Dark pattern nei social media: linee guida EDPB

Il Comitato europeo per la protezione dai dati (EDPB) ha pubblicato le proprie Linee guida sui c.d. dark pattern (“percorsi oscuri”) presenti nelle piattaforme di interfaccia dei social media (e non solo quelli) aventi obiettivo di dare una guida per riconoscerli ed evitarli.

I dark patterns altro non sono che l’espressione di una forma di progettazione e presentazione dei contenuti volta ad incidere, direzionare e influenzare il comportamento degli utenti: la loro finalità è appunto quella di indurre l’utente a prendere decisioni non consapevoli, involontarie e anche potenzialmente dannose circa il trattamento dei loro dati personali.

La peculiarità di queste interfacce è però quella di apparire formalmente non in diretta violazione del GDPR, ma di esserlo nella sostanza.

Di conseguenza ciò a cui bisogna fare riferimento per verificare la violazione del trattamento dei dati sono in primo luogo i principi espressi dal GDPR ed in particolare i principi di correttezza e di trasparenza nel trattamento, il principio di minimizzazione dei dati, il principio di responsabilizzazione, a cui si aggiungono eventualmente il principio di limitazione delle finalità, le condizioni per il consenso, i principi di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default).

Linee guida indirizzate ai progettisti di social o app, ma anche a quelli di siti web.
Il Comitato delinea alcuni modelli generali di dark patterns che violano il GDPR:

  • Overloading: porre gli interessati di fronte ad una grande quantità` di richieste, informazioni, opzioni, con lo scopo di indurli a condividere piu` dati o a consentire involontariamente il trattamento degli stessi;
  • Skipping: la progettazione dell’interfaccia in modo da far perdere cognizione agli interessati di tutti o ad alcuni aspetti della protezione dei dati;
  • Stirring: il tentativo di influenzare le scelte degli interessati usando le loro emozioni positive o negative o usando stimoli visivi per far leva sulle loro scelte, ad esempio utilizzando parole o immagini in grado di influenzare lo stato emotivo dell’interessato, in maniera da fargli fare scelte contrarie ai suoi interessi di protezione dei dati;
  • Hindering: ostacolare gli utenti nel loro processo di informazione o di gestione dei loro dati, rendendone il controllo gravoso o impossibile, per esempio impedendo trovare informazioni agli utenti mettendo a disposizione link non funzionanti;
  • Fickle: utilizzare design dell’interfaccia non chiari, rendendo difficile navigare tra i diversi strumenti di controllo della protezione dei dati e capire le finalità del trattamento;
  • Left in the dark: progettare l’interfaccia in modo da nascondere informazioni o strumenti di controllo della protezione dei dati, ad esempio nel caso di informazioni sul trattamento dei dati personali fornite in una lingua diversa da quella del paese in cui gli utenti vivono.

Fonti: Guidelines 3/2022 on Dark patterns in social media platform interfaces – How to recognise and avoid them (Version 1.0) Adopted on 14 March 2022

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

ASSOCIATI