Via Cà Matta 2 - Peschiera Borromeo (MI)
+39 02 00704272
info@synaptica.info

Privacy by design guidelines

Digital Innovation Partner

 

 

Il regolamento sulla protezione dei dati personali, GDPR, entrato in vigore nel maggio del 2018, non è altro che un quadro giuridico che definisce le linee guida su come raccogliere e trattare le informazioni personali all’interno dell’Unione Europea. Questi vincoli hanno già avuto un impatto sulla gestione dei dati nelle aziende e sulle loro politiche di privacy, anche in maniera sostanziale; interessano in particolare le società che elaborano dati in modo digitale, come proprietari e come sviluppatori di applicazioni web.

Per Synaptica, quindi, la nuova legislazione non riguarda solo il modo in cui gestisce i dati dei propri utenti ma ha anche un impatto forte su come progetta le esperienze utente: ecco come le nuove norme relative al GDPR influenzano il modo con cui Synaptica si avvicina allo sviluppo e alla user experience dei prodotti digitali che progetta, per sè e per i propri clienti.

Privacy by design:
linee guida per una progettazione GDPR design driven.

Prodotti digitali del terzo millennio

versione 01, aggiornata al 10 settembre 2019I prodotti digitali del terzo millennio devono da un lato supportare gli utenti aiutandoli a prendere decisioni informate sulla loro privacy e dall’altro offrire loro modi più semplici e accessibili per controllare i propri dati: questo nuovo approccio chiede di ripensare la user experience e l’interfaccia utente di ogni applicazione. Con questo ideale in mente, Synaptica ha definito una serie di linee guida UX, un vero e proprio GDPR framework a supporto dei progetti in ogni fase dello sviluppo. Le linee guidano il team, i collaboratori e i clienti in modo che tutti possano essere informati ed esperti nelle best practices UX per la gestione dei dati.

Privacy by Design

Queste linee guida offrono una buona base sulla quale progettare prodotti “Privacy by Design driven”, si basano su altrettante linee guida stabilite per la prima volta da CyberDuck (https://www.cyber-duck.co.uk/insights/user-experience-and-gdpr-best-practices-you-need-to-adopt) e sono i passaggi necessari da prendere in considerazione per aderire al GDPR e creare interazioni user-friendly che siano chiare, trasparenti e che abbiano empatia per l’utente. Sono considerati punti chiave i concetti di:

Opt-in

Gli utenti devono sempre fare proattivamente opt-in perchè i loro dati siano raccolti e utilizzati. Il controllo deve essere intuitivo, chiaro e facile da capire.

Granularità

Gli utenti devono dare il consenso esplicitamente a tutte le attività di elaborazione dei dati, e la visualizzazione dei moduli di consenso contestuali al momento della raccolta aiuta a dare un contesto all’utente.

Revocabilità

Gli utenti hanno ora il diritto di ritirare facilmente il loro consenso in qualsiasi momento e le impostazioni dei pannelli personali dovrebbero essere progettati in modo da essere di facile accesso e comprensione.

Trasparenza

Gli utenti devo essere informati a proposito di ogni organizzazione che gestirà i loro dati. Se non si riesce a spiegare perché si stanno raccogliendo dei dati, probabilmente non dovrebbero essere raccolti.

Separazione

Il consenso al trattamento dei dati è completamente separato dal consenso T&C – termini e condizioni – e ogni accordo di consenso dovrebbero essere progettato in modo che questo sia chiaro.

Beneficio

Chiedere il consenso al momento giusto è una buona pratica ma è ancora meglio spiegare chiaramente perché il consenso andrà a beneficio dell’esperienza dell’utente stesso.

Applicazioni pratiche delle linee guida

Registrazione di un account

La registrazione di un account è, ovviamente, una delle prime volte che un utente incontra una richiesta di dati. È molto importante spiegare chiaramente perché si stanno raccogliendo dei dati e come verranno utilizzati.

Raccolta dei dati “just in time”

Le notifiche “just in time” vengono chiamate così perché forniscono informazioni sul consenso dei dati al momento della raccolta. E’ importante fornire agli utenti il contesto e i tipi di dati che è necessario raccogliere e come saranno, o non saranno, utilizzati. Queste spiegazioni possono anche fornire informazioni su come revocare il consenso laddove sia possibile.

