Dark pattern: alcuni controlli da svolgere per rilevare elementi ingannevoli o manipolativi
Il problema dei dark pattern riguarda tanto la riconoscibilità degli stessi da parte dell’utente quanto la predisposizione di presìdi idonei ad evitare la loro occorrenza da parte di chi propone determinati servizi digitali. Sul punto, quando le Linee guida EDPB 3/2022 affrontano la tematica nell’ambito specifico delle piattaforme di social media, suggeriscono alcuni spunti per l’adozione di controlli atti a rilevare elementi ingannevoli o manipolativi dell’interfaccia utente o della user experience.
Autonomia. Deve essere garantito massimo il potere di controllo dell’interessato sui propri dati personali, con particolare attenzione a finalità e condizioni. Ad esempio, rafforzando la prestazione del consenso e soprattutto la sua revocabilità.
Interazione. L’interessato deve essere posto in grado di interagire in modo agevole con il titolare ed essere in grado di esercitare in modo effettivo i propri diritti. Ad esempio, fornendo più canali di comunicazione in modo tale che possa scegliere quello rispondente alle proprie esigenze e chiarendo quali diritti siano esercitabili e le relative conseguenze.
Aspettative. Le attività condotte sui dati personali devono corrispondere alle ragionevoli aspettative dell’interessato. Le misure a riguardo possono riguardare la trasparenza informativa ma anche lo svolgimento di valutazioni di legittimo interesse e il rispetto della limitazione delle finalità.
Capacità di selezione. Gli interessati devono avere garantita la possibilità di esercitare la portabilità dei propri dati soprattutto nel caso in cui il servizio utilizzi formati proprietari. Diventa così fondamentale assicurare che la trasmissione dei dati all’interessato o ad un soggetto terzo avvenga in un formato interoperabile.
Equilibri di potere. Il rapporto fra titolare e interessati deve adottare tutti i presidi che possono bilanciare eventuali squilibri di potere. Ad esempio, andando a riparare asimmetrie di tipo informativo o contrattuale.
Nessun inganno. Le informazioni devono essere rese in modo neutrale, oggettivo e senza distorsioni. Si deve di conseguenza rafforzare l’obbligo di adottare una “forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (art. 12 GDPR).
Sincerità. Le attività svolte devono corrispondere alle informazioni rese all’interessato, pertanto deve essere rafforzata la capacità di rendicontazione degli adempimenti con particolare riguardo del principio di trasparenza.
Tali criteri, opportunamente declinati possono avere un ruolo chiave nella progettazione di servizi non solo relativi alle piattaforme social, dal momento che costituiscono indicazioni operative per attuare i principi di privacy by design e privacy by default. Infatti, una corretta rendicontazione delle modalità attraverso le quali si tutela l’utente con riguardo a correttezza e trasparenza è a tutti gli effetti una prova positiva degli adempimenti svolti ben lungi dalla ricerca di una prova diabolica – o altrimenti apodittica e priva di qualsivoglia portata sostanziale. Le impossibili “evidenze negative” riguardanti il non fare impiego di dark pattern non hanno infatti alcun valore, mentre invece tutti gli elementi-chiave indicati consistono in delle misure di garanzia da valutare e adottare per una conformità sostanziale alle prescrizioni della norma.