Os espaços de design apresentados aqui são espaços conceituais. Eles podem ser entendidos como a gama de escolhas e configurações de design que são possíveis para um problema específico, permitindo que os profissionais explorem e analisem uma ampla gama de opções de design [1][2]. Com a compreensão do espaço de design, é possível avaliar compensações, otimizar critérios específicos e chegar a uma solução ótima ou satisfatória [1][2].
Avisos de Privacidade

O objetivo de um aviso de privacidade é informar os usuários ou clientes sobre como os dados pessoais são tratados dentro de um sistema ou empresa [3].

Refere-se a mostrar aos usuários avisos de privacidade considerando o momento, como a tarefa em que o usuário está engajado, considerando o intervalo entre o aviso e a decisão de privacidade, entre outros fatores.

  • Dependente do contexto
    Refere-se a mostrar um aviso de privacidade dependente do contexto, como por exemplo quando o contexto muda em uma mudança de localização ou outro parâmetro situacional [3].
  • Sob demanda
    Refere-se à exibição de avisos de privacidade quando os usuários os solicitam, como fornecer links para avisos de privacidade, informações de contato, etc. [3].
  • Persistente
    Refere-se a avisos de privacidade que são exibidos de forma persistente quando informações estão sendo coletadas ou transmitidas, como uma barra de status não intrusiva mostrando que a localização está sendo compartilhada [3].
  • Periódico
    Refere-se a mostrar avisos de privacidade periodicamente de acordo com alguma frequência pré-determinada, como lembrar aos usuários a coleta de dados por algum dispositivo de saúde [3].
  • Na configuração
    Refere-se à exibição de avisos de privacidade na primeira utilização de um sistema ou serviço [3].
  • No momento oportuno
    Refere-se a mostrar um aviso de privacidade no momento oportuno (just in time) de uma prática de dados, como quando a informação está sendo coletada, usada ou compartilhada [3].

Refere-se a avisos de privacidade que incluem opções de controle (opções de privacidade). Os autores do espaço de design para escolhas de privacidade consideram que esta dimensão tem os seus méritos, mas não consegue cobrir todas as considerações necessárias para cobrir escolhas de privacidade significativas.

  • Desacoplado
    Consulte os avisos de privacidade dissociados do sistema ou dispositivo real, fornecidos, por exemplo, em um site ou manual [3].
  • Não-bloqueante
    Refere-se a avisos de privacidade que não são bloqueantes, fornecendo controles que não forçam a interação do usuário, como, por exemplo, usando as decisões de privacidade de ações anteriores [3].
  • Bloqueante
    Refere-se a avisos de privacidade que são bloqueantes, exigindo que o usuário faça uma escolha, como numa situação de consentimento [3].

Refere-se aos diferentes modos de entrega de avisos de privacidade, dependendo do que se pretende alcançar com o aviso.

  • Visual
    Refere-se a avisos de privacidade visuais que podem ser texto, imagens, ícones ou uma combinação deles [3].
  • Háptico e outros
    Refere-se a avisos de privacidade que são entregues por meio de feedback háptico e outros, como, por exemplo, uma vibração de smartphone para notificar os usuários [3].
  • Auditivo
    Refere-se a avisos de privacidade que são entregues por meio de palavras faladas ou sons [3].
  • Legível por máquina
    Refere-se a avisos de privacidade que são legíveis por máquina e podem ser comunicados a outros dispositivos ou sistemas onde a informação pode ser apresentada como um aviso de privacidade [3].

Refere-se aos canais que podem ser utilizados para entrega dos avisos de privacidade.

  • Secundário
    Refere-se à entrega do aviso de privacidade em um canal diferente do principal, por alguma limitação, como recursos de interação restritos [3].
  • Primário
    Refere-se à entrega do aviso de privacidade na mesma plataforma ou dispositivo com o qual o usuário está interagindo [3].
  • Público
    Refere-se a canais públicos usados para entregar avisos de privacidade especialmente para usuários secundários ou incidentais, como placas públicas sobre vigilância por vídeo [3].

Fonte: Espaço de Design para Avisos de Privacidade [3].

Escolhas de Privacidade

Os autores em [4] construíram um espaço de design para escolhas de privacidade eficazes, considerando que não havia orientação suficiente sobre o design dessas escolhas.

Esta dimensão se refere aos tipos de escolhas de privacidade disponíveis aos usuários.