Dati obbligatori e facoltativi

Etichettare con chiarezza i campi obbligatori e facoltativi aiuterà a dare un contesto agli utenti durante la lettura delle spiegazioni sulla raccolta dei dati in corso.

Preferenze di email marketing

Secondo le nuove regole GDPR non è possibile assumere il consenso all’e-mail marketing quando gli utenti immettono gli indirizzi e-mail al momento della registrazione. Spiegare in quel momento agli utenti i vantaggi dell’opting-in dà loro un controllo granulare su ciò a cui si stanno iscrivendo, ad esempio potrebbero esserci delle opzioni sui tipi di e-mail da ricevere e sulla frequenza con cui vengono inviate.

Il testo della privacy policy

L’informativa sulla privacy non dovrebbe essere qualcosa che venga preferibilmente saltato, si dovrebbe incoraggiare gli utenti a leggerla in modo che siano ben informati su come vengono utilizzati i loro dati. Dovrebbe essere spiegato perché il documento esiste, in modo che l’utente comprenda il vantaggio di leggerlo. L’informativa sulla privacy si è evoluta: il GDPR afferma che le aziende devono fornire informazioni chiare e accessibili riguardo ai loro metodi di elaborazione dei dati personali e dovrebbero essere create privacy policies facili da analizzare e completamente trasparenti, eliminando il gergo tecnico.

Sezioni separate

La lunghezza delle privacy policies può essere certamente imponente e con così tanti argomenti da coprire è molto improbabile che un utente normale ne legga anche solo una parte. La creazione di politiche sulla privacy facili da leggere con sezioni chiaramente divise, etichettate e con del testo espandibile è più facile e rende molto più semplice per le persone individuare e comprendere le informazioni di cui hanno bisogno.

Un chiaro beneficio

Il linguaggio usato è importante per aiutare gli utenti a capire quali dati vengono raccolti e perché; dovrebbe essere abbandonato il linguaggio legale e dovebbero essere fornite spiegazioni contestuali direttamente correlate alle funzionalità all’interno delle applicazioni. Descrivere in che modo la raccolta dei dati andrà a beneficio dell’esperienza utente è anche un ottimo modo per incoraggiare l’utente a investire tempo.

Trasparenza su terze parti

È essenziale che le politiche sulla privacy dichiarino ogni azienda, la propria e qualsiasi terza parte, che gestirà i dati. Questa non è una raccomandazione, è un requisito legale.

Il processo di onboarding

La fase di onboarding tradizionalmente é riservata a spiegazioni pratiche su come utilizzare un’app, tuttavia, dopo l’introduzione del GDPR, possiamo utilizzare questa funzione per aiutare l’utente a scoprire il misterioso mondo della raccolta dei dati. Se la raccolta dei dati è lo scopo, o comunque alla base di una applicazione, ogni momento è buono per spiegarne il valore all’utente. Per le app di questo tipo è essenziale che l’utente sia partecipe nella condivisione dei propri dati, necessità che rende fin da subito chiaro il valore dell’ottimizzazione, o progettazione, in ottica GDPR. Di nuovo, è fondamentale ricordare agli utenti che hanno il controllo e, per le app che si basano molto sulla raccolta e l’archiviazione dei dati, è essenziale rassicurare gli utenti su come questi dati vengono gestiti.

Gli utenti di applicazioni che rispettano il GDPR possono di buona norma essere considerati più preparati ed attenti di un utente medio: usare la fase di onboarding per ricordare che hanno il controllo aiuterà a rassicurarli e a costruire una base di fiducia.

Consenso in-app

Il GDPR afferma che prima di raccogliere o utilizzare qualsiasi dato è necessario acquisire un consenso informato ed esplicito degli utenti. Il modo più efficace per farlo è utilizzare i cosiddetti avvisi “just-in-time”, in modo che gli utenti possano dare il consenso solo quando necessario. Mentre gli avvisi just-in-time ti aiutano a rispettare il GDPR e offrono agli utenti il contesto per il consenso, è possibile anche usarlo come una ulteriore occasione per descriverne i vantaggi. Esplicitare valore aggiunto in ogni avviso incoraggerà gli utenti a dare il proprio consenso e li aiuterà ad ottenere il massimo dall’esperienza utente.

