Padrões negros: nascidos para enganar

Acontece com todos: descobre que se inscreveu numa “newsletter” de que nunca ouviu falar ou inscreve-se conscientemente porque é a única maneira de aceder a um site ou aplicação específicos. Como neste exemplo:

Em ambos os casos, temos vítimas de “padrões negros” (ou “dark patterns” em inglês): são opções de design que levam os utilizadores a executarem acções que, de outra forma, não o fariam. Podem ser elementos de interface gráficos, de texto ou outros que pressionam o utilizador de várias maneiras a comportar-se de uma maneira específica. Por exemplo, pode ser uma caixa pré-marcada por baixo de um sinal de confirmação, como no caso da Eventbrite:

No entanto, pode ser ainda pior: tente encontrar a opção de cancelar uma assinatura da Grammarly nesta imagem:

Abaixo, um utilizador que deseja cancelar a inscrição nas mensagens de marketing do Yahoo Sports encontra um botão grande e colorido que diz “Não, cancele” (mas cancele o quê, exactamente? A assinatura ou a decisão de cancelar?). Entretanto, as opções úteis são colocadas no final, em cinza desbotado.

Podíamos continuar com muitos outros exemplos, mas isto deve ser uma experiência familiar para todos os leitores. Se quiser mais exemplos, pode seguir a conta do Twitter @darkpatterns, criada por Harry Brignull, especialista em UX (“User Experience” ou experiência do utilizador), que também foi um dos primeiros a propor uma taxonomia dos “dark patterns”.

Estes métodos são especialmente traiçoeiros porque se baseiam (efectivamente, como vários estudos demonstraram) em enviesamentos cognitivos ou em todas essas “fraquezas” que nos levam a fazer escolhas irracionais: por exemplo, quando queremos livrar-nos de uma distracção específica (um “banner”) ou estamos com pressa para fazer algo (inscrever-se numa rede social). Estas armadilhas para os utilizadores podem ser colocadas em duas grandes categorias: decisões de compra e fornecimento de dados pessoais.

Padrões negros nas decisões de compra
No primeiro caso, estes padrões, de maneira mais ou menos enganosa, levam o utilizador a comprar bens ou serviços que, de outra forma, não teria adquirido. Um estudo publicado em Setembro de 2019 por um grupo de investigação liderado por Arunesh Mathur revelou 1.818 padrões escuros (dos quais 208 eram claramente enganosos) espalhados por 1.254 sites de uma amostra de cerca de 11 mil, escolhidos entre os mais populares no ranking Alexa.

O software de “crawling” usado para o estudo está disponível no GitHub, para que outros investigadores possam efectuar investigação adicional. Ele simula o comportamento de um utilizador normal, escolhendo produtos em sites de comércio electrónico, colocando-os numa cesta e parando pouco antes do pagamento. Nesse período, várias potenciais estratégias de influência são reveladas, como uma contagem regressiva alertando os utilizadores de que uma oferta está prestes a terminar. Esse padrão negro pertence à categoria “urgência” (numa taxonomia que reproduz parcialmente a de Brignull): dos 393 temporizadores encontrados pelo rastreador, quase 40% existiam apenas para pressionar o utilizador, mesmo quando a oferta não estava realmente para terminar.

A categoria “urgência” é, portanto, a que mais preocupa nas mensagens enganosas. A seguir é a “prova social”, ou o tipo de mensagens que alertam o utilizador de que um certo número de pessoas está a olhar para o mesmo produto – incentivando-o a decidir antes de qualquer outra pessoa – ou que um outro cliente acabou de comprá-lo, incentivando-o a fazer o mesmo. Dos 335 casos nesta categoria, 30 (quase 9%) eram enganosos, pois as mensagens eram geradas aleatoriamente e apenas para induzir o utilizador a pensar que havia muito interesse no produto em questão.

O limite deste estudo é que foi realizado apenas com exemplos de texto e sites em inglês. Isso enfatiza sites geralmente fora da Europa. No entanto, observando os endereços, vemos que 143 sites foram rastreados na Grã-Bretanha e 11 na Irlanda. Para estudar o contexto europeu, seria útil adaptar o rastreador (“crawler”) para funcionar noutros idiomas que não apenas o inglês.

Padrões negros e protecção de dados
Quando se trata dos “dark patterns” que levam os utilizadores a revelar dados pessoais, existem dois tipos principais: os métodos de assinatura de serviços como o Facebook ou a Google e o “banner de cookies”.

De acordo com um estudo da Forbrukerrådet, agência governamental norueguesa de protecção do consumidor, o Facebook e a Google (e, em menor grau, a Microsoft) são intrusivos “por padrão” (“by default”). Ao subscrever os seus serviços, uma série de opções pré-verificadas leva, mais ou menos explicitamente, a um acordo para fornecer dados pessoais, o que influenciará a experiência do utilizador.

