Implemente interfaces de políticas de privacidade interativas

Resumo do Problema

As políticas de privacidade tradicionais geralmente são estáticas, dificultando que os usuários naveguem, entendam e exerçam controle sobre seus dados pessoais.

Racional

Aumente a transparência e o engajamento do usuário com políticas de privacidade interativas. Essas interfaces de políticas permitem que os usuários apliquem suas preferências de privacidade em tempo real, fornecendo uma visão detalhada, porém compreensível, das práticas de processamento de dados.

Solução

Implementar interfaces de políticas de privacidade interativas que ofereçam uma abordagem dinâmica para a apresentação das políticas de privacidade.

Drozd e Kirrane [1] destacaram que as políticas de privacidade são o "padrão de facto para solicitações de consentimento" e que vários estudos mostram que tais políticas raramente são lidas. Eles propuseram o protótipo CURE como uma solução para aumentar a eficácia das solicitações de consentimento de privacidade. Ele aborda as complexidades das políticas de privacidade tradicionais fornecendo uma interface visualmente atraente e interativa. Por meio de elementos personalizáveis como sliders e caixas de seleção, o CURE visa melhorar a compreensão e o gerenciamento dos consentimentos de processamento de dados pelos usuários. Essa abordagem transforma as solicitações de consentimento em um formato mais amigável, aumentando assim a transparência e o controle dos usuários, e direcionando a apresentação visual e interativa dos formulários de consentimento dentro das políticas de privacidade. O código do protótipo está disponível em https://bit.ly/2GErFC7.

Reinhardt, Borchard e Hurtienne [2] apresentaram a Visual Interactive Privacy Policy (VIPP) ou Política de Privacidade Interativa Visual, como uma solução para os problemas de usabilidade das políticas de privacidade tradicionais. A VIPP incorpora recursos interativos como ícones de ajuda ao passar o mouse, linhas expansíveis e células clicáveis para fornecer explicações opcionais e informações adicionais. Esse design permite que os usuários controlem e imponham diretamente suas configurações de privacidade dentro da interface da própria política, melhorando o engajamento, a compreensão e a transparência do usuário em comparação com os textos de políticas de privacidade estáticas padrão.

Ambos os estudos reconhecem que o Rótulo Nutricional de Privacidade (Privacy Nutrition Label) não permite a manipulação direta da política de privacidade, como o gerenciamento de configurações de privacidade/consentimento diretamente. Drozd e Kirrane [1] argumentam que essa abordagem não permite que os usuários visualizem completamente as atividades de processamento de dados. Reinhardt, Borchard e Hurtienne [2] incorporaram um Rótulo Nutricional de Privacidade enriquecido com opções de controle e elementos interativos em sua solução VIPP, aumentando o engajamento e o controle dos usuários.

Angulo et al. [3] apresentaram o protótipo "Enviar Dados?", uma extensão de navegador projetada para simplificar o gerenciamento de políticas de privacidade usando a PrimeLife Policy Language (PPL). A solução introduz o gerenciamento de privacidade "na hora" (on the fly), permitindo que os usuários ajustem suas configurações de privacidade durante as transações online. Ela apresenta níveis de privacidade predefinidos (Alto, Médio, Baixo) que os usuários podem personalizar, facilitando a configuração inicial. Além disso, o protótipo usa elementos visuais como tabelas, ícones e indicadores codificados por cores para apresentar claramente as configurações de privacidade e incompatibilidades.

Plataformas: computadores pessoais

Diretrizes relacionadas: Implemente estratégias visuais para a comunicação eficaz de políticas de privacidade

Exemplo

O protótipo CURE <a href="#section1">[1]</a>.

Topo: O protótipo CURE: (1) Slider e (2) Consentimento por finalidade. Parte inferior: Exemplo de uma visão detalhada do processamento de dados necessário para a finalidade de "calcular calorias queimadas" [1]. (Ver em tamanho maior)

Capacidades interativas da Política de Privacidade Interativa Visual (VIPP) <a href="#section2">[2]</a>.

