Privacidad UX: marco de diseño consciente de la privacidad

Publicado: 2022-03-10
Resumen rápido ↬ Esta serie de artículos trata sobre patrones de diseño relacionados con la privacidad. Exploraremos algunas de las formas respetuosas de abordar la privacidad y la recopilación de datos, y cómo lidiar con las notorias solicitudes de consentimiento de cookies, notificaciones automáticas intrusivas, solicitudes de permiso gloriosas, seguimiento malicioso de terceros y experiencia de desconexión.
  • Parte 1: Preocupaciones de privacidad y privacidad en formularios web
  • Parte 2: mejores experiencias de consentimiento de cookies
  • Parte 3: mejores notificaciones UX y solicitudes de permisos
  • Parte 4: Marco de diseño consciente de la privacidad

Ya hemos explorado enfoques para mejorar las solicitudes de consentimiento de cookies, las solicitudes de permiso y la experiencia de usuario de las notificaciones, pero ¿cómo encajan en una estrategia de diseño general a medida que tomamos decisiones de diseño en nuestras herramientas de diseño?

En su artículo "¿Qué significa GDPR para UX?", Claire Barrett, diseñadora de UX y UI en Mubaloo en Bristol, Reino Unido, ha compartido un conjunto muy práctico y procesable de pautas de UX que la agencia de diseño ha estado siguiendo con respecto a GDPR. . Si bien estas pautas se enfocan específicamente en el RGPD, son aplicables a un alcance mucho más amplio de interacciones fáciles de usar y conscientes de la privacidad y, por lo tanto, podrían aplicarse a cualquier tipo de proyecto :

  1. Los usuarios deben aceptar activamente que se recopilen y utilicen sus datos.
  2. Los usuarios deben dar su consentimiento para todo tipo de actividad de tratamiento de datos.
  3. Los usuarios deben tener derecho a retirar fácilmente su consentimiento en cualquier momento.
  4. Los usuarios deben poder verificar cada organización y todos los terceros que manejarán los datos.
  5. El consentimiento no es lo mismo que aceptar los términos y condiciones, por lo que no deben agruparse; están separados y deben tener formas separadas.
  6. Si bien es bueno pedir el consentimiento en el momento adecuado, es incluso mejor explicar claramente por qué el consentimiento beneficiará su experiencia .
¡Más después del salto! Continúe leyendo a continuación ↓

Una de las cosas interesantes que Claire recomienda en su artículo es centrarse en la recopilación de datos "justo a tiempo" (mencionado en la parte 3 de esta serie); es decir, explique por qué se requieren los datos y cómo se usarán y cómo no , pero solo cuando la aplicación o el sitio web realmente los necesite. Obviamente, esto se podría hacer incluyendo un ícono de "información" junto a los fragmentos de información más personales recopilados y mostrando la información sobre herramientas con los beneficios y la razón detrás de la recopilación de datos a pedido.

Explicaciones 'justo a tiempo'
Explicaciones 'justo a tiempo' con la información sobre herramientas en los formularios. (Fuente de la imagen: Claire Barrett) (Vista previa grande)

Muchas aplicaciones móviles requieren acceso a la ubicación, las fotos e incluso la cámara durante la instalación, algo que la mayoría de los clientes no aceptarían con gusto. Una forma más eficaz de obtener permiso es explicar la necesidad de datos en el punto de recopilación mediante el uso de indicaciones "justo a tiempo", de modo que los usuarios puedan dar su consentimiento solo cuando entiendan el propósito del mismo, de manera muy similar a como lo hemos hecho. visto con permisos anteriormente en esta serie.

Indicaciones 'justo a tiempo'
Indicaciones 'justo a tiempo', solicitando acceso a la ubicación solo cuando realmente se requiere. (Fuente de la imagen: Claire Barrett) (Vista previa grande)

Las explicaciones también deben informar a los clientes cómo retirar el consentimiento cuando corresponda, y proporcionar un enlace a la política de privacidad. Estos han sido motivo de quejas continuas durante años, ya que las políticas de privacidad extensas escritas en una jerga legal perfectamente oscura son casi imposibles de comprender sin una sesión de revisión dedicada. (De hecho, un estudio de 2008 mostró que a una persona promedio le tomaría aproximadamente 244 horas por año leer todas las políticas de privacidad de los sitios que usan, lo que se traduce en aproximadamente 40 minutos por día ).

