Precisamos falar sobre os padrões obscuros

A LGPD está aí e todos se preocupam com princípios, bases legais e medidas de segurança técnicas e administrativas (ou assim a gente espera). Mas tem um ponto que é fundamental para o qual nem todos ainda dão a devida atenção. É por isso que precisamos falar sobre os padrões obscuros.

Como já indiquei neste outro texto, “padrões de design enganosos [= padrões obscuros] são truques usados em sites e aplicativos que fazem você fazer coisas que não queria, como comprar ou se inscrever em algo. O prejuízo é seu, enquanto a empresa se beneficia do resultado.”

A CNIL (Autoridade de Proteção de Dados da França), por meio do LINC (Laboratoire d’Innovation Numérique de la CNIL), divulgou ainda em 2019 um texto referente à dificuldade de criar uma regulamentação para os padrões obscuros. Isto porque estes padrões estão no limite entre o legal e o ilegal, sendo difícil, às vezes, punir as empresas que os utilizam.

O texto, bastante relevante para o profissional de proteção de dados, está traduzido logo abaixo.

---

Padrões obscuros: que grade de leitura para regulá-los?

À medida que os projetos enganosos chegam cada vez mais à atenção do público, surge a questão de sua possível regulamentação, embora não seja simples demonstrar a natureza inerentemente manipuladora de um elemento de interface.

O lado negro

Nosso último IP Paper 6: A forma das escolhas explorou a questão do design do ponto de vista da proteção de dados pessoais e da privacidade. Esta exploração não poderia deixar de ter em conta os padrões obscuros ou desenhos manipuladores: elementos e mecanismos colocados em interfaces para influenciar as decisões dos usuários em uma direção que eles não necessariamente escolheriam se fossem confrontados com uma interface justa e transparente.

A manipulação de indivíduos é recorrente em serviços e produtos digitais, especialmente na coleta de dados pessoais. Muitas vezes estas práticas são baseadas em desenhos enganosos (padrões obscuros), destinados a influenciar o consentimento, confundindo o indivíduo, criando fricção no uso ou empurrando o indivíduo para compartilhar mais dados do que o necessário.

Estas observações, apresentadas em detalhes no livreto, estão resumidas no visual abaixo (imagem com texto em francês).

Um legado da sociedade de consumo

A questão do design enganoso não é exclusiva da proteção e privacidade dos dados. De fato, essas práticas vieram inicialmente do mundo da publicidade, o que as colocou em prática para convencer os indivíduos a consumir mais. A chegada da Internet permitiu que estas práticas fossem adaptadas a um novo meio, reforçando-as e massificando-as no processo. No campo da proteção e dos direitos dos consumidores, a questão das práticas desleais já é levada em consideração em vários textos legislativos, em particular na Diretiva sobre práticas comerciais desleais entre empresas e consumidores (2005/29/CE) na Europa ou no 15 U.S.C Code § 45 – Métodos de concorrência desleal ilegais; prevenção pela Comissão nos Estados Unidos.

A Diretiva Europeia se concentra na relação entre uma empresa e seus consumidores. Ela proíbe o uso de práticas comerciais desleais que tenham um impacto significativo sobre o comportamento econômico de um indivíduo. Estas práticas incluem, entre outras, aquelas que dão informações falsas, que podem ser consideradas enganosas, ou omitindo conscientemente informar os consumidores sobre as características do produto.

A lei norte-americana regula as práticas comerciais desleais em todo o mercado doméstico. Estreitamente ligado à lei antitruste, visa proibir qualquer prática que tenha um impacto significativo sobre a concorrência e que possa levar a um monopólio. Esta lógica, portanto, visa práticas que influenciam maciçamente o comportamento dos consumidores americanos a ponto de forçá-los a consumir apenas um produto.

No contexto da proteção de dados, o uso de desenhos manipuladores por atores digitais levanta primeiramente à questão da justiça do serviço em relação a seus usuários. Também levanta a questão da validade da coleta de consentimento: o consentimento pode ser considerado livre, específico, informado e inequívoco quando tiver sido coletado usando um projeto potencialmente abusivo ou enganoso? Em nosso IP Paper 6, especificamos que “pode ser considerado que o projeto abusivo ou enganoso (ver acima) dos serviços digitais pode dar origem a vários vícios de consentimento, de natureza suficientemente objetiva e demonstrável para torná-lo inválido”.

A qualificação desses desenhos e práticas levanta uma grande questão: quando um desenho pode ser considerado verdadeiramente manipulador? Qual é a linha entre a persuasão “aceitável” e a manipulação pura? Quais são os elementos que podem demonstrar a natureza manipulativa de um projeto?

Estas questões são tanto mais atuais que, nos Estados Unidos, o Senador Mark R. Warner apresentou um projeto de lei em abril de 2019 chamado DETOUR Act, destinado especialmente às principais plataformas web, a fim de regular as práticas de teste A/B e proibir projetos manipuladores que procuram induzir o uso compulsivo do serviço ou produto, particularmente entre pessoas com menos de 13 anos de idade.

