Migalhas de Peso

A influência do design nas escolhas dos usuários em avisos de privacidade

O tratamento de dados pessoais deve ser baseado na boa-fé e no dever de informação, visando estabelecer limites, para, assim, garantir a proteção de dados do titular.

12/5/2021

(Imagem: Arte Migalhas)

INTRODUÇÃO

A lei 13.709/18 (lei Geral de Proteção de Dados) assegura que pessoas naturais tenham seus dados pessoais protegidos, com amparo na garantia dos direitos fundamentais da privacidade e da transparência. Assim, o conceito de privacidade sobe de patamar, ligado ao empoderamento da pessoa humana com relação aos seus dados pessoais.

Agora, o titular dos dados pessoais passa a ser protagonista quanto à sua privacidade e detém seus direitos de proteção de dados, tendo o controle e direito de transparência sobre a coleta, uso, tratamento e destinação das suas informações pessoais.

O tratamento de dados pessoais deve ser baseado na boa-fé e no dever de informação, visando estabelecer limites, para, assim, garantir a proteção de dados do titular.

É por estas razões que o titular deve ser informado, clara e precisamente sobre as atividades relacionadas à sua privacidade no momento da coleta dos dados pessoais. Todo esse dever de transparência e informação se traduzem em um documento jurídico, chamado aviso de privacidade.

Um documento desse tipo atinge satisfatoriamente o seu objetivo, quando o titular dos dados aceita as condições estabelecidas de forma ativa, e não passiva, com uma anuência consciente quanto às permissões concedidas ao uso dos seus dados.

Avisos de privacidade devem ser claros, objetivos, concisos e de fácil compreensão. Um dos maiores benefícios para essa abordagem, não é apenas o cumprimento da lei, mas sim a construção de vínculos de confiança com o controlador dos dados, baseados na boa-fé e na transparência, e um dos meios de concretizar isso, é por meio do Legal Design Thinking, principalmente, pelo Visual Law.

No entanto, não é isso que estamos vendo acontecer. Avisos de privacidade são confusos, imperceptíveis e incompreensíveis. Um aspecto crucial para que os usuários da internet entendam esses documentos está recebendo pouca atenção: seus designs. No Brasil, com a Lei Geral de Proteção de Dados, esses avisos devem informar quais dados são coletados, como e para qual finalidade, além de revelar com quais terceiros essas informações são compartilhadas. Temos então, a opção de recusar. Na prática, os avisos não são efetivos: as pessoas não os leem, parcialmente porque são extensos, difíceis de entender, sendo alguns até mesmo ilusórios.

Nos dias de hoje, as políticas de privacidade não veiculam a informação de maneira que reflita a experiência dos usuários, simplesmente porque não foram desenhados com as necessidades de pessoas reais em mente. Geralmente, são escritos de advogados para advogados. As legislações de privacidade, em sua maioria, aumentaram o problema, pois regula o conteúdo dos avisos, mas ignoram como ele deve ser veiculado.

Muitos usuários não são advogados, e muitos de nós não somos capazes de perfeitamente raciocinarmos e tomar decisões baseadas em um aviso de privacidade com mais de 9.000 palavras. Somos usuários que realizam escolhas no momento, baseadas no contexto em que estamos inseridos.

Termos complexos e avisos de privacidade em locais difíceis de localização em websites, são coisas que precisamos notar na maioria dos documentos disponíveis. Isso já demonstra que o conteúdo de um aviso de privacidade não é a prioridade em algumas organizações. Mesmo corrigindo essas falhas, pouco importará se formos manipulados até os limites das políticas de privacidade. Fracassamos em parar para ler, quanto mais para entender e escolher, sugerindo que forças externas à substância e linguagem dos próprios avisos estão restringindo o nosso comportamento, e uma delas é o design. Como qualquer espaço construído, estamos constrangidos pelo design dos espaços digitais que armazenam os avisos de privacidade das plataformas.

Este artigo foi baseado em uma pesquisa científica de Stanford (Privacy, Notice and Choice – Ari Ezra Waldman, 2018) , que discute se os avisos de privacidade – e as escolhas artísticas e estruturais que englobam os dados, assim como a forma como uma empresa apresenta tais informações aos usuários nos meios digitais – limitam nossa habilidade de interação, compreensão e ação. Como foi constatado por acadêmicos, o design acaba configurando os usuários, limitando nossa liberdade de maneira predefinida pelo designer.

PARA ALÉM DO CONTEÚDO

Em um caso da FTC (Federal Trade Comission) contra o Facebook¹, a companhia utilizou sua interface e táticas de design para desinformar e induzir os usuários a erro. No processo administrativo, a FTC alegou que, após o Facebook ter mudado suas configurações de privacidade para deixar certas informações publicamente disponíveis, enganou seus membros por meio de um “Assistente de Privacidade” aparentemente user-friendly. O assistente consistia em várias caixas de diálogo com afirmações como “Estamos realizando algumas mudanças para te dar maior controle sobre suas informações e ajudá-lo a permanecer conectado”. Os usuários seguiam os passos e selecionavam configurações de privacidade para diferentes categorias de informações, desde fotos a aniversários e família. Depois, o Facebook utilizou uma interface apelativa para sugerir aos membros de que eles possuem controle sobre a privacidade dos seus perfis, no entanto, o “Assistente de Privacidade” nunca revelou que o acesso das informações a um novo público não poderia ser restrito.

Em outro caso, desta vez contra a Sears Holding Management Corp.², a empresa foi acusada de induzir os consumidores a erro sobre um software que, uma vez instalado, realizava uma varredura em quantidades extraordinárias de dados. O software monitorava quase todos os comportamentos na internet dos computadores dos usuários, mas a empresa apenas revelou que o software monitorava as navegações online, em um acordo de licença mostrado através de caixas de diálogos e cliques. O acordo era incompreensível, com 19 páginas em letras pequenas e poucos subtítulos. No entanto, o processo e o acordo referentes a este caso ignoraram o design por trás desse documento.

Nestes casos, é notável que, mesmo havendo a manipulação via design, as remediações propostas pela FTC focaram no conteúdo dos documentos.³

Os órgãos reguladores não estão em nada errados em focar as energias no conteúdo dos documentos. Para que um aviso de privacidade seja considerado válido, é preciso que cumpra os requisitos dispostos na lei, ajudando, inclusive, a estabelecer uma governança de dados ao fazer com que as organizações se comprometam com as práticas ali colocadas. Quanto mais específico o aviso, melhor será para os órgãos fiscalizadores estimularem seu cumprimento.

O foco no conteúdo dos avisos de privacidade, se dá porque a confecção de tais documentos de acordo com suas leis correlatas é realizada por advogados. Somos treinados para redigir minutas, e possuímos o conhecimento jurídico e a habilidade de dispor sobre o conteúdo das políticas, mas não sabemos como focar no design e na apresentação desse documento.  No entanto, o conteúdo não pode ser o único aspecto de um aviso de privacidade.

BOAS PRÁTICAS DE DESIGN

Como titulares, temos direito de acesso facilitado às informações sobre o tratamento dos nossos dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva. Ainda, como os avisos de privacidade se pautam, em sua maioria esmagadora, no consentimento, este será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

Isso demanda, ao mínimo, de que haja boas práticas de tipografia e cor. Isso já começou a ocorrer nos Estados Unidos. Sheila Anthony4, ex-Comissária da FTC, sugeriu um “formato padrão” para os avisos e políticas de privacidade, seguindo as linhas de Nutrition Labeling and Education Act, um formato padrão de comunicação de informações essenciais para que consumidores escolham seus alimentos de forma mais consciente e informada. Sheila reconheceu de que o design inconsistente e confuso de políticas estava impedindo os consumidores de tomar maior conhecimento sobre seus direitos de privacidade.

