Guia nº 3/2022 da EDPB e a discussão sobre dark patterns

Por Amália Batocchio, pesquisadora do Legal Grounds Institute.

Originalmente publicado em 5 de julho de 2022, no Conjur.

O atual estágio de desenvolvimento da internet permite um mundo de opções a poucos cliques. Sites e aplicativos são criados para serem cada vez mais intuitivos e fáceis de usar, e essa facilidade impacta na experiência de uso da internet e pode ser determinante para o sucesso de um negócio online.

A abordagem de design voltada à experiência do usuário é chamada de “user interface” ou “user experience design”. Seu objetivo é analisar quais decisões de design levam a quais mudanças comportamentais dos usuários e, assim, são úteis para determinar qual deve ser a estrutura “ideal” de um site. Essas decisões incluem aspectos como o design de cores e escolha de palavras, o que permite implementar aquelas configurações que são mais propensas a aumentar a facilidade de uso, o tempo que o usuário passa em um site ou, simplesmente, gerar mais clicks [1].

Embora estratégias de design possam ser usadas para garantir a facilidade de uso dos serviços digitais, a prática também pode ser aproveitada para promover comportamentos contrários às leis de proteção de dados pessoais e de direito do consumidor. Casos em que as ferramentas de design excedem os limites legais ficaram conhecidos como “dark patterns”, ou “padrões escuros”, termo criado em 2010 pelo britânico Harry Brignull, especialista em user experience, e criador do site darkpatterns.org, hoje, https://www.deceptive.design/ [2].

A indústria do varejo há muito tempo usa de práticas para manipular o comportamento dos consumidores, como por exemplo, anunciar promoções e descontos que verdadeiramente não existem Também a literatura de economia comportamental estuda há décadas como decisões e comportamentos irracionais, bem como “nudges” — podem ser aplicados, de forma ética ou não, para que os clientes consumam mais. Hoje em dia, essa prática é potencializada pela grande quantidade de dados que uma empresa na internet pode coletar sobre os hábitos de consumo de seus clientes [3].

Atentando-se aos impactos que os dark patterns podem ter para a proteção de dados pessoais, em março de 2022 o European Data Protection Board (“EDPB”), emitiu o Guia nº 3/2022 [4]. O informativo, cujo título em inglês é “Dark patterns in social media platform interfaces: How to recognise and avoid them” traz recomendações para que designers e usuários de plataformas de mídias sociais possam analisar e evitar implementar aquelas formas de dark patterns que possam infringir a lei de proteção de dados.

Mas muito embora o guia europeu seja um importante passo para esclarecer e solidificar a preocupação causada pelos dark patterns, outras autoridades já haviam discutindo e tomando medidas sobre o tema anteriormente.

Em 2021, a Organização para Cooperação e Desenvolvimento Econômico (OCDE) promoveu um encontro para discutir o tema, resultado de diversos trabalhos em que a organização buscava entender os riscos que estariam surgindo para os consumidores no mercado online. Buscava-se entender os diversos tipos de dark patterns, como eles podem prejudicar os consumidores, além de questionar quais os desafios futuros e as brechas regulatórias [5].

Por sua vez, os Estados Unidos apresentaram um forte movimento legislativo para combater os dark patterns. Em nível federal, o Senado Americano propôs o “Deceptive Experiences to Online Users Reduction Act” (Detour Act), que proibiria grandes plataformas de usar dark patterns para obter dados dos consumidores [6]. No estado da Califórnia, o tema foi endereçado por meio do “California Privacy Rights Act” (CPRA), que bane a venda ou compartilhamento de dados pessoais obtidas por meio de interfaces manipuladoras [7]. Ainda, foram introduzidas alterações ao “California Consumer Privacy Act” (CCPA) para acrescentar menção aos dark patterns, inclusive determinando que formas de consentimento obtidas por meio destes não constituiriam formas válidas de consentimento [8].

Também na Europa é possível citar exemplos de autoridades que emitiram decisões e estudos sobre o tema dos dark patterns. A autoridade de proteção de dados francesa, “Commission Nationale de l’Informatique et des Libertés” (CNIL), no mesmo sentido, emitiu relatório em 2019 com o título “Shaping Choices in the Digital World: From dark patterns to data protection: the influence of UX/UI design on user empowerment”. O relatório classifica práticas que podem ser entendidas como dark patterns e faz sugestões sobre como tornar o design de interfaces parte da discussão da proteção de dados pessoais [9].

A autoridade holandesa, “Netherlands Authority for Consumers & Markets” (ACM), também publicou, em 2020, diretrizes sobre a proteção do consumidor digital, especialmente se atentando para formas de persuasão online. Algumas das recomendações dadas pela ACM são no sentido de garantir que as informações possam ser encontradas facilmente, e que os designs dos sites sejam lógicos e justos, certificando-se que os consumidores não sejam enganados pelo desenho dos sites, e permitindo que os usuários tomem decisões informadas [10].