Capacidades interativas da Política de Privacidade Interativa Visual (VIPP): Opções de consentimento, explicações e informações adicionais [2]. (Ver em tamanho maior)

Aparência da sétima iteração do protótipo "Enviar Dados?"<a href="#section3">[3]</a>.

Aparência da sétima iteração do protótipo "Enviar Dados?" [3]. (Ver em tamanho maior)

Casos de uso
  • Aumentar a transparência e o envolvimento do usuário com as políticas de privacidade.
  • Implementar uma abordagem dinâmica para apresentar políticas de privacidade.
Vantagens

  • A interface do usuário foi bem recebida pelos participantes em uma avaliação de usabilidade, os quais completaram as tarefas de modo rápido e fácil e com poucos erros. O feedback positivo incluiu altos níveis de compreensão das informações consentidas e melhor desempenho em tarefas de comparação em relação às solicitações de consentimento tradicionais e a uma solução Usercentrics [1].
  • A Política de Privacidade Interativa Visual (VIPP) baseia-se na proposta do Rótulo Nutricional de Privacidade para abordar as preocupações dos participantes em relação à falta de informações e opções diretas de controle de privacidade. Além disso, um pré-estudo indicou uma preferência pela estrutura simples de tabela do Rótulo Nutricional de Privacidade, formando a base para a VIPP. O foco do usuário é direcionado através do uso estratégico de linhas e colunas de título coloridas (em laranja e azul) para destacar elementos significativos, como uma classificação dos termos da política de privacidade derivada de um estudo com usuários. Ao mesmo tempo, aspectos menos cruciais são aninhados em camadas mais profundas [2].
  • O conceito de configurações de privacidade "na hora" é tanto compreendido quanto apreciado pelos usuários. Além disso, os usuários acharam eficaz a seleção de credenciais utilizando uma abordagem baseada em cartões, claramente agrupados por linhas [4].

Desvantagens

  • Os usuários inicialmente acharam a interface "Enviar Dados?" confusa e precisaram de algum tempo para interagir com ela antes de entender completamente seu propósito e benefícios. Essa confusão inicial indica uma curva de aprendizado, o que pode prejudicar a compreensão imediata e a usabilidade [3].
  • Embora a VIPP tenha mostrado melhorias em relação ao Texto Longo em várias áreas, ela não demonstrou consistentemente vantagens estatisticamente significativas sobre o Rótulo Nutricional, apesar de algumas mudanças positivas notáveis em termos de estímulo, novidade e controle percebido [2].
  • Uma possível limitação de ambos os estudos é que os protótipos foram avaliados apenas em computadores pessoais e desktops. Essa restrição pode não capturar totalmente a usabilidade e a eficácia das interfaces em outros dispositivos, como tablets ou smartphones, que são cada vez mais usados para acesso à internet [1][2].

Avisos de Privacidade

Embora seu objetivo principal seja aprimorar a forma como as informações de privacidade são comunicadas aos usuários, a diretriz também integra aspectos de escolhas de privacidade [5], particularmente na dimensão de controle. Isso inclui permitir que os usuários gerenciem e imponham suas preferências de privacidade diretamente nos avisos, adicionando assim um elemento de interatividade ao framework tradicional de avisos de privacidade [4].

  • Na configuração
    A diretriz pode ser aplicada considerando-se a provisão de avisos de privacidade claros e interativos durante a configuração do sistema, permitindo que os usuários tomem decisões informadas antes de usar o serviço.
  • Sob demanda
    A diretriz está alinhada com a disponibilização de avisos e controles de privacidade sob demanda por meio de interfaces ou painéis de configurações de privacidade.
  • Dependente do contexto
    A diretriz apoia a provisão de avisos ou controles adicionais com base no contexto do usuário, garantindo que as decisões de privacidade sejam relevantes para a situação.
  • No momento oportuno
    Interfaces interativas podem fornecer avisos contextuais quando dados estão sendo coletados ou compartilhados, alinhando-se com a abordagem de aviso em momento oportuno (just in time).

