Seleziona una pagina

GDPR e privacy: perché utilizzare Dark patterns viola il GDPR?

Come le linee guida dell’EDPB si applicano anche ai siti web

Da Microteam | 4 Maggio 2023

Cosa sono i dark patterns e perché utilizzarli con lo scopo di ottenere il consenso degli utenti viola gli artt. 5, 7 e 25 del GDPR?

Il Comitato Europeo per la protezione dei dati personali (EDPB) ha emesso le linee guida n. 3/2022 per fornire raccomandazioni ai designer sull’uso dei dark pattern nei social media quindi, perché dovrebbero riguardare anche i siti web?

Adesso lo scopriamo insieme partendo con il rispondere alla prima domanda.

Cosa sono i dark patterns?

Un Dark pattern è una manipolazione grafica, di interfaccia o esperienza di navigazione che induce l’utente a compiere delle azioni piuttosto che altre, prendere decisioni non consapevoli e potenzialmente dannose.

Questi dark patterns si basano tra le altre cose anche su tecniche di neuromarketing, ma applicate con l’unico scopo di manipolare malevolmente l’utente.

 

Cos’è il neuromarketing?

Il neuromarketing è una disciplina che deriva dall’applicazione delle conoscenze neuroscientifiche al marketing, con lo scopo di analizzare i processi irrazionali nella mente dei consumatori che influiscono sulle loro decisioni di acquisto e sul livello di coinvolgimento emotivo nei confronti di un brand.

 

Se i dark patterns si basano sul neuromarketing allora il neuromarketing non è etico?

Il nostro cervello è costantemente bombardato da stimoli di ogni tipo, questo ci porta ad avere un livello di attenzione sempre più basso. Avere una parziale conoscenza di come i consumatori possano reagire in relazione ad un certo tipo di stimolo e utilizzare questa conoscenza come strumento di marketing non significa mancare di trasparenza con il preciso scopo di trarre in inganno o truffare le persone.

Analizziamo un paio di esempi per capire la differenza.

 

Esempio 1: Il negozio fisico
Avete mai visto un pacchetto di gallette di riso o una bottiglia di pomodoro alla cassa del supermercato? In genere è pieno di caramelle, patatine, cioccolatini o simili. Se siamo di fretta, o a dieta o soprattutto con bambini al seguito, evitiamo proprio di entrare in certi reparti, ma se quello in fila prima di noi ci sta mettendo un sacco di tempo a riempire i sacchetti finiamo puntualmente con l’aggiungere qualcosa sul nastro.

Ecco questa è un’applicazione del neuromarketing per incentivare l’acquisto compulsivo dell’ultimo minuto. Statisticamente è più probabile che ti venga un’irresistibile voglia di un pezzo di cioccolato più che di un pacchetto di crackers.

Ti vengono dati degli stimoli, ma non c’è nessuno lì fisicamente che ti obbliga a prendere l’ennesimo pacchetto di orsetti gommosi. Potresti anche evitare.
Se poi quelle cose non ti piacciono, averli sott’occhio non ti fa nessun effetto. Anzi magari avresti preferito quella bottiglia di pomodoro che ti eri dimenticato di prendere.

 

Esempio 2: Il negozio online
Stai acquistando un paio di scarpe, ma non raggiungi il minimo d’ordine per le spese di spedizione gratuite, probabilmente andresti a cercare qualcos’altro per non doverle pagare. Lo facciamo tutti, soprattutto se manca poco per raggiungere la soglia.

Questo ti richiederebbe del tempo, ma sei in ritardo per un appuntamento e le scarpe che ti piacciono tanto sono in offerta solo per oggi (offerte a tempo creano generalmente urgenza).
Se cercare qualcos’altro ti impiegasse troppo tempo, magari rinunceresti e pagheresti le spese di spedizione controvoglia perché la fretta e lo sconto sono sufficienti a farti desistere.

Se però ti venisse proposto direttamente qualche articolo correlato, magari una cintura, un paio di jeans o una t-shirt con tanto di modella/modello che li indossa abbinati al paio di scarpe che hai appena messo nel carrello?
Forse non acquisteresti niente di quanto proposto, ma magari l’abbinamento è perfettamente di tuo gusto e finiresti con il superare abbondantemente il minimo d’ordine.

Il commerciante in base alle vendite precedenti ha visto che spesso quel modello di scarpe viene acquistato in abbinamento ad almeno uno di quei prodotti, ma non è detto che a te nello specifico piacciano.

Anche in questo esempio ricevi degli stimoli che ti potrebbero invogliare a comprare di più, ma non è una manipolazione malevola. Se gli articoli proposti non ti piacciono, non li compri.

Diverso è se fossi obbligato ad acquistare prodotti aggiuntivi senza nessun valido motivo, magari ti vengono messi direttamente nel carrello senza che tu te ne accorga. In questo caso non ti stanno invogliando ad acquistare, ma ti stanno semplicemente imbrogliando con un dark pattern.

Per riconoscere queste tecniche non è necessario un Master in Neuroscienze, persino il consumatore più sprovveduto si rende conto quando riceve alcuni di questi stimoli. I due esempi qui sopra lo rendono piuttosto ovvio. Forse non sappiamo il preciso termine tecnico, ma se ci fermassimo un momento a pensare ci verrebbero in mente altre mille situazioni del genere.