Em 2020, “Competition and Markets Authority” (CMA), autoridade do Reino Unido, realizou estudo sobre plataformas online e publicidade digital. Dentro da discussão sobre dark patterns (sem usar expressamente do termo), a autoridade concluiu que a escolha de arquitetura da plataforma online poderia inibir a habilidade dos consumidores de exercitar escolhas informadas, e levaria os consumidores a tomar decisões apenas no melhor interesse da plataforma [11].

Com base na análise da produção legal e das publicações das autoridades de proteção de dados e de defesa do direito dos consumidores, é possível notar que a definição precisa do que consistiria um dark pattern é objeto de discussão, especialmente tendo-se em consideração a necessidade de se diferenciar quais seriam práticas comerciais lícitas de convencimento e quais violariam direitos dos usuários e consumidores. Mathur, Mayer e Kshirsagar, em linhas gerais, propõem dois critérios para essa diferenciação. Em primeiro lugar, os autores destacam que os dark patterns podem ser identificados por meio da modificação da “arquitetura de escolha” do usuário, o que faz com que os consumidores não sejam capazes de tomar decisões independentes e informadas. Em segundo lugar, os autores destacam o prejuízo sofrido pelo consumidor, seja pela perda ao bem estar individual (financeira ou de violação de privacidade) e de autonomia (pela redução da capacidade de tomar decisões livres e informadas) [12].

O Guia nº 3/2022 da EDPB apresenta sua definição de dark patterns enquanto “interfaces e experiências de usuário implementadas em plataformas de mídia social que levam os usuários a tomar decisões não intencionais, relutantes e potencialmente prejudiciais sobre o processamento de seus dados pessoais” [13].

Destaca-se aqui a relevância da definição em indicar qual será a abordagem da autoridade europeias sobre o tema. Mas ainda que não usasse expressamente do termo dark patterns, a lei de proteção de dados europeia — a “General Data Protection Regulation” (GDPR) — já contemplava práticas que incluíam os dark patterns.

Por exemplo, quando são ativados por padrão os recursos e opções mais invasivos de dados (o que estimula os indivíduos a manter uma opção prejudicial pré-selecionada), viola-se o princípio da “proteção de dados por padrão”, conforme Artigo 25 do GDPR. Uma especial atenção também pode ser dada dentro de questões como a obtenção do consentimento nos termos do Artigo 7 da GDPR, que poderá não ser “livre, específico, informado e não ambíguo” quando obtido por meio dos dark patterns.

Além disso, os dark patterns também ferem outros princípios estabelecidos no Artigo 5 da GDPR — como transparência e finalidade, por exemplo, e é nesse sentido que o guia europeu dá especial destaque a eles. Além disso, o Guia nº 3/2022 destaca a importância de que a lei seja observada durante todo o “ciclo de vida” da conta do usuário, e traz exemplos de melhores práticas de forma a evitar a infração dos direitos de proteção de dados.

O guia também enumera seis tipos de dark patterns — deixando explícito que se trata de uma lista não exaustiva. Em linhas gerais são eles: (1) Overloading: confrontar os usuários com uma grande quantidade de solicitações, informações, opções ou possibilidades, a fim de levá-los a compartilhar mais dados ou, involuntariamente, permitir o processamento de dados pessoais contra suas expectativas; (2) Skipping: projeção da interface/experiência do usuário de uma forma que os usuários esqueçam ou não pensem na de proteção de dados; (3) Stirring: afeta a escolha que os usuários fariam apelando para suas emoções ou usando “nudges” (“cutucadas”) visuais; (4) Hindering: obstrução ou bloqueio dos usuários em seu processo de se informar ou gerenciar seus dados, tornando a ação mais difícil ou impossível; (5) Fickle: o design da interface é inconsistente e não é claro, dificultando que os usuários naveguem nas diferentes ferramentas de controle de proteção de dados e entendam o propósito do processamento; (6) Left in the dark: uma interface é projetada de forma a ocultar informações ou ferramentas de controle de proteção de dados, ou deixar os usuários inseguros sobre como seus dados são processados e que tipo de controle eles podem ter sobre ele sobre o exercício de seus direitos.

A lei de proteção de dados brasileira, a Lei Geral de Proteção de Dados (LGPD) também não faz menção expressa aos dark patterns mas, nos moldes da lei europeia, seus princípios, previstos no Artigo 6º, podem ser invocados contra práticas que venham a prejudicar os titulares de dados. Nesse sentido, destaca-se que, de acordo com o Artigo 8º, §3º da LGPD, é vedado o tratamento de dados pessoais obtido mediante vício de consentimento, o que em grande medida, poderia ser aplicado contra as práticas de dark patterns.

Nesse sentido, o Guia nº 3/2022 da EDPB é relevante enquanto demonstra ao mesmo tempo a preocupação da autoridade europeia com o tema, indica como será a análise e enfrentamento dos dark patterns. Mas além disso, com o guia, a EDPB mostra que o tema, apesar de não expressamente disposto na GDPR, é abarcado pelos princípios da lei, e pode ser enfrentado pela autoridade. O mesmo pode ser dito da lei brasileira.

