GHIDUL 3/2022 privind Modele întunecate în interfețele platformei de social media: Cum să le recunoașteți și să le evitați
De Mugurel Olariu, RPD protectie date
La data de 14 Martie 2022, CEPD a adoptat GHIDUL 3/2022 privind Modele întunecate în interfețele platformei de social media: Cum să le recunoașteți și să le evitați*1, instrument aflat în cosultare publică până la data de 2 Mai 2022.
Ghidul oferă recomandări practice designerilor și utilizatorilor platformelor de social media cu privire la modul de evaluare și evitare a așa-numitelor „modele întunecate” în interfețele de social media care încalcă cerințele RGPD.
Trebuie să rețineți că lista modelelor întunecate și a celor mai bune practici, precum și cazurile de utilizare, nu sunt exhaustive, având doar caracter exemplificativ.
Mai precizăm și faptul că, furnizorii de rețele sociale rămân responsabili și răspunzători pentru asigurarea conformității cu RGPD a platformelor lor.
În înțelesul ghidului, „modele întunecate” sunt considerate ca interfețe și experiențe de utilizator implementate pe platformele de social media care îi conduc pe utilizatori să ia decizii neintenționate, nedorite și potențial dăunătoare cu privire la prelucrarea datelor lor personale.
Aceste Modele întunecate urmăresc să influențeze comportamentul utilizatorilor și pot împiedica capacitatea acestora de a-și proteja în mod eficient datele personale și de a face alegeri conștiente. Autoritățile de protecție a datelor sunt responsabile pentru sancționarea utilizării modelelor întunecate dacă acestea încalcă cerințele RGPD. Modelele întunecate abordate în cadrul Ghidului pot fi împărțite în următoarele șase categorii: Supraîncărcarea, Omiterea, Agitarea, Îngreunarea, Schimbător / versatil și Lăsarea în întuneric.
● Supraîncărcarea înseamnă că utilizatorii se confruntă cu o avalanșă/cantitate mare de solicitări, informații, opțiuni sau posibilități pentru a-i determina să partajeze mai multe date sau să permită neintenționat prelucrarea datelor cu caracter personal împotriva așteptărilor persoanei vizate. Următoarele trei tipuri de modele întunecate se încadrează în această categorie: Solicitare continuă, Labirint de confidențialitate și Prea multe opțiuni.
● Omiterea înseamnă proiectarea interfeței sau a experienței utilizatorului într-un mod în care utilizatorii uită sau nu se gândesc la toate sau la unele dintre aspectele legate de protecția datelor. Următoarele două tipuri de modele întunecate se încadrează în această categorie: Așezare înșelătoare și Uită-te acolo.
● Agitarea afectează alegerea pe care utilizatorii le-ar face apelând la emoțiile lor sau folosind ghionturi vizuale. Următoarele două tipuri de modele întunecate se încadrează în această categorie: Direcție emoțională și Ascuns la vedere.
● Îngreunarea înseamnă obstrucționarea sau blocarea utilizatorilor în procesul lor de informare sau de gestionare a datelor lor, făcând acțiunea greu sau imposibil de realizat.Următoarele trei tipuri de modele întunecate se încadrează în această categorie: Fundătură, Mai lung decât este necesar și Informații înșelătoare.
● Schimbător/versatil înseamnă că designul interfeței este inconsecvent și nu este clar, îngreunând utilizatorului să navigheze între diferitele instrumente de control al protecției datelor și să înțeleagă scopul prelucrarea. Următoarele două tipuri de modele întunecate se încadrează în această categorie: Lipsa ierarhiei și Decontextualizarea.
● Lăsată în întuneric înseamnă că o interfață este concepută astfel încât să ascundă informațiile sau instrumentele de control al protecției datelor sau să lase utilizatorii nesiguri cu privire la modul în care sunt prelucrate datele lor și ce fel de control ar putea avea asupra acestora în ceea ce privește exercitarea drepturilor lor. Următoarele trei tipuri de modele întunecate se încadrează în această categorie: Discontinuitate de limbaj, Informații conflictuale și Formulare sau informații ambigue.