En lugar de presentar la política de privacidad como un muro de texto intrincado, podría dividirse y agruparse en secciones claramente etiquetadas y texto expandible, optimizado para escanear, ubicar y comprender.

Acciones de política separadas
Acciones políticas separadas, presentadas como acordeones. Optimizado para un fácil escaneo y comprensión. (Fuente de la imagen: Claire Barrett) (Vista previa grande)

Una vez que se otorga el consentimiento, los clientes deben tener control total sobre sus datos; es decir, la capacidad de navegar, cambiar y eliminar cualquiera de los datos que contienen nuestras aplicaciones. Eso significa que la configuración de datos en nuestras aplicaciones móviles debe proporcionar opciones granulares para revocar el consentimiento y optar por no participar en las preferencias de marketing, así como la opción de descargar y eliminar cualquier dato sin deambular por el intrincado laberinto de secciones de ayuda y paneles de configuración ambiguos.

menú 'configuración de datos'
Los clientes deben tener control total sobre sus datos, por lo que nuestro menú de "configuración de datos" debe proporcionar opciones granulares para revocar el consentimiento, excluirse de las preferencias y descargar o eliminar todos los datos. (Fuente de la imagen: Claire Barrett) (Vista previa grande)

El problema principal con las decisiones de diseño consciente de la privacidad es que es difícil evaluar el impacto de la recopilación de datos y todos los desafíos de la interfaz que plantea en el diseño y el desarrollo. Ser humilde y sutil no es solo una cuestión de respeto, sino también de reducir la deuda técnica y evitar batallas legales en el futuro. Para eso, las siguientes pautas generales también podrían ayudar.

Ahorre la menor cantidad de datos posible

Si elige almacenar datos de tarjetas de crédito, debe ser sincero sobre las medidas de seguridad que toma para almacenarlos de manera confidencial. Cuantos menos datos necesite y almacene, menor será el impacto que tendría una posible infracción.

Trate bien los datos personales

No todos los datos se crean de la misma manera. Cuando los usuarios proporcionen información personal, distinga entre diferentes estratos de datos, ya que la información privada es probablemente más sensible que la información pública. Trate bien los datos personales y nunca los publique por defecto. Por ejemplo, a medida que un usuario completa su perfil, proporcione una opción para revisar toda la entrada antes de publicarla. Sea humilde, y siempre pida permiso primero ; proteja proactivamente a los usuarios y no almacene datos confidenciales. Eso podría ayudar a prevenir situaciones incómodas en el futuro.

Esto se aplica no solo al procedimiento de almacenamiento y publicación de datos de usuario en sus servidores, sino también a la recuperación de contraseñas o al uso de datos de clientes para cualquier tipo de asociación afiliada. De hecho, entregar el correo electrónico de un cliente a otra persona sin consentimiento explícito es una violación de la confianza y la privacidad, y a menudo resulta en correos electrónicos marcados como spam porque los clientes se enfrentan repentinamente a una marca desconocida en la que no confían. De hecho, este último es casi como un mecanismo de defensa contra los sitios web rapaces que recopilan continuamente correos electrónicos a cambio de obsequios gratuitos, acceso a videos y ofertas gratuitas.

Explique con anticipación qué tipo de datos de usuario recibirán los terceros

Cuando proporcione una opción para el inicio de sesión social, sea específico sobre lo que sucederá con los datos del usuario y qué permisos tendrán los terceros. Por lo general, aparece una nota sutil cuando se solicita el inicio de sesión social, pero es una buena idea ser explícito de inmediato sobre cómo se tratarán los datos y específicamente qué no sucederá con los datos de un usuario.

Es común ver que las interacciones de los usuarios se detengan una vez que los clientes se ven obligados a conectar sus cuentas nuevas con las ya existentes, o cuando se les anima a usar sus perfiles sociales para progresar con la aplicación. Ese nunca es un paso sencillo de tomar y requiere alguna explicación y garantía de que revocar el acceso es fácil.

