Il Global privacy enforcement network, di cui fa parte anche il Garante italiano, è stato incaricato di svolgere un’indagine internazionale su siti e app “ingannevoli” che influenzano i comportamenti degli utenti a vantaggio delle piattaforme
Al centro di un’indagine conoscitiva, coordinata dal Global privacy enforcement network (Gpen) rete internazionale di cui fa parte anche il Garante italiano, ci sono i modelli di design ingannevole presenti su siti web e app. L’obiettivo del Privacy Sweep è individuare le interfacce che influenzano i comportamenti degli utenti, inducendoli a fare scelte inconsapevoli e potenzialmente dannose a vantaggio delle piattaforme. I siti web e le app oggetto dell’indagine sono analizzati secondo una serie di indicatori che vanno dalla chiarezza dei testi alla progettazione dell’interfaccia, con un’attenzione alla presenza di messaggi invasivi, ostacoli o interazioni obbligate che si frappongono alle scelte dell’utente.
In base ai risultati, l’Autorità garante della privacy di ogni Paese coinvolto potrà organizzare attività di sensibilizzazione sul tema, contattare i titolari dei siti per segnalare le criticità emerse dall’indagine o avviare istruttorie nei loro confronti.
L’indagine conoscitiva promossa dal Gpen è stata condotta in Italia nel periodo tra il 29 gennaio e il 2 febbraio 2024; i dati emersi sono in fase di elaborazione e analisi.
Cos’è il Global privacy enforcement network
Il Global privacy enforcement network (Gpen) è stato creato nel 2010, prendendo spunto da una Raccomandazione dell’Organizzazione per la cooperazione e lo sviluppo economico (Ocse) che invitava i Paesi membri a promuovere la creazione di una rete informale di Autorità privacy e di altre parti interessate, per discutere gli aspetti pratici della cooperazione in materia di applicazione delle normative sulla protezione dati.
I modelli di design ingannevoli
Secondo la definizione del Comitato europeo per la protezione dei dati (EDPB) i modelli di progettazione ingannevoli sono interfacce e percorsi-utente che cercano di influenzare e far compiere scelte inconsapevoli riguardo al trattamento dei dati personali, non volute e potenzialmente dannose, spesso contrarie agli interessi degli utenti stessi ma favorevoli a quelli delle piattaforme.
Le linee guida dell’EDPB, pubblicate nel febbraio 2023, individuano sei tipologie riguardo alle quali si può parlare di “modelli di progettazione ingannevoli”, detti anche Dark Pattern:
- quando gli utenti si trovano di fronte a un enorme numero di richieste, informazioni, opzioni o possibilità finalizzate a far loro condividere più dati possibili e consentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato (overloading)
- quando le interfacce sono realizzate in modo tale che gli utenti dimenticano o non riflettono su aspetti legati alla protezione dei propri dati (skipping)
- quando le scelte degli utenti sono influenzate facendo appello alle loro emozioni o usando sollecitazioni visive (stirring)
- quando gli utenti sono ostacolati o bloccati nel processo di informazione sull’uso dei propri dati o nella gestione dei propri dati (hindering)
- quando gli utenti acconsentono al trattamento dei propri dati senza capire quali siano le finalità a causa di un’interfaccia incoerente o poco chiara (flickle)
- quando l’interfaccia è progettata in modo da nascondere le informazioni e gli strumenti di controllo della privacy agli utenti (leftinthedark).
Queste linee guida aiutano a riconoscere ed evitare questi sistemi e contengono raccomandazioni pratiche a gestori dei social media, a designer e utenti su come comportarsi di fronte a queste interfacce che violano il Regolamento europeo in materia di protezione dati. In generale, l’approccio alla progettazione deve essere quello di non mettere in discussione la decisione della persona per indurla a scegliere o mantenere un ambiente meno protettivo nei confronti dei propri dati. Al contrario, il modello dovrebbe avvisare la persona che una scelta appena compiuta potrebbe comportare rischi per dati e privacy.