Indirizzare gli utenti alle impostazioni dei dati

Un ottimo modo per aiutare gli utenti a sentirsi ancora più in controllo è dire loro dove possono andare a modificare i dati condivisi, sia mentre si chiede il consenso sia nei principali menu.

Impostazioni dati

Sono proprio le impostazioni avanzate dei dati l’ambito in cui vedremo alcuni reali cambiamenti nella UX in futuro. Per rispettare il GDPR ci sarà bisogno di dare agli utenti il pieno controllo sui propri dati, il che significa letteralmente dare loro il diritto di navigare, modificare ed eliminare qualsiasi dato memorizzato nelle applicazioni in una sezione ad hoc, nel pannello personale.

Revoca del consenso

Diventa essenziale che gli utenti abbiano la possibilità di revocare il consenso su qualsiasi politica di trattamento dei dati precedentemente concordata. Dire agli utenti dove possono andare a farlo, creare una sezione ad hoc e renderne più facile l’accesso, assicurarsi di spiegare le implicazioni di una eventuale revoca e come potrebbe influenzare la loro esperienza diventa obbligatorio.

Preferenze di marketing granulari

Come già detto, ogni applicazione dovrebbe offrire agli utenti l’accesso alle proprie preferenze di marketing. Un valore aggiunto potrebbe essere quello di dare all’utente il controllo sulla frequenza con cui vorrebbe essere contattato e gli argomenti delle mail che vorrebbe ricevere. Contrariamente a quanto si pensa, molto probabilmente questo si tradurrà in un maggior numero di utenti che scelgono di ricevere direct mailing.

Il diritto di scaricare ed eliminare

Gli utenti ora hanno il diritto di scaricare e/o cancellare qualsiasi dato che venga raccolto e archiviato, in qualsiasi momento. Ancora una volta, rendere le opzioni sui dati granulari in modo che gli utenti possano avere un controllo flessibile è una buona base di partenza per applicare questa regola.

UCD, User Centered Design

Designer e progettisti attenti alla UX progettano sempre pensando all’utente. Per Synaptica queste linee guida GDPR assicurano che l’utente rimanga al centro durante la progettazione di una applicazione che ha, nei suoi scopi, la raccolta dei dati. Razionalizzando le regole in un insieme di standard di riferimento diventa molto più facile progettare interfacce utente che sfruttino le nuove opportunità, rispettando i nuovi vincoli imposti. La gestione dei dati e gli scopi perseguiti dovrebbero essere chiari e trasparenti, i controlli sulla privacy dovrebbero essere accessibili e privi di complicazioni nel design e nella lingua, e tutto ciò che circonda i dati che incorporiamo in un prodotto dovrebbe essere vantaggioso per l’esperienza dell’utente. Un buon punto di partenza per approfondire l’importanza della progettazione centrata sull’utente – e, inequivocabilmente, il chiaro ritorno economico che genera – è dalle pagine della Interaction Design Foundation, qui https://www.interaction-design.org/literature/topics/user-centered-design.

In sostanza, Synaptica dichiara semplicemente di estende le attuali pratiche di progettazione user centered nel mondo della raccolta di dati e questa scelta può solo essere considerata positiva per i prodotti digitali sviluppati, per sé e per i propri clienti.


Thanx to

Un ringraziamento a David Higgs, che è stato il primo a scrivere a proposito di UX e GDPR (https://medium.com/@thelittlegyro/gdpr-from-a-ux-ui-designers-perspective-5fc797e45607), grazie a CyberDuck, questo framework è basato sulle sue linee guida (https://www.cyber-duck.co.uk/insights/user-experience-and-gdpr-best-practices-you-need-to-adopt) e grazie a Claire Barrett, User Experience Designer @ Mubaloo, per il suo articolo su UX Collective disponibile qui (https://uxdesign.cc/what-does-gdpr-mean-for-ux-9b5ecbc51a43).