  • Escolhas baseadas em direitos de privacidade
    Este caso compreende um tipo de escolha de privacidade que suporta direitos de privacidade como acesso, exclusão, retificação, portabilidade, etc. Essas escolhas geralmente vão além da capacidade de escolhas binárias ou múltiplas e podem exigir interações adicionais entre o usuário e o sistema [4].
  • Contextualizadas
    Escolhas de privacidade contextualizadas, enraizadas no framework de integridade contextual e envolvendo decisões específicas de contexto que frequentemente combinam opções binárias e múltiplas, abordam a privacidade de dados dentro de sistemas complexos ao considerar atributos contextuais como tempo, localização e propósito em relação às práticas de coleta de dados. Essas escolhas visam alinhar-se com diversas preferências de privacidade, mas enfrentam desafios no suporte do sistema, compensações na coleta de dados e possível ônus para o usuário. Há potencial para mitigação por meio de agentes de privacidade de software. Elas são apresentadas em situações de privacidade específicas ao contexto, por exemplo, quando pode ocorrer uma potencial violação de privacidade, como pedir permissão para permitir ou negar o compartilhamento de localização quando está prestes a ocorrer [4].
  • Escolhas múltiplas
    Referem-se a prover aos usuários múltiplas opções para escolha, como por exemplo a soma de várias opções binárias [4].
  • Escolhas binárias
    Escolhas binárias dão ao usuário a opção de escolher uma dentre duas opções [4].
    • Opt-in/out
      Opt-in/out choices don't necessarily affect system access but may impact data control and functionality. The default value is crucial when designing choices. Setting opt-in as the default assumes certain data practices are allowed unless the user specifies otherwise.

Nesta dimensão, considera-se o momento apropriado para oferecer uma escolha de privacidade, pois isso pode afetar a eficácia do engajamento do usuário na tomada de decisões sobre privacidade. Esta dimensão também pode ser desacoplada, integrada ou mediada com a dimensão Momento dos Avisos de Privacidade, já que a disponibilidade dos avisos de privacidade pode afetar, por exemplo, a percepção de risco pelo usuário.

  • Sob demanda
    Escolhas de privacidade sob demanda podem ser integradas ou desacopladas dos avisos de privacidade, geralmente apresentadas quando os usuários buscam ativamente as opções de privacidade disponíveis [4].
  • Na configuração inicial
    As escolhas de privacidade são comumente apresentadas aos usuários que interagem com o sistema pela primeira vez, frequentemente durante a configuração inicial, permitindo que revisem os avisos de privacidade e façam escolhas antes de utilizar ativamente o sistema, apesar de potenciais desvantagens associadas a escolhas que permitem o uso do sistema.
    Este método de temporização está frequentemente associado a escolhas de privacidade baseadas em consentimento, como acordos de licença de software durante a instalação ou termos de uso durante o registro da conta [4].
  • No momento oportuno
    As escolhas de privacidade em tempo oportuno (just in time) também são geralmente integradas aos avisos de privacidade e apresentadas quando uma prática de dados está prestes a acontecer, como no caso do modelo "perguntar na primeira utilização" das permissões de aplicativos [4].
  • Personalizado
    Escolhas de privacidade personalizadas podem ser integradas, desacopladas ou mediadas a partir dos avisos de privacidade e envolvem adaptação dos mecanismos de temporização com base nas preferências individuais [4].
  • Periódico
    Escolhas periódicas de privacidade podem ser integradas ou desacopladas e mostradas várias vezes aos usuários, por exemplo, quando uma prática de dados muda ou é necessária por algum motivo legal para fornecer escolhas periódicas de privacidade [4]
  • Sensível ao contexto
    Escolhas de privacidade sensíveis ao contexto também são frequentemente integradas aos avisos de privacidade e envolvem o aproveitamento do contexto em que o usuário se encontra (temporal, espacial, social) para apresentar a escolha de privacidade [4].

As modalidades são semelhantes aos canais e referem-se aos diferentes modos de comunicação bidirecional das escolhas de privacidade entre sistemas e usuários, considerando fatores como a natureza das decisões de privacidade, capacidades do sistema, engajamento do usuário, entre outros.

