L’European Data Protection Board ha pubblicato le nuove linee guida sui social network

Queste linee guida offrono raccomandazioni pratiche ai fornitori di social media in qualità di controllori, nonché ai designer ed ovviamente agli utenti delle piattaforme su come valutare e evitare i cosiddetti “modelli di progettazione ingannevoli” nelle interfacce che si pongono in aperto contrasto con i requisiti previsti dal GDPR. A tal fine, l’EDPB raccomanda che i controllori facciano uso di team interdisciplinari, composti, tra gli altri, da designer, responsabili della protezione dei dati e responsabili delle decisioni. È importante notare che l’elenco dei modelli di progettazione ingannevoli e delle migliori pratiche, così come i casi d’uso, non sono esaustivi. I fornitori di social media rimangono responsabili e responsabili per garantire la conformità al GDPR delle loro piattaforme.

I modelli di progettazione ingannevoli nelle interfacce delle piattaforme di social media, nel contesto delle linee guida di cui si parla, sono considerati come interfacce e/o percorsi utente implementati su piattaforme di social media che cercano di influenzare gli utenti a prendere decisioni non intenzionali, non volute e potenzialmente dannose, spesso verso una decisione che è contro gli interessi degli utenti e a favore degli interessi delle piattaforme di social media, per quanto riguarda il trattamento dei loro dati personali. I modelli di progettazione ingannevoli mirano ad influenzare il comportamento degli utenti e possono ostacolare la loro capacità di proteggere efficacemente i loro dati personali e di fare scelte consapevoli. Le autorità di protezione dei dati sono responsabili di sanzionare l’uso di modelli di progettazione ingannevoli se questi violano i requisiti del GDPR. I modelli di progettazione ingannevoli descritti delle nuove linee guida 03/22 possono essere divisi nelle seguenti categorie:

Overloading significa che gli utenti si trovano di fronte ad una grande quantità di richieste, informazioni, opzioni o possibilità al fine di sollecitarli a condividere più dati o permettere involontariamente l’elaborazione dei dati personali in contrasto con le aspettative del soggetto che fornisce i dati. I seguenti tre tipi di modelli di progettazione ingannevoli rientrano in questa categoria: Sollecitazione continua, Labirinto della privacy e Troppa scelta 

Skipping significa progettare l’interfaccia o il percorso utente in modo che gli utenti dimentichino o non pensino a tutti o ad alcuni degli aspetti legati alla protezione dei dati. I seguenti due tipi di modelli di progettazione ingannevoli rientrano in questa categoria: Inganno intimo e Guardare altrove 

Stirring influisce sulla scelta che gli utenti farebbero appellandosi alle loro emozioni o utilizzando suggerimenti visivi. I seguenti due tipi di modelli di progettazione ingannevoli rientrano in questa categoria: Orientamento emotivo e spinta visiva

Obstructing significa ostacolare o bloccare gli utenti nel loro processo di informazione o di gestione dei loro dati, rendendo l’azione difficile o impossibile da realizzare. Le seguenti tre tipologie di design ingannevole rientrano in questa categoria: strada senza uscita, più lungo del necessario e azione fuorviante.

Fickle significa che il design dell’interfaccia è inconsistente e non chiaro, rendendo difficile per l’utente navigare tra gli strumenti di controllo della protezione dei dati e capire lo scopo del trattamento. Le seguenti quattro tipologie di design ingannevole rientrano in questa categoria: mancanza di gerarchia, decontestualizzazione, interfaccia inconsistente e discontinuità del linguaggio.

Left in the Dark significa che un’interfaccia è progettata in modo da nascondere informazioni o strumenti di controllo della protezione dei dati o per lasciare gli utenti incerti su come i loro dati vengono elaborati e che tipo di controllo possono avere su di essi riguardo all’esercizio dei loro diritti. Le seguenti due tipologie di design ingannevole rientrano in questa categoria: informazioni contrastanti e formulazioni o informazioni ambigue.

Le disposizioni pertinenti al GDPR per le valutazioni di design ingannevole riguardano i principi di protezione dei dati previsti dall’articolo 5 del GDPR. Il principio di trattamento leale enunciato all’articolo 5 del GDPR serve come punto di partenza per valutare se un design pattern costituisca effettivamente un “design ingannevole”. Altri principi che giocano un ruolo in questa valutazione sono quelli di trasparenza, minimizzazione dei dati e responsabilità previsti sempre all’articolo 5 del GDPR, nonché, in alcuni casi, la limitazione della finalità prevista dal medesimo articolo. In altri casi, la valutazione giuridica si basa anche su condizioni di consenso previste dagli articoli 4 e 7 o su altre obbligazioni specifiche, come l’articolo 12. Evidentemente, nel contesto dei diritti degli interessati, è necessario prendere in considerazione anche il terzo capitolo del GDPR. Infine, i requisiti di protezione dei dati mediante design e impostazione predefinita previsti all’articolo 25 svolgono un ruolo vitale, poiché l’applicazione di tali requisiti prima del lancio di un design di interfaccia aiuterebbe i fornitori di social media a evitare design ingannevoli in primo luogo.

I modelli di design ingannevole devono essere valutati in tutto il ciclo di vita di un account sui social media, tra cui la registrazione, la comunicazione della privacy, la gestione del consenso e della protezione dei dati, l’esercizio dei diritti degli interessati e la chiusura di un account. Le nuove linee guida in materia presentano anche le migliori pratiche alla fine di ogni caso d’uso, queste contengono raccomandazioni specifiche per la progettazione di interfacce utente che agevolino l’effettiva attuazione del GDPR. Inoltre, viene fornita anche una checklist delle categorie di modelli di design fuorvianti con una panoramica delle categorie sopra menzionate e dei tipi di modelli di design fuorvianti, insieme a un elenco degli esempi per ogni modello menzionato nei casi d’uso. 

Alla luce delle Linee Guida 03/2022, le autorità per la protezione dei dati europee potranno quindi sanzionare l’uso di modelli di progettazione ingannevoli nei casi in cui non rispettano il principio di “trasparenza” richiesto dall’art.5 del GDPR e violano le disposizioni del Regolamento europeo sulla protezione dei dati personali.