Entre os elementos criticados no relatório, está a ausência de frases que levariam os utilizadores a fazerem escolhas mais sensatas em relação aos seus dados, forçando assim o seu comportamento numa direcção específica. Contando com a impaciência do utilizador, a decisão é feita quase imediatamente e a alteração posterior das configurações é um processo longo e complexo. Estamos muito longe da privacidade por design e por padrão, explicitamente definidos no artigo 25º do Regulamento Geral de Protecção de Dados (RGPD).

Quanto ao acordo sobre o uso de “cookies” de terceiros (permitindo que o site partilhe os dados de navegação dos utilizadores com outras empresas para diferentes finalidades, incluindo a publicidade direccionada), também existem inúmeras violações. Abaixo está um exemplo envolvendo o Tumblr, em que os utilizadores são forçados a desmarcar mais de 350 caixas se quiserem impedir que os seus dados pessoais sejam partilhados com os parceiros de negócios da plataforma. [Em Portugal, muitos utilizadores de sites de media ou de portais defrontam-se com este tipo de mensagem sem conseguirem em tempo útil desactivá-la ou contornar a sua indesejada aprovação.]

Este é um caso extremo, mas é muito comum que sites proponham opções de anti-privacidade por defeito. Claramente, isso contraria a Consideração 32ª do RGPD, que afirma que o “silêncio, caixas pré-marcadas ou inactividade não devem constituir consentimento”. Isso é descrito em mais detalhes no artigo 4º, onde o “consentimento” é entendido como “qualquer indicação dada de forma livre, específica, informada e inequívoca dos desejos do titular dos dados […]”.

Os padrões negros nestes casos não são apenas elementos de design, mas uma estratégia deliberada para obter o consentimento dos utilizadores para fornecer dados pessoais que não são necessariamente essenciais para o acesso aos serviços em questão. Um estudo envolvendo 80 mil utilizadores da Internet na Alemanha demonstrou que a forma como as informações são apresentadas aos utilizadores (vocabulário, grafismo, posicionamento) influencia claramente a sua interacção com o “banner de cookies”: quando o site aplica configurações de privacidade por defeito e requisitos específicos do RGPD, o consentimento do utilizador para transmitir dados a terceiros é fornecido por menos de 0,1% deles.

As leis existem, mas quem é responsável por aplicá-las?
“Os princípios de privacidade por design e privacidade por padrão são componentes fundamentais do RGPD. […] Os padrões negros são uma maneira de as empresas contornarem esses princípios, incentivando implacavelmente os consumidores a desconsiderar a sua privacidade e a fornecer mais dados pessoais do que o necessário. É um problema que precisamos de resolver”. – De uma entrevista a Giovanni Buttarelli, supervisor da Autoridade Europeia para a Protecção de Dados, (que faleceu a 20 de Agosto de 2019), na abertura de uma mesa redonda sobre padrões negros realizada a 27 de Abril em Bruxelas.

Gianclaudio Malgieri é especialista em direito e investigador da Universidade de Bruxelas, onde também trabalha no projecto Panelfit para desenvolver directrizes sobre consentimento no uso de dados em investigação europeia. Como explica, quando se trata de comércio electrónico, os “padrões negros são um novo nome para um fenómeno que já existe há algum tempo. A lei sobre a influência injusta sobre os consumidores existe há mais de 15 anos, enquanto havia uma abordagem mais ‘laissez-faire’ antes disso”.

A directiva relativa às cláusulas abusivas nos contratos celebrados com os consumidores, aprovada pela União Europeia em 1993 (93/13/EEC), foi o primeiro passo, tímido, para a defesa dos interesses dos consumidores. “A Directiva 2005/29/CE finalmente enfrentou o tema da persuasão enganosa ou agressiva”, explica Malgieri, “numa época em que ainda não havia reconhecimento dos enviesamentos cognitivos dos consumidores. De acordo com a directiva, as práticas enganosas são aquelas que apresentam informações incompletas, imprecisas ou exageradas sobre o produto; as práticas mais agressivas pressionam o utilizador a efectuar acções que, de outra forma, não seriam executadas e, portanto, são mais controversas do ponto de vista ético e deontológico. Padrões negros são todas essas coisas, mesmo que até agora nenhuma directiva os mencione explicitamente”.