  • Não-bloqueante
    A diretriz fornece controles integrados dentro dos avisos que podem ser aplicados em situações não bloqueantes.
  • Bloqueante
    A diretriz fornece controles integrados dentro dos avisos que podem ser aplicados em situações bloqueantes.

  • Visual
    Esta diretriz utiliza recursos visuais como cores, textos e ícones para criar um aviso visual.

  • Primário
    Esta diretriz é destinada principalmente à mesma plataforma ou dispositivo com o qual o usuário interage.
  • Secundário
    A diretriz incentiva o uso do canal principal para a entrega de avisos de privacidade dentro do contexto do sistema, mas também suporta canais secundários para dispositivos com restrições.

Controle

Os elementos interativos e personalizáveis das soluções propostas são projetados para capacitar os usuários a decidir o que compartilhar e para quais finalidades, alinhando-se estreitamente com os elementos centrais do atributo Controle [6]. Outros atributos de privacidade relacionados:

As interfaces interativas visam tornar as políticas de privacidade mais compreensíveis, ajudando os usuários a obter informações claras sobre como seus dados serão tratados. Isso se alinha à distribuição proativa de informações aos usuários, permitindo que eles tomem decisões informadas.

Ao tornar as políticas de privacidade mais transparentes e interativas, os provedores de serviços demonstram seu compromisso em serem responsabilizados pelas práticas de dados. A apresentação clara das práticas de tratamento de dados e dos controles dos usuários pode reforçar a confiança e a responsabilidade.

As interfaces ajudam a esclarecer os propósitos para os quais os dados são coletados e processados, proporcionando aos usuários uma melhor compreensão das bases legais para o processamento de dados e dos usos específicos de seus dados pessoais.

A diretriz aborda o compartilhamento de dados permitindo que os usuários gerenciem e controlem a extensão com que seus dados são compartilhados com terceiros.

Referências

[1] Olha Drozd and Sabrina Kirrane (2020). Privacy CURE: Consent Comprehension Made Easy. In: Hölbl, M., Rannenberg, K., Welzer, T. (eds) ICT Systems Security and Privacy Protection. SEC 2020. IFIP Advances in Information and Communication Technology, vol 580. Springer, Cham. https://doi.org/10.1007/978-3-030-58201-2_9

[2] Daniel Reinhardt, Johannes Borchard, Jörn Hurtienne (2021). Visual Interactive Privacy Policy: The Better Choice? In: Proceedings of the 2021 CHI Conference on Human Factors in Computing Systems. New York, NY, USA: Association for Computing Machinery, 2021. (CHI ’21). ISBN 9781450380966. https://doi.org/10.1145/3411764.3445465

[3] Julio Angulo, Simone Fischer-Hübner, Erik Wästlund, Tobias Pulls (2012).Towards Usable Privacy Policy Display & Management. Information Management & Computer Security, Vol. 20 No. 1, pp. 4-17. https://doi.org/10.1108/09685221211219155

[4] Florian Schaub, Rebecca Balebako, Adam L Durity, and Lorrie Faith Cranor (2015). A Design Space for Effective Privacy Notices. In: Symposium on Usable Privacy and Security (SOUPS 2015). [S.l.: s.n.], p. 1–17. https://www.usenix.org/system/files/conference/soups2015/soups15-paper-schaub.pdf

[5] Yuanyuan Feng, Yaxing Yao, and Norman Sadeh (2021). A Design Space for Privacy Choices: Towards Meaningful Privacy Control in the Internet of Things. In CHI Conference on Human Factors in Computing Systems (CHI ’21), May 8–13, 2021, Yokohama, Japan. ACM, New York, NY, USA, 16 pages. https://doi.org/10.1145/3411764.3445148

[6] Susanne Barth, Dan Ionita, and Pieter Hartel (2022). Understanding Online Privacy — A Systematic Review of Privacy Visualizations and Privacy by Design Guidelines. ACM Comput. Surv. 55, 3, Article 63 (February 2022), 37 pages. https://doi.org/10.1145/3502288