Em um relatório da CalOPPA5 (California Online Privacy Protection Act), o gabinete da procuradoria geral recomendou que as políticas sejam redigidas em um formato que as tornem compreensíveis, e sugeriu um formato em camadas.

O IAPP (International Association of Privacy Professionals) sugeriu o uso de ícones e gráficos em políticas de privacidade para ajudar os usuários a entender práticas e configurações de privacidade.6

O estado da Califórnia recomendou que as organizações publiquem duas políticas diferentes, uma que seja fácil de ler, direcionada aos consumidores, e outra para advogados, órgãos reguladores e autoridade fiscalizadora.

Todas essas disposições caminham em direção da importância do design das políticas de privacidade, em informar o público sobre seus direitos.

AVISO E ESCOLHA

É fato de que não consentimos racionalmente quando falamos em tratamento de nossos dados por outras organizações. Nós tomamos essa decisão com base no contexto, influenciados por aquilo que nos cerca, incluindo o design dos ambientes virtuais. A lei de “aviso e escolha” ignora tais fatores contextuais. Por isso, acaba por não corresponder em como tomamos nossas decisões no mundo real, e é inconsistente com aquilo que sabemos sobre a nossa inclinação de consentir.

Atualmente, “aviso e escolha” estão primariamente focados no conteúdo dos avisos e políticas, manifestados por meio de longos e incompreensíveis documentos, construídos com base na perfeita escolha racional do usuário.

“Cyberspace is not, and never could be, the kingdom of the mind; minds are attached to bodies and bodies exist in the space of the world” - Julie Cohen, 2007.7

O cyperespaço não é, e nunca poderá ser, o reino da mente. Mentes são presas à corpos e corpos existem no espaço do mundo. - Tradução livre

Sendo online ou offline, o design que proporciona nossas experiências em determinados ambientes acaba por nos limitar. Trazendo isso para o cenário jurídico, leis que tratam sobre privacidade devem reconhecer que podemos ser manipulados e limitados pelo design das políticas e avisos, devendo ter caráter protetivo contra os efeitos potencialmente coercitivos do design.

Esse entendimento é compartilhado por acadêmicos, cientistas sociais, artistas, arquitetos, designers de interiores e planejadores urbanos (como Julie Cohen, Ryan Calo8 e Woodrow Hartzog9), e o mesmo princípio acaba sendo aplicado para os documentos aqui tratados.

Para muitos cientistas sociais, existes elementos estruturais da sociedade que estão além do nosso controle, que acabam limitando nossa liberdade de escolha10. Como bem explana o sociólogo Anthony Giddens, o mundo social é feito para existir de acordo com regras e recursos disponíveis na sociedade na qual nascemos. Tais regras, se manifestam no dia a dia, acabando a nos coagir sem que demos conta disso.

De acordo com Steve Woolgar11, essas estruturas nos limitam ou nos configuram. Woolgar chegou a esta conclusão ao falar sobre o processo do design de novas tecnologias, que envolve a concepção do usuário e a construção de dispositivos que nos limitam em nossas ações. Não interagimos com a tecnologia de maneira desprendida, agindo com nossa razão pura, mas sim, como pessoas reais, fazendo coisas reais com ela, situados no local e no tempo, onde as necessidades são contingentes e as decisões são contextuais.

Como bem pontua Henri Lefebvre12, a natureza de um espaço é determinada por o que os designers querem que aconteça, ou não aconteça com ele. Quem está inserido neste espaço, não são partes ou sujeitos a aquele ambiente, não estão no controle. E essa nossa limitação, faz parte da experiência. O mesmo pode acontecer com usuários da internet: quando logamos no Facebook, por exemplo, nossa liberdade é limitada pelos designers daquela interface, as capacidades dos servidores, e as práticas de uso de dados daquela plataforma. Quando tentamos entender uma política de privacidade de um site, estamos similarmente limitados pela maneira como ela é desenhada, apresentada e construída. Por isso, seria de extrema importância que as leis que governam esses documentos, reflitam essa realidade.

CONCLUSÃO

Em pesquisa realizada em Stanford, chegou-se à conclusão de que usuários ponderam o design quando realizam escolhas atinentes à privacidade, não apenas o conteúdo dos avisos. Eles preferem fazer negócios com websites que postam tais documentos confeccionados pensando em pessoas reais.

A maior preocupação, foi a evidência de que o design pode ser utilizado para manipular e trazer danos aos consumidores. Os usuários tendem a optar por websites com designs agradáveis, mesmo que as práticas nos avisos ou políticas sejam invasivas ou perigosas.

Ainda, políticas visualmente pobres, como a maioria das políticas que temos hoje, desencorajam os usuários a fazer a leitura.

Em ambos os casos, onde o design é utilizado para manipular ou ofuscar informações, os usuários podem realizar escolhas arriscadas sobre a sua privacidade. Por isso, reguladores de direitos de proteção de dados e privacidade que buscam proteger os consumidores de práticas injustas, coercitivas e enganosas, devem não apenas considerar a conformidade com as legislações, mas também devem investigar como os sites estão utilizando design para transmitir tais informações.

Tal perspectiva pode ser considerada como uma nova tendência para o futuro da confecção de documentos jurídicos, como já está ocorrendo nos Estados Unidos. Órgãos do governo e autoridades fiscalizadoras já estão começando a endereçar o problema, emitindo entendimentos e pareceres sobre o tema.

_____________

1. Complaint at 4-7, In the Matter of Facebook, Inc., F.T.C. File No. 092 3184, No. C-4365 (July 27, 2012) Disponível aqui.

2. Complaint at 1, In re Sears Holdings Mgmt. Corp., F.T.C. File No. 082 3099, No. C-4264 (Aug. 31, 2009). Disponível aqui.

3. Decisão, caso In the Matter of Facebook, Inc., FTC. Disponível aqui.

4. Anthony, Sheila F. The Case of Standardization of Privacy Policy Formats. Federal Trade Comission, 2001. Disponível aqui.

5. MAKING YOUR PRIVACY PRACTICES PUBLIC: RECOMMENDATIONS ON DEVELOPING A MEANINGFUL PRIVACY POLICY. CAL. DEP’T OF JUST., 2014. Disponível aqui.

6. Shen, lei., Unpacking the California AG’s Guide on CalOPPA. IAPP, 2014. Disponível aqui.

7. Cohen, Julie. Cyberspace, 2007.

8. Calo, Ryan. Against Notice Skepticism in Privacy (and Elsewhere), 87 NOTRE DAME L. REV., 2012.

9. Hartzog, Woodrow, Promises and Privacy: Promissory Estoppel and Confidential Disclosure in Online Communities, 2009.

10. DOVEY, KIM. FRAMING PLACES: MEDIATING POWER IN BUILT FORM. Routledge, 2008.

11. Woolgar, Steve. Configuring the User: The Case of Usability Trials, in A SOCIOLOGY OF MONSTERS: ESSAYS ON POWER, TECHNOLOGY AND DOMINATION páginas 59, 67-69. John Law, 1991.

12. Lefebvre, Henri. THE PRODUCTION OF SPACE 224. Tradução por Donald Nicholson-Smith, 1984.

Milena Pappert
Sócia-fundadora do escritório Alcassa & Pappert Advogados. Certificada em ISFS pela EXIN. Supervisora de conteúdo do comitê de Privacidade e Proteção de Dados na ANADD - Associação Nacional de Advogados do Direito Digital.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Afinal, quando serão pagos os precatórios Federais em 2025?

19/12/2024

Atualização do Código Civil e as regras de correção monetária e juros para inadimplência

19/12/2024

5 perguntas e respostas sobre as férias coletivas

19/12/2024

A política de concessão de veículos a funcionários e a tributação previdenciária

19/12/2024

Julgamento do Tema repetitivo 1.101/STJ: Responsabilidade dos bancos na indicação do termo final dos juros remuneratórios

19/12/2024