Preparar datos de clientes para exportar

No es trivial obtener una imagen completa de los datos recopilados, especialmente si hay terceros involucrados. Asegúrese de que cada vez que se recopilen datos personales, estén estructurados de una manera optimizada para exportarlos y eliminarlos más adelante. Puntos de bonificación si también es digerible para el usuario final, para que pueda encontrar las partes que necesita una vez que esté interesado en algo muy específico. Eso también significa rastrear qué tipos de datos se recopilan y dónde fluyen los datos, ya que podemos usar esta estructura más adelante para proporcionar un control granular sobre la configuración de datos y las preferencias de privacidad en nuestra interfaz de usuario.

Es posible que haya oído hablar de algunas empresas amigables que hacen que la importación de datos personales sea notablemente fluida, pero exportar datos de usuarios es dolorosamente difícil o casi imposible. Como era de esperar, los clientes no perciben bien esta práctica; y especialmente en los momentos en que están pensando en eliminar su cuenta, un bloqueo tan generalizado dará lugar a quejas de atención al cliente, llamadas al centro de llamadas y arrebatos de ira en los canales sociales. Esa no es una característica agradable que los mantendrá leales a largo plazo.

Si bien algunas empresas pueden culpar públicamente debido a su gran tamaño, para muchas pequeñas y medianas empresas, la reputación es el activo más preciado que tienen , por lo que es prudente no jugar con ella. Incluso podría pensar en asociarse con servicios similares y hacer que los datos de usuario sean transferibles y transferibles a cada uno de ellos, mientras espera que los socios también admitan la misma función.

Hacer que sea difícil cerrar o eliminar una cuenta falla a largo plazo

Los gigantes corporativos se han destacado por dificultar notablemente que los clientes cierren o eliminen sus cuentas. Y esta técnica funciona cuando mudarse es dolorosamente difícil, ese es el caso de Amazon y Facebook.

Sin embargo, si está trabajando en un sitio web relativamente pequeño que se esfuerza por atraer a sus clientes leales, es posible que no pueda lograrlo con éxito, al menos no a largo plazo. El impacto general es aún más dañino si dificulta la cancelación de un pago recurrente, como suele ser el caso con las suscripciones. (De hecho, es por eso que las suscripciones también son difíciles de vender: no es solo el compromiso de los pagos mensuales, sino la dificultad de cancelar la suscripción en un momento posterior sin cargo adicional debido a la cancelación anticipada).

De hecho, así como los diseñadores están mejorando para ocultar configuraciones de perfil notorias para eliminar una cuenta, también lo están haciendo los clientes para encontrar formas de navegar a través del laberinto , a menudo respaldados por la sabiduría infinita de los tutoriales fáciles de descubrir en los blogs. Si no es el caso, los clientes recurren a las herramientas que saben que funcionan mejor: dar la espalda al servicio que no muestra respeto por sus intenciones, generalmente marcando los correos electrónicos como spam, bloqueando las notificaciones y usando menos el servicio. No sucede de la noche a la mañana; pero lenta y gradualmente, y como lo demostraron las entrevistas, se garantiza que estos clientes no recomendarán el servicio a sus amigos o colegas.

Sorprendentemente, es al revés cuando es muy fácil cerrar la cuenta. Al igual que con las notificaciones, puede haber buenas razones por las que el usuario haya elegido seguir adelante y, muy a menudo, no tiene nada que ver con la calidad del servicio. Tratar de convencer al cliente para que se quede, con una descripción detallada de todos los maravillosos beneficios que ofrece, podría estar dando en el blanco equivocado: especialmente en entornos corporativos, la decisión ya se habrá tomado, por lo que la persona que cierra la cuenta literalmente no puede. t hacer mucho acerca de cambiar la dirección.

ejemplos de cancelacion de cuenta y cancelacion de suscripcion en smashing magazine
Con Smashing Membership, tratamos de explicar lo que sucede con los datos de una manera clara y damos la opción de dejar que los miembros exporten sus datos sin trucos ocultos. (Vista previa grande)

Para Smashing Membership, hemos tratado de mantener la voz respetuosa y humilde, al mismo tiempo que mostramos un poco de nuestra personalidad durante la baja. Explicamos qué sucede con los datos y cuándo se eliminarán de forma irrevocable (siete días), brindamos una opción para restaurar el plan, permitimos que los clientes exporten sus pedidos y garantizamos que no se compartirán datos con terceros. Fue sorprendente ver que un buen número de personas que cancelaron su suscripción de Membresía terminaron recomendándola a sus amigos y colegas, porque sintieron que tenía algún valor para ellos aunque no la usaran para ellos mismos.

Posponer la importación de contactos hasta que el usuario se sienta cómodo con el servicio

Por supuesto, muchas de nuestras aplicaciones no son particularmente útiles sin integrar el círculo social del usuario, por lo que parece plausible pedir a los clientes que inviten a sus amigos para no sentirse solos o abandonados desde el principio. Sin embargo, antes de hacerlo, piense en formas de alentar a los clientes a usar el servicio por un tiempo y posponga la importación de contactos hasta el momento en que los usuarios estén más dispuestos a hacerlo. De forma predeterminada, muchos clientes bloquearían una solicitud anticipada ya que aún no han desarrollado confianza en la aplicación.

Guarde los datos del usuario durante un período de tiempo limitado después del cierre de la cuenta

Los errores ocurren, y es válido tanto para errores accidentales como para eliminar todos los datos personales después de un día notablemente malo. Entonces, si bien debemos brindar una opción para descargar y eliminar datos, también debemos brindar una opción para restaurar una cuenta en un período breve. Eso significa que los datos se guardarán después de que se elimine la cuenta, pero se eliminarán de manera irrevocable después de que haya pasado ese período de gracia. Por lo general, de 7 a 14 días es más que suficiente.

Sin embargo, también puede proporcionar una opción para que los usuarios soliciten la eliminación inmediata de datos a través de una solicitud de correo electrónico, o incluso con un clic en un botón. ¿Se debe informar a los usuarios sobre la eliminación final de sus archivos? Quizás. La decisión final probablemente dependerá de cuán confidenciales sean los datos: cuanto más confidenciales sean, es más probable que los usuarios quieran saber que los datos se han ido para siempre. La excepción son los datos anónimos: la mayoría de las veces, a los clientes no les importará en absoluto.

Proporcione resúmenes fáciles de usar de los cambios en la política de privacidad

Nada está escrito en piedra, por lo que es posible que su política de privacidad y la configuración de privacidad predeterminada deban ajustarse debido a las nuevas funciones de personalización o un cambio en el script de seguimiento. Siempre que esto suceda, en lugar de resaltar la importancia de la privacidad en largos pasajes de texto, proporcione resúmenes de cambios claros y fáciles de usar. Puede estructurar el resumen destacando cómo solían ser las cosas y cómo son diferentes ahora. No olvide traducir la jerga legal a algo más legible por humanos, explicando lo que el cambio realmente significa para el usuario.

Francamente, a la mayoría de los usuarios no parecía importarles mucho los cambios en la política de privacidad. Después del flujo interminable de notificaciones de actualización de políticas en 2018, la reacción predeterminada suele ser el consentimiento inmediato. Una vez que han notado algo relacionado con la política de privacidad en la línea de asunto o en el cuerpo del correo electrónico, aceptan los cambios de inmediato, incluso antes de desplazarse hasta el final del correo electrónico. Sin embargo, cuanto más personal es la información almacenada, más tiempo se dedicó a revisar los cambios, que a menudo eran muy confusos y poco claros.

política de privacidad de medium.com
La microcopia siempre ha estado en el corazón de Medium.com. Una política de privacidad bien diseñada y estructurada con resúmenes claros de los cambios en la política de privacidad. (Fuente de la imagen: Email Design BeeFree) (Vista previa grande)
política de privacidad mailchimp
MailChimp, con un resumen conciso de los cambios de su política de privacidad. (Vista previa grande)

Nota : La gente de Really Good Emails ha recopilado algunos excelentes ejemplos de diseño de correo electrónico relacionados con GDPR si está buscando más inspiración sobre cómo compartir los cambios de la política de privacidad con sus usuarios y suscriptores.