Uma das primeiras autoridades europeias a multar o Facebook por esse tipo de prática foi a Autoridade Italiana da Concorrência que, no final de 2018, sancionou a rede social em 10 milhões de euros por práticas comerciais desleais. Os dois principais argumentos por trás da decisão foram:
1. na fase de registo, a informação sobre o uso de dados pessoais “é omissa em direccionamento, clareza e integridade”;
2. a opção de partilhar dados do utilizador é pré-verificada, sem consentimento explícito, e a capacidade de optar pela exclusão (“opt-out”) é fornecida apenas posteriormente (e essa opção inibe o aproveitamento total do serviço).
Esta segunda prática também ocorre noutros sites, e não apenas no Facebook, que permitem que os utilizadores façam “login” com outras contas de redes sociais (uma opção oferecida também pelo Google): “é uma opção que se sustenta claramente nos utilizadores escolherem as opções padrão, com reivindicações relacionadas à portabilidade levando o utilizador a fornecer dados desnecessários”.

É interessante notar que é uma autoridade da concorrência, não da protecção de dados, a primeira a lidar com os padrões negros. “Talvez os guardiões da privacidade não tenham a estrutura certa para lidar com isto”, continua Malgieri. “Tenho a impressão de que, no geral, a União Europeia está equipada ao nível legal para lidar com os padrões negros, apesar da ausência de referências explícitas. Seria bom o European Data Protection Board (EDPB) intervir – com interpretações voltadas para a equidade e exemplos relacionados com os padrões negros -, junto com a Comissão Europeia, para colocar os tipos de ‘dark pattern’ na lista negra das práticas comerciais desleais”.

Esta posição é partilhada por Rossana Ducato, investigadora da Universidade Católica de Louvain, na Bélgica. Segundo Ducato, um caminho para sair deste impasse envolve uma abordagem integrada. “Há quem queira uma abordagem legislativa ad hoc, como proposto nos Estados Unidos com o DETOUR Act [apresentada em Abril], mas na Europa não há vazio legal. No entanto, ainda existem vários problemas, como estabelecer uma autoridade que possa impor as regras, bem como o problema de definições e distinguir os vários tipos de padrões negros. É por isso que abrir um amplo e sério debate entre todas as partes interessadas e, eventualmente, elaborar directrizes comuns, será provavelmente a estratégia mais elegante. Não precisamos de uma enésima directiva: precisamos de trabalhar na aplicação das leis e na consciencialização do utilizador”.

Um dos problemas que limitam a eficácia das leis é a falta de uma metodologia comum para identificar os “dark patterns”. Por esse motivo, vale a pena examinar o trabalho de Claude Castelluccia, director de investigação do Instituto de Pesquisa Francês para as Ciências Digitais (INRIA). O objectivo do seu trabalho é a formalização de um sistema para determinar quando há manipulação dos utilizadores, usando técnicas de aprendizagem por máquina (“machine learning”). De acordo com a classificação proposta pelo seu grupo, os padrões negros que comprometem a privacidade dos utilizadores enquadram-se na categoria de ataques de execução, ou acções que tornam as coisas tão complicadas que levam o utilizador a desistir de se lhes opor.

O julgamento que lançou luz sobre esse mecanismo foi proferido em Janeiro de 2019 pela CNIL (Comissão Nacional de Informática e Liberdade), a autoridade francesa de protecção de dados. A CNIL multou a Google em 50 milhões de euros, por razões semelhantes àquelas pelas quais o Facebook foi multado na Itália. Especificamente, entre outras coisas, por tornar excessivamente complicado para os utilizadores acederem a informações essenciais, como o objectivo da recolha de dados, a duração do seu armazenamento e o tipo de dados pessoais usados ​​para a publicidade direccionada. As informações estavam disponíveis em várias páginas, mas exigiam muitos cliques para serem lidas. A CNIL também lida com os padrões negros numa edição especial dos seus Cahiers – um excelente compêndio do que se sabe até ao momento sobre este assunto.

Palavras-chave do RGPD
O Regulamento Geral sobre a Proteção de Dados (2016/679), geralmente abreviado para RGPD, é uma lei europeia que entrou em vigor em Maio de 2018. Reconhece a protecção dos dados pessoais como um direito fundamental de qualquer cidadão.

O conceito de privacidade “by design” exige que as plataformas digitais, na sua concepção, observem os princípios da protecção de dados contidos no RGPD. As plataformas devem avaliar os possíveis riscos à privacidade no uso dos seus serviços e tomarem as medidas necessárias para evitar quaisquer ameaças para os utilizadores.

A privacidade por padrão (ou “by default”), por outro lado, exige que as opções pré-marcadas dos serviços digitais sejam sempre a favor da máxima protecção dos dados: nenhum dado desnecessário deve ser recolhido, a menos que o utilizador concorde com a recolha desses dados.

* Texto originalmente publicado em OBC Transeuropa/European Data Journalism Network. Ver condições de re-utilização. Fotografia: Jan Genge/Unsplash

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.