  • Visual
    Escolhas de privacidade são tipicamente apresentadas visualmente, usando texto, imagens, ícones ou uma combinação destes elementos. Escolhas de privacidade visuais normalmente incluem descrições claras das opções disponíveis, permitindo que os sistemas obtenham decisões afirmativas do usuário quando necessário [4].
  • Auditiva
    Nesta categoria, escolhas de privacidade são entregues primariamente via palavras faladas e sons [4].
  • Legível por máquina
    Nesta modalidade, as práticas de dados de um sistema e as opções de privacidade disponíveis estão em um formato legível por máquina. Isso permite a comunicação automática das opções de privacidade para outros sistemas, além de servir como base para agentes de software [4].
  • Combinada
    Nesta categoria, pode-se ter uma combinação de modalidades, como opções de privacidade legíveis por máquina usadas por agentes de software de privacidade com alertas por notificações hápticas ou visuais para os usuários quando eles precisam tomar uma decisão de privacidade em relação a alguma escolha de privacidade [4].
  • Háptico e outros sensoriais
    Se disponível, pode ser usado com outras modalidades para melhores resultados, já que são difíceis de usar para transmitir grandes volumes de informação [4].

Esta dimensão pretende capturar as funcionalidades para dar suporte ao exercício das escolhas de privacidade.

  • Aplicação
    A aplicação das decisões de privacidade dos usuários envolve um sistema equipado com funcionalidades para implementar diferentes escolhas de privacidade submetidas pelos usuários, exigindo autenticação, ações de aplicação automatizadas ou mediadas por humanos e a capacidade de registrar e aplicar mudanças nas decisões de privacidade dos usuários, com desafios técnicos específicos para escolhas complicadas, como as contextualizadas [4].
  • Feedback
    Feedback oportuno e preciso é vital para o sistema apoiar as escolhas de privacidade contínuas. Quando os usuários tomam decisões de privacidade que podem ser implementadas imediatamente, o sistema deve notificá-los prontamente sobre as configurações de privacidade atualizadas [4].
  • Apresentação
    As escolhas de privacidade sempre têm uma apresentação que envolve um sistema fornecendo informações claras e facilmente compreensíveis aos usuários sobre potenciais tratamentos de dados, opções disponíveis e como comunicar decisões de privacidade, muitas vezes incorporando múltiplos componentes e integrando-se com avisos de privacidade relacionados, exigindo uma consideração cuidadosa de dimensões de design, como timing, canal e modalidade [4].

Diversos canais podem ser utilizados para apresentar opções de privacidade aos usuários e comunicar efetivamente suas decisões de privacidade de volta aos sistemas, ou seja, para escolhas de privacidade, é uma comunicação bidirecional entre sistemas e usuários.

  • Público
    Canais públicos podem ser usados para comunicar aos usuários sobre as escolhas de privacidade disponíveis, apontando para outros canais, para comunicar-se com não usuários, como transeuntes ou usuários ocasionais (como usuários que transmitem sua preferência de não serem gravados/rastreados) e assim por diante [4].
  • Secundário
    Canais secundários são usados quando há alguma limitação com o canal primário. Por exemplo, quando o canal primário não está disponível ou quando possui uma interface de usuário limitada [4].
  • Primário
    Um canal primário refere-se à plataforma ou dispositivo através do qual os usuários interagem com o sistema [4].

Fonte: Espaço de Design para Escolhas de Privacidade [4]

Referências

[1] Biskjaer, Michael Mose and Dalsgaard, Peter and Halskov, Kim. A Constraint-Based Understanding of Design Spaces. In: Proceedings of the 2014 Conference on Designing Interactive Systems. New York, NY, USA: Association for Computing Machinery, 2014. (DIS ’14), p. 453–462. DOI: https://doi.org/10.1145/2598510.2598533

[2] Mustaquim, Moyen Mohammad and Nyström, Tobias. Information System Design Space for Sustainability. In: Donnellan, B., Helfert, M., Kenneally, J., VanderMeer, D., Rothenberger, M., Winter, R. (eds) New Horizons in Design Science: Broadening the Research Agenda. DESRIST 2015. Lecture Notes in Computer Science(), vol 9073. Springer, Cham. DOI: https://doi.org/10.1007/978-3-319-18714-3_3

[3] Schaub, Florian and Balebako, Rebecca and Durity, Adam L and Cranor, Lorrie Faith. A design space for effective privacy notices. In: Eleventh symposium on usable privacy and security (SOUPS 2015). [S.l.: s.n.], 2015. p. 1–17. Available at: https://www.usenix.org/system/files/conference/soups2015/soups15-paper-schaub.pdf

[4] Yuanyuan Feng, Yaxing Yao, and Norman Sadeh. A Design Space for Privacy Choices: Towards Meaningful Privacy Control in the Internet of Things. In CHI Conference on Human Factors in Computing Systems (CHI ’21), May 8–13, 2021, Yokohama, Japan. ACM, New York, NY, USA, 16 pages. https://doi.org/10.1145/3411764.3445148