Establecer una estrategia de comunicación en caso de incumplimiento

Nadie quiere estragos después de que los datos del usuario se vean comprometidos. En tales situaciones, es fundamental contar con una estrategia de comunicación clara y sólida. Tenga una explicación preparada en caso de que algunos datos del usuario se vean comprometidos. Mandy Brown publicó un artículo fantástico, "Simulacros de incendio: estrategia de comunicaciones en una crisis", en A List Apart, explicando cómo configurar uno y algunas cosas a considerar al hacerlo.

Privacidad por diseño

Puede parecer que visitar sitios web es una actividad bastante común, y los usuarios deben sentirse cómodos y familiarizados con funciones como el inicio de sesión social, la importación de contactos y las notificaciones de cookies. Como hemos visto en esta serie, hay muchas consideraciones de privacidad no triviales y, en la mayoría de los casos, los clientes tienen inquietudes, dudas y preocupaciones acerca de compartir sus datos personales.

Por supuesto, el alcance de esta serie podría extenderse mucho más, y ni siquiera hemos analizado la recuperación de contraseñas, el diseño de la configuración de privacidad en la aplicación, las ventanas flotantes de chat y las ventanas emergentes, las consideraciones de rendimiento y accesibilidad, o el diseño de experiencias de privacidad para los usuarios más vulnerables: niños, personas mayores y personas con desventajas. Sin embargo, el punto crítico al tomar decisiones de diseño en torno a la privacidad es siempre el mismo: debemos encontrar un equilibrio entre los requisitos comerciales estrictos y un diseño respetuoso que ayude a los usuarios a controlar sus datos y realizar un seguimiento de ellos, en lugar de recopilar toda la información que podamos y encerrar a los clientes en nuestro servicio.

Una buena hoja de ruta para encontrar ese equilibrio es adoptar un marco de mejores prácticas que priorice la privacidad, conocido como Privacidad por diseño (PbD). Surgido en Canadá en la década de 1990, se trata de anticipar, administrar y prevenir problemas de privacidad antes de escribir una sola línea de código. Con la política de protección de datos de la UE en vigor, la privacidad desde el diseño y la protección de datos se han convertido en valores predeterminados en todos los usos y aplicaciones. Y eso significa que muchos de sus principios se pueden aplicar para garantizar el cumplimiento de GDPR y una mejor experiencia de usuario de privacidad de su sitio web o aplicación.

En esencia, el marco espera que la privacidad sea una configuración predeterminada y una medida proactiva (no reactiva ) que se incrustaría en un diseño en su etapa inicial y durante todo el ciclo de vida del producto. Alienta a ofrecer a los usuarios opciones de privacidad granulares, valores predeterminados de privacidad respetuosos, avisos de información de privacidad detallados, opciones fáciles de usar y notificaciones claras de los cambios. Como tal, funciona bien con las pautas que hemos descrito en esta serie.

Recomiendo leer uno de los artículos de Heather Burns, "Cómo proteger a sus usuarios con el marco de privacidad por diseño", en el que proporciona una guía detallada para implementar el marco de privacidad por diseño en los servicios digitales.

¿Por dónde empezar, entonces? Los grandes cambios comienzan con pequeños pasos. Incluya la privacidad en la investigación inicial y la ideación durante la etapa de diseño, y decida los valores predeterminados, la configuración de privacidad y los puntos de contacto confidenciales, desde completar un formulario web hasta la incorporación y la baja. Minimice la cantidad de datos recopilados si es posible y realice un seguimiento de los datos que podrían estar recopilando terceros. Si puede anonimizar los datos personales, eso también es una ventaja.

Cada vez que un usuario envía su información personal, realice un seguimiento de cómo se formulan las preguntas y cómo se recopilan los datos. Muestre notificaciones y solicitudes de permiso justo a tiempo, cuando esté casi seguro de que el cliente aceptará. Y, al final, informe a los usuarios en resúmenes digeribles sobre los cambios en la política de privacidad y facilite la exportación y eliminación de datos, o el cierre de una cuenta.

Y lo más importante: la próxima vez que esté pensando en agregar solo una casilla de verificación o proporcionar opciones binarias, piense en el hermoso mundo borroso y no binario en el que vivimos. A menudo hay más de dos opciones disponibles, así que siempre proporcione una salida, no importa cuán obvia pueda parecer una elección. Tus clientes lo agradecerán.