NEWS

Attenzione ai modelli ingannevoli che violano la privacy nelle interfacce dei social media: pubblicate le Linee Guida 03/2022

Il 24 febbraio 2023 l’European Data Protection Board ha pubblicato le Linee Guida 03/2022 per aiutare gli utenti a riconoscere i modelli di progettazione ingannevoli nelle interfacce delle piattaforme dei social media. Rispetto alla prima versione che era stata pubblicata lo scorso anno per la consultazione pubblica, adesso le Linee Guida 03/2022 in versione definitiva 2.0 vedono sostituito nel titolo il termine “dark pattern” con “deceptive design patterns”, andando così ad estendere la portata di questa subdola tipologia di violazioni del GDPR.

Il 24 febbraio 2023 l’European Data Protection Board ha pubblicato le Linee Guida 03/2022

Le Linee Guida offrono raccomandazioni pratiche su come valutare ed evitare modelli di progettazione ingannevoli nelle interfacce dei social media che violano la privacy degli utenti, fornendo esempi concreti di modelli di progettazione ingannevoli e best practices per i diversi casi d’uso, con raccomandazioni specifiche per i progettisti di interfacce che facilitano l’effettiva attuazione delle prescrizioni del GDPR.

Sono stati inoltre aggiunti alcuni chiarimenti, come ad esempio su come integrare le Linee guida nel processo di design thinking, ed è stato aggiunto un secondo allegato, che fornisce una rapida panoramica di tutte le migliori pratiche.

Nel contesto di queste Linee guida, si considerano “modelli di progettazione ingannevoli” le interfacce e i percorsi utente implementati sulle piattaforme di social media che tentano di influenzare gli utenti a prendere decisioni non intenzionali, non volute e potenzialmente dannose, spesso verso una decisione contraria agli interessi degli stessi utenti e a favore degli interessi delle piattaforme di social media, per quanto riguarda il trattamento dei loro dati personali e la loro privacy.

I modelli di progettazione ingannevoli mirano a influenzare il comportamento degli utenti e possono ostacolare la loro capacità di proteggere efficacemente i propri dati personali e di compiere scelte consapevoli. Secondo le linee guida dei garanti europei, essi possono essere suddivisi nelle seguenti sei categorie:

Overloading - Significa che gli utenti si trovano di fronte a una grande quantità di richieste, informazioni, opzioni o possibilità per spingerli a condividere più dati o consentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato.

Skipping - Si concretizza quando l’interfaccia o il percorso dell’utente è progettato in modo che gli utenti dimentichino o non pensino a tutti o ad alcuni aspetti della protezione dei dati.

Stirring - Questa tecnica influisce sulla scelta che gli utenti farebbero facendo appello alle loro emozioni o utilizzando spinte visive.

Obstructing – In questi casi, la piattaforma ostacola o blocca gli utenti nel loro processo di informazione o gestione dei loro dati personali, rendendo l’azione difficile o impossibile da realizzare.

Fickle - Tale pratica, comporta un design dell’interfaccia incoerente e non chiaro, che rende difficile per l’utente navigare tra i diversi strumenti di controllo della protezione dei dati e comprendere lo scopo del trattamento. Tra i tipi di design pattern ingannevoli vi sono la mancanza di gerarchia, la decontestualizzazione, l’interfaccia incoerente e la discontinuità linguistica.

Left in the Dark - Si tratta di un’interfaccia progettata in modo da nascondere le informazioni o gli strumenti di controllo della protezione dei dati o da lasciare gli utenti nell’incertezza su come vengono trattati i loro dati e sul tipo di controllo che possono avere su di essi per quanto riguarda l’esercizio dei loro diritti. Tra i design pattern ingannevoli di questa categoria rientrano le informazioni contrastanti e la formulazione di informazioni ambigue.

Alla luce delle Linee Guida 03/2022, le autorità per la protezione dei dati europee potranno quindi sanzionare l’uso di modelli di progettazione ingannevoli nei casi in cui non rispettano il principio di “trasparenza” richiesto dall’art.5 del GDPR e violano le disposizioni del Regolamento europeo sulla protezione dei dati personali.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Privacy by design e accountability per l’acquisizione dei consensi nelle attività di marketing
Next Direttiva NIS 2: le nuove sfide della cybersecurity

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy