No último dia 24 de fevereiro o Comitê Europeu para a Proteção de Dados (em inglês, European Data Protection Board, com a sigla EDPB) divulgou novas diretrizes europeias sobre os padrões obscuros: são as Diretrizes 03/2022 sobre padrões de design enganosos em interfaces de plataformas de mídia social: como reconhecê-los e evitá-los.
A Diretriz estão disponíveis neste link em inglês. Para facilitar um pouco, trago a tradução do Sumário Executivo desta Diretriz para facilitar o seu entendimento. Caso queira as Diretrizes europeias sobre os padrões obscuros em português basta clicar aqui (tradução automática).
Estas Diretrizes oferecem recomendações práticas aos provedores de mídia social como controladores de mídia social, designers e usuários de plataformas de mídia social sobre como avaliar e evitar os chamados “padrões de design enganosos” nas interfaces de mídia social que infringem os requisitos do RGPD. Para este fim, o EDPB recomenda que os controladores façam uso de equipes interdisciplinares, consistindo, entre outros, de designers, encarregados de proteção de dados e tomadores de decisão. É importante notar que a lista de padrões de design enganosos e melhores práticas, assim como os casos de uso, não são exaustivos. Os provedores de mídia social permanecem responsáveis e responsáveis por garantir a conformidade de suas plataformas com o RGPD.
Padrões de design enganosos em interfaces de plataformas de mídia social
No contexto dessas Diretrizes, “padrões de design enganosos” são considerados como interfaces e percursos de usuários implementados em plataformas de mídia social que tentam influenciar os usuários a tomar decisões não intencionais, não intencionais e potencialmente prejudiciais, muitas vezes em direção a uma decisão que é contra os melhores interesses dos usuários e em favor dos interesses das plataformas de mídia social, no que diz respeito ao tratamento de seus dados pessoais. Padrões de design enganosos visam influenciar o comportamento dos usuários e podem dificultar sua capacidade de efetivamente proteger seus dados pessoais e fazer escolhas conscientes. As autoridades de proteção de dados são responsáveis por sancionar o uso de padrões de design enganosos se estes violarem os requisitos do RGPD. Os padrões de design enganosos abordados dentro destas Diretrizes podem ser divididos nas seguintes categorias:
- Sobrecarga significa que os usuários são confrontados com uma avalanche/grande quantidade de solicitações, informações, opções ou possibilidades, a fim de estimulá-los a compartilhar mais dados ou permitir involuntariamente o tratamento de dados pessoais contra as expectativas do titular dos dados. Os três seguintes tipos de padrões de projeto enganosos se enquadram nesta categoria: Alerta contínuo, Labirinto de Privacidade e Opções em Excesso.
- Pular significa projetar a interface ou jornada do usuário de uma forma que os usuários esqueçam ou não pensem em todos ou alguns dos aspectos da proteção de dados. Os dois tipos de padrões de design enganosos a seguir se encaixam nesta categoria: Aconchego Enganoso e Olhe para lá.
- A Agitação afeta a escolha que os usuários fariam ao apelar para suas emoções ou ao usar empurrões visuais. Os dois tipos de padrões de design enganosos a seguir se encaixam nesta categoria: Direção Emocional e Escondido à vista de todos.
- Obstruir significa dificultar ou bloquear os usuários em seu processo de se informar ou gerenciar seus dados, tornando a ação difícil ou impossível de ser realizada.
Os três seguintes tipos de padrões de design enganosos se enquadram nesta categoria: Beco sem saída, Ação mais longa do que o necessário e Ação enganosa. - Fickle significa que o design da interface é inconsistente e não claro, tornando difícil para o usuário navegar pelas diferentes ferramentas de controle de proteção de dados e entender o propósito do tratamento. Os quatro tipos de padrões de design enganosos a seguir se encaixam nesta categoria: Falta de hierarquia, Descontextualização, Interface Inconsistente e Descontinuidade de Linguagem.
- Deixado no escuro significa que uma interface é projetada de forma a esconder informações ou ferramentas de controle de proteção de dados ou para deixar os usuários inseguros sobre como seus dados são tratados e que tipo de controle eles podem ter sobre o exercício de seus direitos. Os dois seguintes tipos de padrões de design enganosos se enquadram nesta categoria: Informações conflitantes e Palavras ou informações ambíguas.
Explicações sobre estas categorias podem ser vistas neste link.
Disposições relevantes do RGPD para avaliações de padrões enganosos de projeto
Com relação à conformidade da proteção de dados de interfaces de usuário de aplicações online dentro do setor de mídia social, os princípios de proteção de dados aplicáveis são estabelecidos dentro do Artigo 5 do RGPD. O princípio do tratamento justo estabelecido no Artigo 5(1)(a) do RGPD serve como um ponto de partida para avaliar se um padrão de design realmente constitui um “padrão de design enganoso”. Outros princípios que desempenham um papel nesta avaliação são os da transparência, minimização de dados e responsabilidade sob o Artigo 5(1)(a), (c) e (2) do RGPD, bem como, em alguns casos, a limitação de propósito sob o Artigo 5(1)(b) do RGPD. Em outros casos, a avaliação legal também é baseada em condições de consentimento sob os Artigos 4(11) e 7 do RGPD ou outras obrigações específicas, tais como o Artigo 12 do RGPD. Evidentemente, no contexto dos direitos do titular dos dados, o terceiro capítulo do RGPD também precisa ser levado em consideração. Finalmente, os requisitos de privacy by design e by default sob o Artigo 25 do RGPD têm um papel vital, pois aplicá-los antes de lançar um desenho de interface ajudaria os provedores de mídia social a evitar padrões de desenho enganosos em primeiro lugar.
Exemplos de padrões de design enganosos em casos de uso do ciclo de vida de uma conta de mídia social
As disposições do RGPD se aplicam a todo o ciclo de tratamento de dados pessoais como parte da operação de plataformas de mídia social, ou seja, a todo o ciclo de vida de uma conta de usuário. O EDPB dá exemplos concretos de padrões de design enganosos para os seguintes diferentes casos de uso dentro deste ciclo de vida: a inscrição, ou seja, o processo de registro; os casos de uso de informações referentes à notificação de privacidade, controle conjunto e comunicações de violação de dados; consentimento e gerenciamento de proteção de dados; exercício dos direitos do titular dos dados durante o uso das mídias sociais; e, finalmente, o fechamento de uma conta de mídia social. As conexões com as provisões do RGPD são explicadas de duas maneiras: primeiro, cada caso de uso explica com mais detalhes quais das provisões acima mencionadas do RGPD são particularmente relevantes para ele. Em segundo lugar, os parágrafos que envolvem os exemplos de padrões de design enganosos explicam como estes infringem o RGPD.
Recomendações de melhores práticas
Além dos exemplos de padrões de design enganosos, as Diretrizes também apresentam as melhores práticas no final de cada caso de uso, assim como no Anexo II destas Diretrizes. Estas contêm recomendações específicas para projetar interfaces de usuário que facilitam a implementação efetiva do RGPD.
Lista de verificação de categorias de padrões de design enganosos
Uma lista de verificação de categorias de padrões de design enganosos pode ser encontrada no Anexo I destas Diretrizes. Ela fornece uma visão geral das categorias acima e dos tipos de padrões de design enganosos, juntamente com uma lista de exemplos para cada padrão que são mencionados nos casos de uso. Alguns leitores podem achar útil usar a lista de verificação como um ponto de partida para descobrir estas Diretrizes.
O que você acha das Diretrizes europeias sobre os padrões obscuros? Está preparado para aplicar estas orientações como “boas práticas” no caso brasileiro?
Não se esqueça de baixar as Diretrizes europeias sobre os padrões obscuros em português (com tradução automática) clicando neste link.
Vamos que vamos e #colanopapai!
