Padrões obscuros em proteção de dados

May 8, 2023

Em tempos de fake news, o tema padrões obscuros ganha bastante relevância. O termo vem do inglês dark patterns, que era puramente acadêmico, mas recentemente tem sido cada vez mais visto nas normas relativas à proteção de dados em diversas partes do mundo.

Na verdade, esse termo foi criado em 2010 por Harry Brignull, britânico designer de UX, que criou inclusive um site tratando sobre o tema. Ele também o descreve como deceptive design, termo sinônimo de dark pattern.

Os padrões obscuros são designs de interface que tentam enganar, coagir ou pressionar os usuários a realizar determinadas ações, por exemplo, efetuar uma compra ou fornecer um consentimento. Para tanto, as estratégias utilizadas no design podem conter supostos benefícios desiguais nas escolhas disponíveis ou ainda afirmações falsas, enganosas ou ocultas, induzindo escolhas inadequadas ou comportamentos contrários às leis de proteção de dados pessoais.

E os padrões obscuros são muito mais comuns do que se pensa e muitas vezes praticados por empresas de grande porte, nacionais ou multinacionais. Por exemplo, em seu site, elas utilizam-se de um pop-up de consentimento com um botão dizendo “Aceitar todos os cookies” para o usuário clicar. Tal prerrogativa se dá sem a opção para o usuário rejeitar ou mesmo escolher cookies aceitáveis.

Outro exemplo frequentemente encontrado em sites de jornais e revistas são materiais publicitários pagos, nos quais a publicidade enganosa impulsiona vendas de um dado produto constatando características mirabolantes não verídicas.

Harry Brignull lista em site diversos tipos de padrões obscuros, que são transcritos abaixo:

TIPO

DESCRIÇÃO

Prevenção de comparação

O usuário precisa se esforçar para comparar produtos, pois os recursos e preços são combinados de maneira complexa ou as informações essenciais são difíceis de encontrar.

Confirmshaming

O usuário é emocionalmente manipulado ou constrangido a fazer algo que de outra forma não faria.

Anúncios disfarçados

O usuário erroneamente acredita que está clicando em um elemento da interface ou conteúdo nativo, mas na verdade é um anúncio disfarçado.

Escassez falsa

O usuário é pressionado a concluir uma ação ao receber uma indicação falsa de popularidade ou oferta limitada.

Prova social falsa

O usuário é levado a acreditar que um produto é mais popular ou confiável do que realmente é ao ser exibido falsos comentários, depoimentos ou mensagens de atividade.

Urgência falsa

O usuário é pressionado a concluir uma ação ao ser apresentado a um falso limite de tempo.

Ação forçada

O usuário quer realizar uma ação, mas é obrigado a fazer algo indesejável em troca.

Dificuldade de cancelamento

O usuário tem facilidade para se cadastrar ou se inscrever, mas muita dificuldade ao cancelar.

Despesas ocultas

O usuário é atraído com um anúncio de baixo preço. Após investir tempo e esforço, ele descobre taxas e cobranças inesperadas no momento de efetuar o pagamento.

Assinatura oculta

O usuário é inadvertidamente inscrito em uma assinatura recorrente ou plano de pagamento sem divulgação clara ou seu consentimento explícito.

Perturbação

O usuário tenta fazer algo, mas é persistentemente interrompido por solicitações para fazer outra coisa que pode não ser de seu interesse.

Obstrução

O usuário se depara com barreiras ou obstáculos, dificultando a conclusão de sua tarefa ou acesso às informações.

Pré-seleção

O usuário recebe uma opção padrão que já foi selecionada para ele, de modo a influenciar sua tomada de decisão.

Informações ocultadas

O usuário é atraído a uma transação sob falsos pretextos devido à apresentação de informações pertinentes ocultadas ou atrasadas.

Linguagem enganosa

O usuário é induzido a tomar uma ação devido à apresentação de linguagem confusa ou enganosa.

