Modelli di design ingannevole: Linee guida per navigare sicuri su siti web, app e social

Con la definizione di “modelli di progettazione ingannevoli” sono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate, e potenzialmente dannose dal punto della privacy dell’individuo, ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Tali modelli hanno proprio l’obiettivo di influenzare il nostro comportamento e possono ostacolare la nostra individuale capacità di proteggere efficacemente i nostri dati personali e, ovviamente si pongono in violazione del Regolamento europeo in materia di protezione dei dati.

Le Linee Guida del Comitato europeo per la protezione dei dati

Lo scorso anno è intervenuto il Comitato europeo per la protezione dei dati (EDPB) con le sue le Linee Guida[1] a fornire, a gestori dei social media, designer e utenti, raccomandazioni e indicazioni pratiche per riconoscere ed evitare questi rischi con il condizionamento che ne può derivare alle nostre libere scelte.

La classificazione stessa è finalizzata a consentirsene la riconoscibilità da parte degli utenti:

• ci trovano di fronte a una enorme numero di richieste, informazioni, opzioni o possibilità finalizzate a spingerli a condividere più dati possibili e consentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato (overloading);
• le interfacce sono realizzate in modo tale che gli utenti dimentichino o non riflettano su aspetti legati alla protezione dei propri dati (skipping);
• le scelte degli utenti sono influenzate facendo appello alle loro emozioni o usando sollecitazioni visive (stirring);
• sono presenti ostacoli o blocchi nel processo di informazione sull’uso dei propri dati o nella gestione dei propri dati (hindering);
• l’interfaccia appare incoerente o poco chiara, il consenso al trattamento viene espresso senza capire quali siano le finalità (flickle);
• l’interfaccia è progettata in modo da nascondere le informazioni e gli strumenti di controllo della privacy agli utenti (leftinthedark).

Le Linee guida hanno quindi l’obiettivo di fornire raccomandazioni e indicazioni per la progettazione delle interfacce delle piattaforme di social media che dovrebbero sempre riflettere fedelmente le conseguenze dell’azione intrapresa ed essere coerenti con il percorso di esperienza-utente, con un approccio alla progettazione deve essere dunque quello di non mettere in discussione la decisione della persona per indurla a scegliere o mantenere un ambiente meno protettivo nei confronti dei propri dati.  Ne consegue che le Linee Guida mirano a richiamare gli obblighi derivanti dal GDPR, con particolare riferimento ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e minimizzazione dei dati nella progettazione delle interfacce utente e nella presentazione dei contenuti dei propri servizi web e app. I suddetti principi devono essere implementati in modo sostanziale e, dal punto di vista tecnico, costituiscono requisiti per la progettazione di software e servizi, comprese le interfacce utente. Ne consegue che il modello, nel rispetto di tali principi, deve essere intrinsecamente utilizzato per avvisare la persona che una scelta appena compiuta potrebbe comportare rischi per i propri dati e la privacy. 

L’indagine del Global privacy enforcement network (GPEN)

Ora il Global privacy enforcement network[2] (GPEN), una rete informale di Autorità privacy e di altre parti interessate, nata con l’obiettivo di discutere gli aspetti pratici della cooperazione in materia di applicazione delle normative sulla protezione dati, ha promosso un’indagine conoscitiva internazionale sui modelli di Design ingannevole presenti su siti web e app.

Nel nostro Paese l’indagine si concentrerà sui siti web e il giorno sarà scelto dal Garante in una data tra il 29 gennaio e il 2 febbraio, periodo individuato dal GPEN per coordinare l’azione.

I modelli oggetto dell’indagine saranno analizzati secondo una serie di indicatori, che vanno dalla chiarezza dei testi alla progettazione dell’interfaccia, e che riguarderanno, ad esempio, la presenza di messaggi assillanti o di ostacoli o interazioni obbligate frapposti alle scelte. In base ai risultati, ogni Autorità potrà organizzare attività di sensibilizzazione mirata agli utenti per proteggere la propria privacy ed aumentare la consapevolezza degli utenti riguardo ai propri diritti e ai rischi che possono derivare dalla condivisione di troppi dati o dalla condivisione incontrollata dei propri dati.  Potranno anche essere adottate azioni nei confronti dei titolari per evidenziare le criticità emerse dall’indagine o avviare istruttorie nei loro confronti.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Linee guida EDPB 03/2022 sui modelli di progettazione ingannevoli nelle interfacce delle piattaforme di social media: come riconoscerli ed evitarli -Versione 2.0, adottate il 14 febbraio 2023.

[2] Il Global privacy enforcement network trae origine da una Raccomandazione OCSE, adottata nel giugno 2007, sulla cooperazione transfrontaliera nell’applicazione delle leggi che proteggono la privacy che invitava i paesi membri a promuovere la creazione di una rete informale di autorità di controllo della privacy. La stessa raccomandazione ne specificava i compiti:

• discutere gli aspetti pratici della cooperazione nell’applicazione della legge sulla privacy;
• condividere le migliori pratiche per affrontare le sfide transfrontaliere;
• lavorare per sviluppare priorità di applicazione condivise;
• sostenere iniziative di applicazione congiunta e campagne di sensibilizzazione.