccia utente che garantisca allo stesso di ottenere ciò che desidera, senza mettere in discussione la sua decisione, inducendolo a scegliere o a mantenere un ambiente meno protettivo nei confronti dei propri dati.