Le piattaforme di social media presentano molteplici possibilità d’interazione e, di conseguenza, più occasioni per il titolare di trattare i dati dei soggetti interessati. È quindi importante che l’interessato possa esprimere pienamente le proprie preferenze in relazione ai dati personali.
In rete, tale attività è mediata dalle interfacce, ossia l’espressione grafica dell’architettura informatica che costituisce la piattaforma e il mezzo di comunicazione tra l’utente e quest’ultima. Si tratta di una componente che influenza l’esperienza di navigazione, tant’è che può essere strutturata appositamente per suggerire determinati comportamenti, involontari, potenzialmente dannosi e per lo più rivolti a soddisfare gli interessi della piattaforma.
È il caso dei c.d. deceptive design patterns, tema su cui l’EDPB è recentemente ritornata con la versione 2.0 delle “Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces”, adottata il 14 febbraio 2023. Si tratta, appunto, di configurazioni grafiche e contenutistiche dell’interfaccia che, generalmente, sfruttano i bias comportamentali dell’utente per influenzarne il comportamento e le preferenze, tentando in questo caso di incentivare un’inconsapevole condivisione di dati personali.
L’Autorità suddivide i patterns in base al potenziale effetto sul comportamento dell’utente, nonché alla loro modalità di espressione. Si hanno allora tecniche che mirano a sovraccaricare l’interessato con un ampio ventaglio di opzioni per indurlo a condividere più dati, elementi di design studiati per influenzarlo emotivamente in tal senso e user journeys strutturati in modo da nascondere gli strumenti a disposizione per l’esercizio dei diritti dell’interessato o da renderne difficoltoso l’utilizzo.
Siffatte strategie confliggono con alcune previsioni del GDPR, individuate dall’EDPB nei principi di trasparenza del trattamento, di minimizzazione dei dati, di accountability, nonché di privacy by design e by default. Degno di nota è anche l’impatto sulla legittimità del consenso al trattamento, la cui effettiva libertà può a ragione essere oggetto d’indagine.
Infine, il Board offre una rassegna di use cases. Per ogni fase del ciclo di vita di un account social è presentata un’analisi delle previsioni normative violate e dei design patterns coinvolti, oltre a una rassegna di best practices rivolta agli operatori.
L’Autorità adotta un approccio pratico, che può fornire supporto all’attività dell’interprete, ma anche procurare all’interessato uno strumento in più per coltivare una maggiore consapevolezza del fenomeno.
Più in generale, le Linee guida in oggetto possono offrire spunti per una più completa protezione dei dati degli interessati all’interno di una società sempre più digitalizzata, in cui la quantità e la qualità degli input ricevuti dall’utente spesso gli richiedono di ricorrere a decisioni euristiche, non sempre corrette. Contesto, questo, in cui è importante che i principi di privacy by design e by default trovino piena applicazione.
La peculiarità dell’apporto dell’EDPB risiede, in particolare, nel contributo che può dare alla realizzazione concreta delle previsioni di cui all’articolo 25 del GDPR. Laddove la moltiplicazione delle possibili interazioni, della quantità e della granularità dei dati che l’utente può fornire incontra i limiti cognitivi propri dell’essere umano, è importante che l’individuo trovi tutela non solo negli strumenti giuridici di cui può disporre su propria iniziativa, ma anche in prescrizioni normative che incidano sui mezzi del trattamento del titolare. In sostanza, le minacce e le asimmetrie di potere derivanti dalle dinamiche del mondo digitale e dai modelli di business della c.d. economia dell’attenzione possono necessitare di un correttivo che incida sulla conformazione degli spazi virtuali in cui si muove l’interessato, nell’ottica di implementarvi quelle misure tecniche e organizzative volte a proteggere i diritti degli utenti sui propri dati. Le best practices possono allora mettere in rapporto le norme e le soluzioni tecniche degli operatori, in modo da realizzare tramite queste ultime i principi posti a tutela dell’individuo. Come affermato dal CNIL nel report “Shaping choices in the digital world”, “the interface is the first object of mediation between the law, rights and individuals”.
Alle conseguenze derivanti dalla restrizione dello scopo di applicazione delle Linee guida si accompagna però l’esclusione di altri ambiti d’indagine in cui i deceptive design patterns sono particolarmente diffusi: le piattaforme di e-commerce ne sono un esempio. Sarebbero dunque auspicabili interventi settoriali ulteriori.
Inoltre, sarà opportuno prendere in considerazione anche le interfacce sviluppate per nuove tipologie di user experience, come il metaverso, in cui i patterns ingannevoli potrebbero presentarsi in forme ancora più invasive.
In conclusione, nel mondo dei social media, e non solo, l’infrastruttura informatica del titolare è un elemento chiave per la tutela dei dati degli individui. È opportuno che la libertà di scelta di cui il primo gode in sede di design dell’interfaccia sia bilanciata con il diritto alla protezione dei dati degli utenti.
Se i dati devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato”, è importante che i principi di privacy by design e by default trovino piena applicazione in un contesto nel quale i mezzi di cui il titolare si avvale conseguono in un trattamento non trasparente, come nel caso dei deceptive design patterns. In questo modo, è possibile correggere alcune delle asimmetrie nel rapporto tra titolare e utente che ostacolano quest’ultimo nell’esercizio di un controllo effettivo sui propri dati. Le Linee guida possono essere punti di riferimento pratici per incorporare tali principi direttamente nelle piattaforme, così come strumenti interpretativi per identificare e sanzionare le condotte ingannevoli.