[1] RIEGER, Sebastian; SINDERS, Caroline. Dark Patterns: Regulating Digital Desing. Stiftung Neue Verantwortung. 13 de maio de 2020. Disponível em: https://www.stiftung-nv.de/sites/default/files/dark.patterns.english.pdf. Acesso em 22 de março de 2022. p. 7-9.

[2] Conforme explicado no site https://www.deceptive.design/ mantido por Harry Brignul, o termo “deceptive design” está sendo usado no lugar de “dark patterns” por ser entendido como mais claro e inclusivo. O site inclui em seu “hall of shame” uma lista de práticas de sites e aplicativos consideradas dark patterns.

[3] NARAYANAN, Arvind; MATHUR, Arunesh; CHETTY, Marshini; KSHIRSAGAR, Mihir. Dark Patterns: Past, Present, and Future. Queue. Março-abril 2020. p. 67-92. Disponível em: https://queue.acm.org/detail.cfm?id=3400901. Acesso em 2 de abril de 2022.

[4] EDPB — European Data Protection Board. Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them. 21 de março de 2022. Disponível em: https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf. Acesso em 2 de abril de 2022.

[5] OCDE — Organização para Cooperação e Desenvolvimento Econômico. Roundtable on Dark Commercial Patterns Online. Disponível em: https://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=DSTI/CP(2020)23/FINAL&docLanguage=En. Acesso em 10 de abril de 2022.

[6] Mark Warner and Debra Fischer. Senators Introduce Bipartisan Legislation to Ban Manipulative “Dark Patterns”. 9 de abril de 2019. Disponível em: https://www.fischer.senate.gov/public/index.cfm/2019/4/senators-introduce-bipartisan-legislation-to-ban-manipulative-dark-patterns. Acesso em 16 de abril de 2022.

[7] MARTINEZ, Maricarmen; DELSOL, Gabriel. Banning Dark Patterns – Far From a Light Task. Center for European Policy Analysis – CEPA. 5 de abril de 2022. Disponível em: https://cepa.org/banning-dark-patterns-far-from-a-light-task/. Acesso em 16 de abril de 2022.

[8] CALIFORNIA. California Consumer Privacy Act Of 2018. Disponível em: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5. Acesso em 16 de abril de 2022.

[9] CNIL – Commission Nationale de l’Informatique et des Libertés. Shaping Choices in the Digital World: From dark patterns to data protection: the influence of ux/ui design on user empowerment. Janeiro de 2019. Disponível em: https://linc.cnil.fr/sites/default/files/atoms/files/cnil_ip_report_06_shaping_choices_in_the_digital_world.pdf. Acesso em 15 de abril de 2022.

[10] ACM – Netherlands Authority For Consumers & Markets. ACM Guidelines on the Protection of the Online Consumer — Boundaries of online persuasion. 11 de fevereiro de 2020. Disponível em: https://www.acm.nl/sites/default/files/documents/2020-02/acm-guidelines-on-the-protection-of-the-online-consumer.pdf. Acesso em 10 de abril de 2022.

[11] CMA — Competition & Markets Authority. Online platforms and digital advertising market study. 1 de julho de 2020. Disponível em: https://assets.publishing.service.gov.uk/media/5fa557668fa8f5788db46efc/Final_report_Digital_ALT_TEXT.pdf. Acesso em 10 de abril de 2022. p. 14

[12] MATHUR, Arunesh; MAYER, Jonathan; KSHIRSAGAR, Mihir. What Makes a Dark Pattern… Dark? Design Attributes, Normative Considerations, and Measurement Methods. In CHI Conference on Human Factors in Computing Systems (CHI ’21), 8 a 13 de maio, 2021, Yokohama, Japan. ACM, New York, NY, USA. 13 de janeiro de 2021. Disponível em: https://arxiv.org/pdf/2101.04843.pdf. Acesso em 5 de abril de 2022.

[13] No texto original: “In the context of these Guidelines, ‘dark patterns’ are considered as interfaces and user experiences implemented on social media platforms that lead users into making unintended, unwilling and potentially harmful decisions regarding the processing of their personal data”. EDPB — European Data Protection Board. Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them. 21 de março de 2022. Disponível em: https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf. Acesso em 2 de abril de 2022. p. 2.

Sobre o autor
Picture of Legal Grounds Institute

Legal Grounds Institute

Produzindo estudos sobre políticas públicas para a comunicação social, novas mídias, tecnologias digitais da informação e proteção de dados pessoais, buscando ajudar na construção de uma esfera pública orientada pelos valores da democracia, da liberdade individual, dos direitos humanos e da autodeterminação informacional, em ambiente de mercado pautado pela liberdade de iniciativa e pela inovação.
Picture of Legal Grounds Institute

Legal Grounds Institute

Produzindo estudos sobre políticas públicas para a comunicação social, novas mídias, tecnologias digitais da informação e proteção de dados pessoais, buscando ajudar na construção de uma esfera pública orientada pelos valores da democracia, da liberdade individual, dos direitos humanos e da autodeterminação informacional, em ambiente de mercado pautado pela liberdade de iniciativa e pela inovação.

Leia mais

Tradutor »
Pular para o conteúdo