Em tempos de fake news, o tema padrões obscuros ganha bastante relevância. O termo vem do inglês dark patterns, que era puramente acadêmico, mas recentemente tem sido cada vez mais visto nas normas relativas à proteção de dados em diversas partes do mundo.
Na verdade, esse termo foi criado em 2010 por Harry Brignull, britânico designer de UX, que criou inclusive um site tratando sobre o tema. Ele também o descreve como deceptive design, termo sinônimo de dark pattern.
Os padrões obscuros são designs de interface que tentam enganar, coagir ou pressionar os usuários a realizar determinadas ações, por exemplo, efetuar uma compra ou fornecer um consentimento. Para tanto, as estratégias utilizadas no design podem conter supostos benefícios desiguais nas escolhas disponíveis ou ainda afirmações falsas, enganosas ou ocultas, induzindo escolhas inadequadas ou comportamentos contrários às leis de proteção de dados pessoais.
E os padrões obscuros são muito mais comuns do que se pensa e muitas vezes praticados por empresas de grande porte, nacionais ou multinacionais. Por exemplo, em seu site, elas utilizam-se de um pop-up de consentimento com um botão dizendo “Aceitar todos os cookies” para o usuário clicar. Tal prerrogativa se dá sem a opção para o usuário rejeitar ou mesmo escolher cookies aceitáveis.
Outro exemplo frequentemente encontrado em sites de jornais e revistas são materiais publicitários pagos, nos quais a publicidade enganosa impulsiona vendas de um dado produto constatando características mirabolantes não verídicas.
Harry Brignull lista em site diversos tipos de padrões obscuros, que são transcritos abaixo:
A questão é vista com muita preocupação e seriedade pelas autoridades responsáveis pelo direito do consumidor e proteção de dados pessoais. Em março de 2022, o Comitê Europeu para a Proteção de Dados (European Data Protection Board – EDPB) lançou as Diretrizes sobre Padrões de Design Enganosos em Interfaces de Plataformas de Mídia Social, as quais ensinam como reconhecer e evitar padrões obscuros.
Tais diretrizes esclarecem que a Lei Europeia de Proteção de Dados Pessoais (General Data Protection Regulation – GDPR) conta com o princípio de tratamento leal estabelecido no art. 5º, inciso 1, alínea a. Ele serve como ponto de partida para avaliar se um padrão de design realmente constitui um “padrão de design obscuro”. Outros princípios desta avaliação são os de transparência, minimização de dados e responsabilidade nos termos da alínea c e inciso 2 do mesmo artigo, bem como a limitação de propósito sob de sua alínea b. Ainda, em outro casos, a avaliação legal poderá também ser baseada em condições de consentimento nos art. 4º, inciso 11 e 7 ou outras obrigações específicas, como o art. 12º.
Não à toa que, em janeiro de 2022, o Facebook e o Google foram severamente punidos com multas consideráveis no âmbito da União Europeia por usar padrões nos processos de consentimento de cookies, considerados confusos e de difícil entendimento. Outros exemplos de definição e regulação de padrões obscuros podem ser encontrados nas leis norte-americanas, mais especialmente na Lei de Privacidade do Consumidor da California (CCPA), na Lei de Direitos de Privacidade da California (CPRA) e na Lei de Privacidade do Colorado (CPA).
Ainda que a CCPA não mencione explicitamente os padrões obscuros, o conceito surgiu durante o processo de regulamentação. Na Declaração Final de Motivos, um documento produzido para acompanhar projetos de regulamentação, o Procurador-Geral da Califórnia afirmou que: “Iria contra a intenção da CCPA se sites introduzissem escolhas que não fossem claras ou, pior, empregassem padrões obscuros enganosos para minar a direção pretendida do consumidor”. Já a CPRA define padrões obscuros como “uma interface de usuário projetada ou manipulada com o efeito substancial de subverter ou prejudicar a autonomia, a tomada de decisão ou a escolha do usuário, conforme definido pela regulamentação”. Finalmente, a CPA define padrões obscuros como uma interface de usuário projetada ou manipulada com o efeito substancial de subverter ou prejudicar a autonomia, tomada de decisão ou escolha do usuário, definição quase idêntica à da CPRA. A CPA entra em vigor em julho de 2023, ao passo que a CPRA entrou em vigor em janeiro desse ano.
Dessa forma, são introduzidos cinco princípios que devem ser observados pelas empresas:
- Fácil entendimento – deve ser aplicada tanto à linguagem utilizada quanto ao próprio design.
- Simetria na escolha – o exercício de uma opção de “mais privacidade” não deve ser mais demorado ou mais difícil do que uma opção de “menos privacidade”.
- Sem linguagem confusa ou elementos interativos coercitivos – Negações duplas são um exemplo claro de linguagem confusa, ou seja, colocar “Sim” ou “Não” ao lado da declaração “Não venda ou compartilhe minhas informações pessoais”.
- Sem linguagem manipuladora ou arquitetura de escolha – por exemplo, oferecer um desconto ou outro incentivo financeiro em troca de consentimento é considerado manipulação.
- Fácil execução – Deve haver um gerenciador de consentimento integrado e totalmente funcional que possa facilitar os fluxos de exclusão sem adicionar atrito. Outros exemplos a serem evitados são links circulares ou inoperantes e endereços de e-mail não funcionais.