Uma tipologia inicial de padrões obscuros

Algumas respostas podem ser encontradas em um estudo recente da Universidade de Princeton sobre padrões obscuros, mesmo que este estudo tenha se concentrado em sites de comércio eletrônico. Em particular, este estudo fornece um método, ferramentas e base de conhecimento para identificar famílias de padrões obscuros, bem como uma grade para analisar projetos manipuladores, por exemplo, isolando os meios utilizados para implementá-los (como esconder informações) ou o efeito esperado sobre a pessoa.

O estudo analisou programmaticamente 53.000 páginas de cerca de 11.000 sites de comércio eletrônico, o que nos permitiu identificar 1.841 instâncias de padrões obscuros, divididos em 15 tipos e 7 categorias. Estas práticas procurariam frustrar, manipular, ofender ou coagir o usuário, causando potenciais perdas financeiras, fazendo com que o usuário compartilhe mais dados do que o necessário ou criando um comportamento compulsivo ou viciante. Os padrões observados foram categorizados da seguinte forma:

• Espionagem: padrões que procuram deturpar a ação do usuário, ocultar ou atrasar a exibição de informações que o usuário se oporia se elas lhe fossem trazidas de forma transparente;
• Criando um senso de urgência: padrões impondo um prazo para uma venda ou promoção para criar um senso de urgência no usuário e acelerar sua tomada de decisão e compra;
• Desvio: padrões que utilizam elementos visuais, de linguagem ou reações emocionais para empurrar os usuários para uma escolha em vez de outra;
• Prova social: padrões que dependem da tendência conformista dos indivíduos para acelerar a tomada de decisões e a compra;
• Escassez: padrões que sinalizam a quantidade limitada ou a alta demanda por um produto para aumentar seu valor percebido e sua desejabilidade;
• Obstruir: padrões que tornam certas ações mais difíceis do que o necessário para desencorajar o usuário de realizá-las;
• Ação forçada: padrões que forçam o usuário a realizar uma ação adicional a fim de completar a tarefa inicial.

Da proteção ao consumidor à proteção de dados

Comparando estas categorias definidas pelo estudo de Princeton, no contexto das vendas online, com aquelas definidas no IP Paper 6, no contexto da proteção de dados, algumas semelhanças e diferenças notáveis podem ser observadas. Em primeiro lugar, padrões obscuros baseados em lógica coercitiva são compartilhados em ambos os casos, a fim de desencorajar, ou mesmo impedir, o usuário de realizar certas ações que iriam contra os interesses econômicos diretos do serviço, tais como fechar uma assinatura ou ajustar configurações de privacidade. Técnicas baseadas no FOMO (medo de faltar) também são compartilhadas, principalmente nas categorias de urgência, pressão social e escassez. Deve-se notar que no domínio digital, estas práticas visam, em particular, captar a atenção dos usuários a fim de fazê-los utilizar um serviço o máximo possível e, consequentemente, gerar dados. Outra tática, a de “seduzir” o usuário, também é implementada por estes serviços para incentivar o compartilhamento de dados. Eles podem apresentar os benefícios do compartilhamento de dados, por exemplo, para melhorar a experiência do usuário por meio da personalização do conteúdo, ou prometer total confidencialidade no compartilhamento (“é só entre nós”), que é usado em particular nas redes sociais para completar um perfil.

A preferência por certas táticas pode ser explicada pela diferença na percepção do indivíduo entre compartilhar dados e comprar um produto ou serviço. O investimento (financeiro/monetário) sentido não é da mesma natureza e leva os indivíduos a tomarem decisões baseadas em diferentes mecanismos, mesmo que o objetivo final seja, em geral, a obtenção da melhor oferta. No caso do compartilhamento de dados pessoais, o indivíduo não vê nenhuma transação monetária, portanto, aparentemente está livre de seu ponto de vista. A promessa de melhor funcionalidade, ou seja, melhor valor de uso, em troca de seus dados, parece ser um bom negócio. Isto explica o uso de táticas de sedução para convencer o usuário a compartilhar seus dados, mesmo que nem sempre seja estritamente necessário para a prestação de um serviço.

Uma tática de sedução aplicada à compra de um produto resultará mais em um preço baixo do que na qualidade do produto ou na promessa de características adicionais, o que o tornaria menos eficaz para empurrar o ato de compra. No caso da compra de um produto ou serviço, a pessoa o vê como um investimento financeiro e tenderá a minimizar os gastos ou favorecer bons negócios. O uso de padrões obscuros que criam um senso de urgência ou escassez acelerará o processo de decisão de compra da pessoa para evitar que ela pense “demais” sobre o preço que pagará e as consequências a longo prazo de sua compra. Táticas de urgência ou de escassez para incentivar o compartilhamento de informações não são necessariamente eficazes porque os serviços envolvidos são, por sua própria natureza, intangíveis e infinitos e, portanto, não se prestam a este tipo de abordagem de incentivo.

Embora estas tipologias continuem exploratórias, descrever e analisar os projetos manipuladores existentes é um primeiro passo para pensar sobre a regulamentação destas práticas. Também é necessário levar em consideração outros elementos, como o impacto real desses padrões sombrios sobre as pessoas e suas liberdades.

---

Você que é profissional de proteção de dados acredita que precisamos falar sobre os padrões obscuros ou isto é irrelevante para a área? Deixe abaixo seus comentários!