Interferência visual

O usuário espera ver as informações apresentadas de forma clara e previsível na página, mas elas estão ocultas, obscurecidas ou disfarçadas.

A questão é vista com muita preocupação e seriedade pelas autoridades responsáveis pelo direito do consumidor e proteção de dados pessoais. Em março de 2022, o Comitê Europeu para a Proteção de Dados (European Data Protection Board – EDPB) lançou as Diretrizes sobre Padrões de Design Enganosos em Interfaces de Plataformas de Mídia Social, as quais ensinam como reconhecer e evitar padrões obscuros.

Tais diretrizes esclarecem que a Lei Europeia de Proteção de Dados Pessoais (General Data Protection Regulation – GDPR) conta com o princípio de tratamento leal estabelecido no art. 5º, inciso 1, alínea a. Ele serve como ponto de partida para avaliar se um padrão de design realmente constitui um “padrão de design obscuro”. Outros princípios desta avaliação são os de transparência, minimização de dados e responsabilidade nos termos da alínea c e inciso 2 do mesmo artigo, bem como a limitação de propósito sob de sua alínea b. Ainda, em outro casos, a avaliação legal poderá também ser baseada em condições de consentimento nos art. 4º, inciso 11 e 7 ou outras obrigações específicas, como o art. 12º.

Não à toa que, em janeiro de 2022, o Facebook e o Google foram severamente punidos com multas consideráveis no âmbito da União Europeia por usar padrões nos processos de consentimento de cookies, considerados confusos e de difícil entendimento. Outros exemplos de definição e regulação de padrões obscuros podem ser encontrados nas leis norte-americanas, mais especialmente na Lei de Privacidade do Consumidor da California (CCPA), na Lei de Direitos de Privacidade da California (CPRA) e na Lei de Privacidade do Colorado (CPA).

Ainda que a CCPA não mencione explicitamente os padrões obscuros, o conceito surgiu durante o processo de regulamentação. Na Declaração Final de Motivos, um documento produzido para acompanhar projetos de regulamentação, o Procurador-Geral da Califórnia afirmou que: “Iria contra a intenção da CCPA se sites introduzissem escolhas que não fossem claras ou, pior, empregassem padrões obscuros enganosos para minar a direção pretendida do consumidor”. Já a CPRA define padrões obscuros como “uma interface de usuário projetada ou manipulada com o efeito substancial de subverter ou prejudicar a autonomia, a tomada de decisão ou a escolha do usuário, conforme definido pela regulamentação”. Finalmente, a CPA define padrões obscuros como uma interface de usuário projetada ou manipulada com o efeito substancial de subverter ou prejudicar a autonomia, tomada de decisão ou escolha do usuário, definição quase idêntica à da CPRA. A CPA entra em vigor em julho de 2023, ao passo que a CPRA entrou em vigor em janeiro desse ano.

Dessa forma, são introduzidos cinco princípios que devem ser observados pelas empresas:

  1. Fácil entendimento – deve ser aplicada tanto à linguagem utilizada quanto ao próprio design.
  2. Simetria na escolha – o exercício de uma opção de “mais privacidade” não deve ser mais demorado ou mais difícil do que uma opção de “menos privacidade”.
  3. Sem linguagem confusa ou elementos interativos coercitivos – Negações duplas são um exemplo claro de linguagem confusa, ou seja, colocar “Sim” ou “Não” ao lado da declaração “Não venda ou compartilhe minhas informações pessoais”.
  4. Sem linguagem manipuladora ou arquitetura de escolha – por exemplo, oferecer um desconto ou outro incentivo financeiro em troca de consentimento é considerado manipulação.
  5. Fácil execução – Deve haver um gerenciador de consentimento integrado e totalmente funcional que possa facilitar os fluxos de exclusão sem adicionar atrito. Outros exemplos a serem evitados são links circulares ou inoperantes e endereços de e-mail não funcionais.

No items found.