Apreciem că Ghidul este bine explicitat și ușor de înțeles datorită structurii urmărită de CEPD, respectiv: Dispozițiile relevante din RGPD, Exemple concrete de modele întunecate, Recomandări de bune practici și Lista de verificare a modelelor întunecate.
Dispoziții relevante RGPD pentru evaluările modelelor întunecate:
În ceea ce privește conformitatea cu protecția datelor a interfețelor de utilizator ale aplicațiilor online din cadrul socialului sectorul media, principiile de protecție a datelor aplicabile sunt stabilite în articolul 5 RGPD. Principiul de prelucrare echitabilă prevăzută la articolul 5 alineatul (1) litera (a) din RGPD servește drept punct de plecare pentru a evalua dacă modelul de design constituie de fapt un „model întunecat”. Alte principii joacă un rol în această evaluare sunt cele ale transparenței, minimizării datelor și responsabilității – articolul 5 alineatul (1) literele (a), (c) și (2). RGPD, precum și, în unele cazuri, limitarea scopului – articolul 5 alineatul (1) litera (b) RGPD. În alte cazuri, evaluarea juridică se bazează, de asemenea, pe condițiile de consimțământ conform articolelor 4 (11) și 7 RGPD sau alte obligații specifice, cum ar fi articolul 12 RGPD. Evident, în contextul drepturilor persoanelor vizate, al treilea capitolul din RGPD trebuie de asemenea luat în considerare. În sfârșit, cerințele de protecție a datelor prin proiectare și implicit, în conformitate cu articolul 25 RGPD, joacă un rol vital, deoarece aplicarea acestora înainte de lansarea unui Design al interfeței ar ajuta furnizorii de rețele sociale să evite modelele întunecate în primul rând.
Exemple concrete de modele întunecate în cazurile de utilizare ale ciclului de viață al unui cont de social media:
Prevederile RGPD se aplică întregului proces de prelucrare a datelor cu caracter personal ca parte a operării platformelor de social media, adică la întregul ciclu de viață al unui cont de utilizator.
CEPD dă nu mai puțin de 60 de exemple concrete de tipuri de modele întunecate pentru următoarele cazuri de utilizare diferite în cadrul acestui ciclu de viață:
– înregistrarea, adică procesul de înregistrare;
– cazurile de utilizare a informațiilor referitoare la notificarea de confidențialitate, controlul comun și comunicații privind încălcarea datelor;
– managementul consimțământului și al protecției datelor;
– exercitarea drepturilor persoanei vizate în timpul utilizării rețelelor sociale;
– închiderea unui cont de social media.
Conexiunile la prevederile RGPD sunt explicate în două moduri:
– în primul rând, fiecare caz de utilizare explică mai detaliat care dintre prevederile RGPD menționate mai sus sunt deosebit de relevante pentru acesta.
– în al doilea rând, paragrafele care înconjoară exemple de model întunecat explică modul în care acestea încalcă RGPD.
Recomandări de bune practici:
Pe lângă exemplele de modele întunecate, Ghidul prezintă și cele mai bune practici la sfârșitul fiecare caz de utilizare. Acestea conțin recomandări specifice pentru proiectarea interfețelor utilizator care facilitează implementarea eficientă a RGPD.
Lista de verificare a categoriilor de modele întunecate:
O listă de verificare a celor 6 categorii de modele întunecate este prezentată în Anexa la acest Ghid. Anexa oferă o prezentare generală a categoriilor menționate mai sus și a tipurilor de modele întunecate, împreună cu o listă de exemple pentru fiecare model întunecat care sunt menționate în cazurile de utilizare.
În concluzie, Ghidul este un instrument preventiv, de control și verificare util pentru operatorii din industrie, în elaborarea design-ului și dezvoltarea platformelor de social media specifice activității acestora.
––––––––––––––––––-
*1 https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf
