EDPB, Dark patterns in social media platform interfaces
How to recognise and avoid them
di Alessandro Amoroso e Elena Paggi
Categoria |
Nome Dark Pattern | Spiegazione | Norme GDPR Potenzialmente Violate | Esempi rilevanti[1] |
Overloading | Continuous prompting | Spingere gli interessati a fornire più dati personali di quelli necessari per la finalità del trattamento o a prestare il consenso ad un altro uso dei loro dati, mediante ripetute richieste di fornire dati o di acconsentire ad una nuova finalità di trattamento e offrendo argomenti per cui dovrebbero fornirli. |
|
Esempio 1(A): ai fini della registrazione alla piattaforma, l’utente può decidere se fornire il suo numero di telefono o il suo indirizzo e-mail. Nel caso in cui non fornisca il numero di telefono, il gestore cerca di convincere l’utente, anche facendo comparire specifici pop-up di richiesta, dichiarando che il numero di telefono è utile per la sicurezza dell’account. |
Privacy Maze | Rendere particolarmente difficile ottenere determinate informazioni, utilizzare un controllo o esercitare un diritto mediante procedure che costringono gli interessati a navigare attraverso troppe pagine per ottenere le informazioni o i controlli pertinenti, senza mettere a disposizione una panoramica completa ed esaustiva in un’unica soluzione. |
|
Esempio 17: il gestore della piattaforma mette a disposizione dell’utente un documento denominato “Consigli Utili”, che include alcune importanti informazioni sull’esercizio dei diritti. Tuttavia, la Privacy Policy della piattaforma non include nessun link di rimando al documento “Consigli Utili”. Al fine di reperire detto documento, infatti, l’utente deve accedere alla sezione Q&A della piattaforma.
Esempio 37: argomenti correlati non sono resi disponibili all’interno della medesima sezione/sezioni vicine, ma accedendo a schede diverse tramite la sezione “Impostazioni” della piattaforma. Esempio 48: la Privacy Policy include la possibilità per gli utenti di esercitare il diritto di accesso richiedendo copia dei loro dati personali. Il link di rimando alla sezione tramite cui veicolare la richiesta non è visibile, se non passando il mouse sopra le prime tre parole della frase “Puoi avere una copia dei tuoi dati”, che sono solo leggermente sottolineate. Esempio 51: gli utenti che intendono cancellare il proprio account devono accedere alla sezione “Impostazioni”, quindi alla sezione “Privacy”, scorrere fino alla fine della pagina, dove trovano il link per eliminare il loro account. |
|
Too many options | Fornire agli interessati troppe opzioni tra cui scegliere. La quantità di scelte ingenera negli interessati confusione e rende difficile per essi compiere una scelta consapevole o li induce a trascurare alcune impostazioni, soprattutto se le informazioni non sono disponibili/facilmente disponibili.
|
|
Esempio 35: il menù di una piattaforma rimanda a più sezioni relative alla protezione dei dati personali (es. “protezione dei dati”, “sicurezza dei dati”, “contenuti”, “privacy”, “le tue preferenze”). | |
Skipping | Deceptive snugness | Prevedere per impostazione predefinita, l’attivazione delle caratteristiche e delle opzioni più invasive in termini di data protection mediante opzioni preselezionate, facendo leva sul fatto che difficilmente gli interessati modificheranno le impostazioni predefinite. . |
|
Esempio 9: la piattaforma consente di condividere la data di nascita dell’utente con tutti gli altri utenti, registrati e non, ovvero solo con gli utenti registrati. L’opzione “Condividi con tutti” è attivata di default. |
Look over there | Porre all’attenzione degli interessati un’azione o un’informazione relativa alla data protection insieme ad un altro elemento, anche estraneo o non rilevante, in grado di distrarre l’interessato dalle informazioni o dalle azioni che in prima battuta ricercava. |
|
Esempio 25 (1): nel comunicare un data breach, il titolare include informazioni non rilevanti, omettendo dettagli rilevanti.
Esempio 25(2): nel comunicare un breach di sicurezza che riguarda le credenziali di accesso ed altri dati, il titolare afferma che i dati erano criptati o hashatiquando lo erano solo le password. Esempio 56: cliccando su “Cancella il mio account”, gli utenti hanno la possibilità di scaricare i loro dati prima della cancellazione. Una volta terminato il download dei dati gli utenti non vengono reindirizzati verso il processo di cancellazione del relativo account. Esempio 58: il gestore della piattaforma obbliga gli utenti che intendono cancellare il loro account ad indicare i motivi della richiesta di cancellazione. Una volta data la risposta richiesta, appare un pop-up che mostra le modalità di risoluzione del problema segnalato e per il quale la richiesta di cancellazione è stata avanzata, rallentando il processo di cancellazione dell’account. |
|
Stirring | Emotional Steering | Utilizzare parole e/o immagini in grado di influenzare lo stato emotivo dell’interessato, in maniera da fargli fare scelte contrarie ai suoi interessi di protezione dei dati. Ciò può avvenire usando formulazioni o immagini in una prospettiva altamente positiva, cioè facendo sentire al sicuro l’interessato, o in una altamente negativa, cioè facendo sentire l’interessato spaventato o colpevole. |
|
Esempio 5: il gestore della piattaforma incentiva gli utenti a fornire ulteriori dati personali con frasi come quelle che seguono: “Raccontaci di te! Non possiamo aspettare, entra a far parte della piattaforma e raccontaci di te!”
Esempio 6: nelle sezioni in cui gli utenti possono caricare una loro foto è incluso un bottone denominato “?”. Cliccando questo bottone l’utente visualizza questo messaggio: “Non c’è bisogno di andare dal parrucchiere prima. Basta scegliere una foto che dica “questo sono io””. Esempio 52: il titolare evidenzia le conseguenze negative derivanti dalla cancellazione dell’account (es. “perderai tutto per sempre”, “non potrai riattivare il tuo account”, “i tuoi amici ti dimenticheranno”). |
Hidden in plain sight | Utilizzare un visual style in merito alle informazioni e ai controlli che spinga gli interessati verso opzioni meno restrittive e quindi più̀ invasive in termini di data protection. |
|
Esempio 8: al fine di poter accedere alle informazioni sui dati personali, gli utenti della piattaforma devono accedere alla sezione menù, cliccare il bottone “privacy e data settings” e notare, all’interno della pagina così acceduta, una piccola icona che rimanda alla Privacy Policy.
Esempio 48: cfr. sezione Privacy Maze |
|
Hindering | Dead end | Implementare procedure che finiscono per impedire agli interessati di trovare informazioni o esercitare una funzione di controllo, perché il link non funziona o non è affatto disponibile. |
|
Esempio 11: Durante il processo di registrazione alla piattaforma, gli utenti possono acconsentire al trattamento dei loro dati personali per finalità promozionali e sono informati del fatto che possono modificare la scelta compiuta in qualsiasi momento accedendo alla Privacy Policy. Tuttavia, accedendo alla Privacy Policy gli utenti non trovano indicazioni su come revocare il consenso prestato.
Esempio 30: Gli utenti che intendono revocare il proprio consenso devono deselezionare la casella relativa a ciascuna finalità per la quale il consenso è stato prestato. Tuttavia, una volta cliccata la casella preselezionata non succede nulla a livello di interfaccia e gli utenti non riescono a comprendere se il consenso è stato effettivamente revocato. Esempio 31: La Privacy Policy di una piattaforma elenca i soggetti terzi autonomi titolari del trattamento e destinatari dei dati. Tuttavia, tale Privacy Policy non include il link di rimando alle informazioni sul trattamento dei dati personali rese da ciascuna terza parte, ma si limita ad invitare gli utenti a visitare il sito web di ciascun destinatario per tutte le informazioni sul trattamento effettuato da detto destinatario. |
Longer than necessary | L’esperienza utente è fatta in modo che richiede che gli interessati siano costretti a fare più passaggi per selezionare opzioni meno invasive rispetto a quanti necessari per l’attivazione delle opzioni più invasive in termini di protezione dei dati personali. |
|
Esempio 7: Durante il processo di registrazione alla piattaforma, agli utenti che non inseriscono tutti i dati richiesti e non strettamente necessari compare un pop-up con scritto “Sei sicuro?“. Al contrario, agli utenti che decidono di inserire tutti i dati indicati non viene mostrato alcun messaggio che chiede conferma delle scelte effettuate.
Esempio 32: Un gestore di una piattaforma non mette a disposizione un meccanismo di opt-out diretto per la revoca del consenso, nonostante tale consenso possa essere prestato con un solo clic. Esempio 50: Quando gli utenti scelgono di cancellare un’informazione del proprio profilo si apre una finestra per la richiesta di conferma (“Vuoi davvero farlo? Perché vuoi farlo?”). Esempio 58: cfr. sezione Look over there. |
|
Misleading information | Fornire informazioni non in linea con le effettive funzionalità disponibili, spingendo gli interessati a scegliere impostazioni (meno tutelanti) che non intendono scegliere. |
|
Esempio 3: Durante il processo di registrazione alla piattaforma tramite browser desktop, gli utenti sono invitati ad utilizzare anche l’App. Cliccando sull’icona dell’App gli utenti non vengono indirizzati verso un app store, ma viene chiesto loro di fornire il proprio numero al fine di ricevere un SMS che include il link di rimando alla sezione dell’app store ove scaricare l’App della piattaforma.
Esempio 28: Gli utenti vengono informati del fatto che possono revocare il consenso prestato tramite specifico link. Tuttavia, cliccando su tale link gli utenti vengono indirizzati all’interno di un diverso sito web che spiega che cos’è il consenso e come gestirlo. |
|
Fickle | Lacking hierarchy | Fornire informazioni relative alla protezione dei dati in maniera confusa e senza gerarchia, facendo sì che le informazioni appaiano più volte e siano presentate in diverse modalità, ingenerando confusione negli interessati e rendendoli non in grado di comprendere appieno come vengono trattati i loro dati e come esercitare i diritti riconosciuti. |
|
Esempio 13: le informazioni relative ai diritti che possono essere esercitati dall’utente sono incluse all’interno di diverse sezioni della Privacy Policy. In particolare, sebbene i diversi diritti degli interessati siano riportati all’interno della sezione “Le tue opzioni”, il diritto di presentare un reclamo con le relative modalità di esercizio sono indicati solo all’interno di diverse sezioni successive che trattano argomenti diversi.
Esempio 14: la Privacy Policy non è divisa in sezioni contraddistinte da titoli che ne spiegano il contenuto. Tale documento è composto da 70 pagine. La data di creazione del documento è indicata in una nota a piè di pagina, a pagina 67. Esempio 38: nove su dieci funzionalità sono presentate in un ordine che va dall’opzione più tutelante a quella meno tutelante per l’utente. Tuttavia, lo stesso ordine non viene seguito nel dettagliare la funzionalità relativa alla condivisione della data di compleanno dell’utente con gli altri aderenti alla piattaforma. Esempio 49: la piattaforma è disponibile in diverse versioni (desktop, app, mobile browser). In ogni versione, le impostazioni di data protection sono indicate con un simbolo diverso, ingenerando confusione negli utenti. |
Decontextualising | Inserire un’informazione o una funzionalità di controllo sulla protezione dei dati in una pagina, sezione o area che è fuori contesto, in modo da renderla più difficilmente reperibile, perché in una collocazione poco intuitiva. |
|
Esempio 41: le funzionalità di protezione dei dati sono difficili da trovare in quanto rese disponibili solo accedendo alla sezione della piattaforma denominata “Sicurezza”.
Esempio 42: la modifica delle impostazioni della piattaforma è ostacolata dal fatto che il bottone “Salva modifica” non è visibile da ciascuna pagina. Questo problema non sussiste nelle versioni mobile/app della piattaforma, ingenerando confusione negli utenti che passano dalla versione mobile/app a quella desktop. Esempio 60: la funzionalità che consente di cancellare l’account si trova all’interno della sezione della piattaforma denominata “cancellare una funzione del tuo account”. |
|
Left in the dark | Language discontinuity | Fornire le informazioni sul trattamento dei dati personali in una lingua diversa da quella del paese in cui gli interessati vivono, mentre le informazioni sul servizio sono rese in tale lingua; in questo modo, gli interessati che non padroneggiano la lingua in questione non potranno comprendere con consapevolezza le informazioni sul trattamento. |
|
Esempio 16(B): ogni volta che l’utente intende accedere ad alcune pagine, il contenuto delle stesse è disponibile nella lingua ufficiale del paese ove l’utente si trova, nonostante lo stesso abbia in precedenza selezionato una lingua diversa. |
Conflicting information | Fornire agli interessati pezzi di informazione che in qualche modo sono in conflitto tra loro, ingenerando incertezza e confusione negli interessati. |
|
Esempio 20: nel comunicare un data breach all’interessato, il titolare del trattamento evidenzia le conseguenze negative subite a causa della violazione, senza soffermarsi su quelle che interessano l’interessato.
Esempio 36: all’utente che disattiva la funzionalità di geolocalizzazione per finalità promozionali appare un messaggio che dice “Abbiamo disattivato la funzionalità di geolocalizzazione, ma la tua posizione sarà ancora utilizzata”. |
|
Ambiguous wording or information | Usare termini ambigui e vaghi, generando negli interessati incertezza su come i dati personali saranno trattati o su come esercitare il controllo sulle informazioni coinvolte. |
|
Esempio 15: la Privacy Policy descrive il trattamento in modo vago ed impreciso, utilizzando frasi come “I tuoi dati potrebbero essere utilizzati per migliorare i nostri servizi”. Inoltre, nel riferirsi al diritto di accesso, la Privacy Policy riporta la dicitura che segue “Puoi accedere a parte delle tue informazioni tramite tuo account e rivedere ciò che hai pubblicato sulla piattaforma”.
Esempio 21: nel comunicare all’interessato un data breach che ha comportato l’accesso da parte di terzi non autorizzati a diverse categorie di dati sanitari, il titolare si limita ad indicare che “categorie particolari di dati” sono stati incidentalmente resi pubblici. Esempio 22: nel comunicare un data breachall’interessati, il titolare fornisce dettagli vaghi sui dati impattati, facendo riferimento alle informazioni di cui ai documenti condivisi dall’utente. Esempio 23: nel segnalare la violazione, il titolare non fornisce sufficienti dettagli circa le categorie di interessati coinvolti, riferendosi, ad esempio, a studenti, senza specificare se si tratta di minori o soggetti vulnerabili. Esempio 53: quando gli utenti cancellano il loro account, non sono informati su quanto tempo i loro dati saranno conservati dopo la cancellazione. In particolare, durante l’intero processo di cancellazione agli utenti non viene mai evidenziati che alcuni dati saranno conservati dal gestore della piattaforma. Esempio 54: gli utenti possono cancellare il loro account solo attraverso i link “Vedi” o “Disattiva”. |
[1] I numeri di esempio riportati sono quelli di cui alle Linee Guida, come adottate in data 14 marzo 2022.