 

Ma quindi cosa c’entrano i dark patterns con il GDPR?

I dark patterns non vengono utilizzati semplicemente per indurre ad acquistare di più con l’inganno, ma anche a prendere decisioni che mettono a rischio i nostri dati personali e quindi la nostra privacy.

Torniamo all’e-commerce di abbigliamento del secondo esempio. Se dopo il primo acquisto iniziassero a bombardarti di newsletter non richieste, sulla base di un consenso che non hai prestato volontariamente, ma che ti è stato estorto tramite un dark pattern, la prima cosa che faresti sarebbe disiscriverti e la seconda cercare un’azienda concorrente per il prossimo acquisto.

Secondo il “Consumer Privacy Survey 2022” di Cisco, il 76% dei consumatori non comprerebbe da un’azienda di cui non si fida riguardo al rispetto della privacy.

Se invece, quell’azienda utilizzasse in modo etico ciò che conosce dei suoi clienti per offrirti un servizio migliore e rendere più efficace la sua comunicazione e anche il percorso di acquisto allora, tu avrai trovato un’azienda di cui fidarti e loro avranno acquisito un cliente affezionato al brand.

 

Nel GDPR si parla di dark patterns?

Non specificatamente, ma il Comitato Europeo per la protezione dei dati personali (EDPB) ha emesso le linee guida n. 3/2022 per fornire raccomandazioni ai designer sull’uso dei dark pattern nei social media per evitare di violare il GDPR.

Nonostante queste linee guida siano specificatamente rivolte ai social è facile applicarle anche ad altri strumenti come i siti web. Dopotutto il testo del Regolamento UE è uguale per tutti. Alcuni articoli possono non riguardare specificatamente tutti, ma i principi fondamentali su cui si basa il GDPR non fanno eccezioni.

L’articolo 5 dice che i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, “raccolti per finalità determinate, esplicite e legittime” e che il titolare ha la responsabilità di provarlo.

L’articolo 7 impone che se per il trattamento è necessario il consenso dell’interessato questo deve essere richiesto “in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”, che “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.” e che “Il consenso è revocato con la stessa facilità con cui è accordato.”.

Con l’articolo 25 “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.”.

Questi sono solo alcuni degli articoli del GDPR che si andrebbero a violare utilizzando dei dark patterns per ottenere il consenso per un trattamento di fatto non lecito dei dati degli interessati.

 

Quali sono i dark patterns identificati dalle Linee Guida EDPB

Le categorie principali di dark patterns individuate sono:

  • dark patterns “overloading”:
  • dark patterns “skipping
  • dark patterns “stirring
  • dark patterns “hindering
  • dark patterns “fickle
  • dark patterns “left in the dark

I dark patterns di tipo “overloading” sottopongono l’utente ad un sovraccarico di opzioni, richieste ripetute e insistenti, procedimenti confusi così che l’interessato finisce per fornire più dati di quanti vorrebbe.

I dark patterns di tipo “skipping” inducono l’utente a saltare dei passaggi di verifica delle preferenze, preselezionando delle opzioni non necessarie, cercando di spostare l’attenzione dell’interessato su altri elementi.

I dark patterns di tipo “stirring” influiscono sulle emozioni dell’utente tramite l’impatto visivo delle interfacce, mettendo in evidenza l’opzione che fa fornire all’interessato più dati personali possibili o inducendolo a scegliere sottolineando gli aspetti negativi delle opzioni più “restrittive”.

I dark patterns di tipo “hindering” mirano ad ostacolare l’utente tramite “finti” malfunzionamenti ad esempio link che visivamente non fanno succedere niente, oppure rendendo la procedura di scelta e informazione così lunga e confusa che l’interessato di fatto non sa cosa fare e fornisce dati personali non necessari tramite informazioni ingannevoli.

I dark patterns di tipo “fickle” utilizzano il design per rendere l’interfaccia difficilmente consultabile, nascondendo le informazioni e inserendo opzioni fuori contesto per disorientare l’utente.

I dark patterns di tipo “left in the dark” forniscono informazioni ambigue utilizzando un linguaggio troppo tecnico, con termini non tradotti nella lingua dell’utente oppure, troppo vaghe e mostrano un’interfaccia grafica che non rende chiaro se le impostazioni siano attive o no.

Hai dubbi o necessiti di una consulenza dedicata?

Vedi rendere conforme il tuo sito web alla normativa privacy e cookie?

Vuoi adeguare i trattamenti di dati personali della tua azienda, il tuo studio professionale o attività commerciale?

Contattaci oggi stesso a privacy@microteam.it o compilando il form nella pagina contatti

Dal 2000 Microteam aiuta aziende, professionisti e commercianti che trattano dati personali a farlo in conformità alle principali normative nazionali ed estere.
Ci occupiamo della visibilità, sicurezza e aggiornamento del tuo sito web.

Se hai trovato interessante questo articolo, condividilo con la tua rete di contatti.

Sei sicuro che il tuo sito web rispetti il GDPR e le altre normative privacy / cookie internazionali?

Microteam Privacy & Cookie ComplianceScopri come verifichiamo e adeguiamo il tuo sito, con l'attestazione di un privacy consultant indipendente, anche in 24 h.

[clicca qui]

Sei sicuro che il tuo sito web rispetti il GDPR e le altre normative privacy / cookie internazionali?