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

Padrões obscuros em proteção de dados

No items found.

Em tempos de fake news, o tema padrões obscuros ganha bastante relevância. O termo vem do inglês dark patterns, que era puramente acadêmico, mas recentemente tem sido cada vez mais visto nas normas relativas à proteção de dados em diversas partes do mundo.

Na verdade, esse termo foi criado em 2010 por Harry Brignull, britânico designer de UX, que criou inclusive um site tratando sobre o tema. Ele também o descreve como deceptive design, termo sinônimo de dark pattern.

Os padrões obscuros são designs de interface que tentam enganar, coagir ou pressionar os usuários a realizar determinadas ações, por exemplo, efetuar uma compra ou fornecer um consentimento. Para tanto, as estratégias utilizadas no design podem conter supostos benefícios desiguais nas escolhas disponíveis ou ainda afirmações falsas, enganosas ou ocultas, induzindo escolhas inadequadas ou comportamentos contrários às leis de proteção de dados pessoais.

E os padrões obscuros são muito mais comuns do que se pensa e muitas vezes praticados por empresas de grande porte, nacionais ou multinacionais. Por exemplo, em seu site, elas utilizam-se de um pop-up de consentimento com um botão dizendo “Aceitar todos os cookies” para o usuário clicar. Tal prerrogativa se dá sem a opção para o usuário rejeitar ou mesmo escolher cookies aceitáveis.

Outro exemplo frequentemente encontrado em sites de jornais e revistas são materiais publicitários pagos, nos quais a publicidade enganosa impulsiona vendas de um dado produto constatando características mirabolantes não verídicas.

Harry Brignull lista em site diversos tipos de padrões obscuros, que são transcritos abaixo:

TIPO

DESCRIÇÃO

Prevenção de comparação

O usuário precisa se esforçar para comparar produtos, pois os recursos e preços são combinados de maneira complexa ou as informações essenciais são difíceis de encontrar.

Confirmshaming

O usuário é emocionalmente manipulado ou constrangido a fazer algo que de outra forma não faria.

Anúncios disfarçados

O usuário erroneamente acredita que está clicando em um elemento da interface ou conteúdo nativo, mas na verdade é um anúncio disfarçado.

Escassez falsa

O usuário é pressionado a concluir uma ação ao receber uma indicação falsa de popularidade ou oferta limitada.

Prova social falsa

O usuário é levado a acreditar que um produto é mais popular ou confiável do que realmente é ao ser exibido falsos comentários, depoimentos ou mensagens de atividade.

Urgência falsa

O usuário é pressionado a concluir uma ação ao ser apresentado a um falso limite de tempo.

Ação forçada

O usuário quer realizar uma ação, mas é obrigado a fazer algo indesejável em troca.

Dificuldade de cancelamento

O usuário tem facilidade para se cadastrar ou se inscrever, mas muita dificuldade ao cancelar.

Despesas ocultas

O usuário é atraído com um anúncio de baixo preço. Após investir tempo e esforço, ele descobre taxas e cobranças inesperadas no momento de efetuar o pagamento.

Assinatura oculta

O usuário é inadvertidamente inscrito em uma assinatura recorrente ou plano de pagamento sem divulgação clara ou seu consentimento explícito.

Perturbação

O usuário tenta fazer algo, mas é persistentemente interrompido por solicitações para fazer outra coisa que pode não ser de seu interesse.

Obstrução

O usuário se depara com barreiras ou obstáculos, dificultando a conclusão de sua tarefa ou acesso às informações.

Pré-seleção

O usuário recebe uma opção padrão que já foi selecionada para ele, de modo a influenciar sua tomada de decisão.

Informações ocultadas

O usuário é atraído a uma transação sob falsos pretextos devido à apresentação de informações pertinentes ocultadas ou atrasadas.

Linguagem enganosa

O usuário é induzido a tomar uma ação devido à apresentação de linguagem confusa ou enganosa.

Interferência visual

O usuário espera ver as informações apresentadas de forma clara e previsível na página, mas elas estão ocultas, obscurecidas ou disfarçadas.

A questão é vista com muita preocupação e seriedade pelas autoridades responsáveis pelo direito do consumidor e proteção de dados pessoais. Em março de 2022, o Comitê Europeu para a Proteção de Dados (European Data Protection Board – EDPB) lançou as Diretrizes sobre Padrões de Design Enganosos em Interfaces de Plataformas de Mídia Social, as quais ensinam como reconhecer e evitar padrões obscuros.

Tais diretrizes esclarecem que a Lei Europeia de Proteção de Dados Pessoais (General Data Protection Regulation – GDPR) conta com o princípio de tratamento leal estabelecido no art. 5º, inciso 1, alínea a. Ele serve como ponto de partida para avaliar se um padrão de design realmente constitui um “padrão de design obscuro”. Outros princípios desta avaliação são os de transparência, minimização de dados e responsabilidade nos termos da alínea c e inciso 2 do mesmo artigo, bem como a limitação de propósito sob de sua alínea b. Ainda, em outro casos, a avaliação legal poderá também ser baseada em condições de consentimento nos art. 4º, inciso 11 e 7 ou outras obrigações específicas, como o art. 12º.

Não à toa que, em janeiro de 2022, o Facebook e o Google foram severamente punidos com multas consideráveis no âmbito da União Europeia por usar padrões nos processos de consentimento de cookies, considerados confusos e de difícil entendimento. Outros exemplos de definição e regulação de padrões obscuros podem ser encontrados nas leis norte-americanas, mais especialmente na Lei de Privacidade do Consumidor da California (CCPA), na Lei de Direitos de Privacidade da California (CPRA) e na Lei de Privacidade do Colorado (CPA).

Ainda que a CCPA não mencione explicitamente os padrões obscuros, o conceito surgiu durante o processo de regulamentação. Na Declaração Final de Motivos, um documento produzido para acompanhar projetos de regulamentação, o Procurador-Geral da Califórnia afirmou que: “Iria contra a intenção da CCPA se sites introduzissem escolhas que não fossem claras ou, pior, empregassem padrões obscuros enganosos para minar a direção pretendida do consumidor”. Já a CPRA define padrões obscuros como “uma interface de usuário projetada ou manipulada com o efeito substancial de subverter ou prejudicar a autonomia, a tomada de decisão ou a escolha do usuário, conforme definido pela regulamentação”. Finalmente, a CPA define padrões obscuros como uma interface de usuário projetada ou manipulada com o efeito substancial de subverter ou prejudicar a autonomia, tomada de decisão ou escolha do usuário, definição quase idêntica à da CPRA. A CPA entra em vigor em julho de 2023, ao passo que a CPRA entrou em vigor em janeiro desse ano.

Dessa forma, são introduzidos cinco princípios que devem ser observados pelas empresas:

  1. Fácil entendimento – deve ser aplicada tanto à linguagem utilizada quanto ao próprio design.
  2. Simetria na escolha – o exercício de uma opção de “mais privacidade” não deve ser mais demorado ou mais difícil do que uma opção de “menos privacidade”.
  3. Sem linguagem confusa ou elementos interativos coercitivos – Negações duplas são um exemplo claro de linguagem confusa, ou seja, colocar “Sim” ou “Não” ao lado da declaração “Não venda ou compartilhe minhas informações pessoais”.
  4. Sem linguagem manipuladora ou arquitetura de escolha – por exemplo, oferecer um desconto ou outro incentivo financeiro em troca de consentimento é considerado manipulação.
  5. Fácil execução – Deve haver um gerenciador de consentimento integrado e totalmente funcional que possa facilitar os fluxos de exclusão sem adicionar atrito. Outros exemplos a serem evitados são links circulares ou inoperantes e endereços de e-mail não funcionais.

No items found.