Che cosa sono i Dark Pattern? 

Iniziamo dalle definizioni, in particolare da quella del Garante per la Protezione dei dati personali:

"Con la definizione di "modelli di progettazione ingannevoli" vengono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate - e potenzialmente dannose dal punto della privacy del singolo - ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Detti anche Dark Pattern, i modelli di progettazione ingannevoli mirano dunque a influenzare il nostro comportamento e possono ostacolare la capacità di proteggere efficacemente i nostri dati personali."

Insomma i dark pattern sono espedienti, stratagemmi, che alcune aziende utilizzano per condizionare il comportamento degli utenti per indurli a compiere azioni favorevoli per l'azienda ma sfavorevoli per l'utente stesso. Nella maggior parte dei casi sono tecniche di UX design dei siti web o delle app. 

I sei diversi tipi di Dark Pattern 

Il 24 Febbraio 2023 il Comitato Europeo per la Protezione dei dati (EDPB) ha reso pubbliche delle linee guida specifiche sul tema. Queste linee guida, per prima cosa, suddividono i Dark Pattern in sei diversi tipi: 

• Overloading: traducibile con "sovraccarico", si ha quando gli utenti vengono bombardati da una grande quantità di richieste, opzioni, possibilità il cui obiettivo è solo quello di indurli a condividere più dati possibili in maniera più o meno consapevole.
• Skipping: qui lo scopo è influire sulle scelte degli utenti inducendoli a dimenticare, o comunque trascurare, la protezione dei propri dati e la privacy.
• Left in the dark: rientrano in questa definizione quelle interfacce pensate appositamente per nascondere informazioni e strumenti di controllo per gli utenti. Chi naviga su queste interfacce non trova indicazioni chiare su come vengono elaborati i dati e quali forme di controllo, e come, possono esercitare.
• Obstructing: in questo modello li utenti si imbattono in molteplici ostacoli e viene loro impedito di accedere alle informazioni sul trattamento dei dati.
• Fickle: l'interfaccia è volutamente poco chiara o poco trasparente. Gli utenti rischiano di acconsentire a trattamenti dei dati personali senza capire in realtà le vere finalità. Spesso l'utente si trova nella condizione di non riuscire a navigare tra i diversi strumenti di controllo a sua disposizione.
• Stirring: l'interfaccia è organizzata in maniera tale da agitare / sollecitare l'utente, le sue emozioni e il suo umore. 

Andiamo sul concreto…

Concretamente come si presenta un dark pattern? L'esempio più classico è quello delle notifiche di attività. Invitare insistentemente l'utente ad iscriversi ad una newsletter, costruendo un'interfaccia che renda molto facile ed evidente l'iscrizione alla lista rendendo però del tutto impossibile, o comunque assai complessa, la revoca del consenso e la disiscrizione. 

Ancora: indurre l'utente a compilare moduli online come step obbligatorio per visualizzare un determinato contenuto richiedendo una gran mole di dati.

E che dire, invece, dei pulsanti di apertura / chiusura del banner cookie? Nasconderli oppure renderli poco visibili o comprensibili (immaginiamo testo di colore chiaro su sfondo chiaro) così da indurre l'utente a ritenere che quel pulsante non sia funzionante o cliccabile. 

I Dark Pattern sono illegali? Quali limiti impone il GDPR?

Le linee guida EDPB esplicitano che i principi da applicare per valutare la conformità alla protezione dei dati di un interfaccia per l'utente sono definiti dall'art 5 GDPR. Anche perché circa il 55% dei siti web utilizza dark pattern.

Il principio dell'equo trattamento dei dati ovviamente è una chiara base di valutazione su quanto un'interfaccia possa essere, o meno, ingannevole. Il principio di minimizzazione dei dati invece rende del tutto illegittimo raccogliere dati eccessivi rispetto alle finalità del trattamento. Ugualmente, un'interfaccia che non rende semplice e veloce l'individuazione delle informazioni relative alla finalità e alle modalità del trattamento dei dati viola il principio di trasparenza, nonché il dovere di informativa (art. 13 del GDPR). 

Per approfondire > Consenso cookie: il design del sito può portare a violare il GDPR

In ogni caso, sia chiaro, l'EDPB ha circoscritto l'impositività delle indicazioni contenute nelle Linee Guida sui dark Pattern. Il report, cioè, non è una raccomandazione e non necessità di alcuna approvazione da parte delle autorità nazionali. I Garanti nazionali hanno autonomia, potranno valutare caso per caso secondo la normativa nazionale, le linee guida proprie ecc… Sicuramente la casistica elencata riferisce a situazioni non conformi alla normativa e che quindi potrebbero, potenzialmente, sfociare in sanzioni.