Privacidade UX: estrutura de design sensível à privacidade

Publicados: 2022-03-10
Resumo rápido ↬ Esta série de artigos é sobre padrões de design relacionados à privacidade. Exploraremos algumas das maneiras respeitosas de abordar a privacidade e a coleta de dados e como lidar com os notórios avisos de consentimento de cookies, notificações push intrusivas, solicitações de permissão gloriosas, rastreamento malicioso de terceiros e experiência de exclusão.
  • Parte 1: Preocupações com privacidade e privacidade em formulários da Web
  • Parte 2: Melhores experiências de consentimento de cookies
  • Parte 3: Melhor UX de Notificações e Solicitações de Permissão
  • Parte 4: Estrutura de design sensível à privacidade

Já exploramos abordagens para obter melhores solicitações de consentimento de cookies, solicitações de permissão e UX de notificações, mas como eles se encaixam em uma estratégia geral de design à medida que tomamos decisões de design em nossas ferramentas de design?

Em seu artigo “O que o GDPR significa para UX?”, Claire Barrett, designer de UX e UI da Mubaloo em Bristol, Reino Unido, compartilhou um conjunto muito prático e acionável de diretrizes de UX que a agência de design vem seguindo em relação ao GDPR . Embora essas diretrizes tenham como alvo específico o GDPR, elas são aplicáveis ​​a um escopo muito mais amplo de interações amigáveis ​​ao usuário e com reconhecimento de privacidade e, portanto, podem ser aplicáveis ​​a qualquer tipo de projeto :

  1. Os usuários devem optar ativamente por ter seus dados coletados e usados.
  2. Os usuários devem dar consentimento para todo tipo de atividade de processamento de dados.
  3. Os usuários devem ter o direito de retirar facilmente seu consentimento a qualquer momento.
  4. Os usuários devem poder verificar todas as organizações e todos os terceiros que manipularão os dados.
  5. O consentimento não é o mesmo que concordar com os termos e condições, portanto, eles não devem ser agrupados; eles são separados e devem ter formas separadas.
  6. Embora pedir consentimento nos momentos certos seja bom, é ainda melhor explicar claramente por que o consentimento beneficiará a experiência deles .
Mais depois do salto! Continue lendo abaixo ↓

Uma das coisas interessantes que Claire recomenda em seu artigo é focar na coleta de dados “just-in-time” (mencionada na parte 3 desta série); ou seja, explique por que os dados são necessários e como eles serão ou não usados ​​— mas apenas quando o aplicativo ou site realmente precisar deles. Obviamente, isso pode ser feito incluindo um ícone de “informações” ao lado das informações mais pessoais coletadas e mostrando a dica de ferramenta com os benefícios e a lógica por trás da coleta de dados mediante solicitação.

Explicações 'just-in-time'
Explicações 'just-in-time' com a dica de ferramenta de informações nos formulários. (Fonte da imagem: Claire Barrett) (Visualização grande)

Muitos aplicativos móveis exigem acesso à localização, fotos e até mesmo à câmera durante a instalação, o que não é algo que a maioria dos clientes gostaria de consentir. Uma maneira mais eficaz de obter permissão é explicar a necessidade de dados no ponto de coleta usando prompts "just-in-time", para que os usuários possam dar consentimento apenas quando entenderem o propósito, assim como fizemos visto com permissões anteriormente nesta série.

Avisos 'Just-in-time'
Solicitações 'Just-in-time', solicitando acesso ao local somente quando realmente necessário. (Fonte da imagem: Claire Barrett) (Visualização grande)

As explicações também devem informar os clientes sobre como retirar o consentimento, quando aplicável, e fornecer um link para a política de privacidade. Essas são uma questão de reclamações contínuas há anos, já que longas políticas de privacidade escritas em juridiquês perfeitamente obscuros são quase impossíveis de compreender sem uma sessão de revisão dedicada. (Na verdade, um estudo de 2008 mostrou que uma pessoa média levaria cerca de 244 horas por ano para ler todas as políticas de privacidade dos sites que usa, o que se traduz em cerca de 40 minutos por dia .)

Em vez de apresentar a política de privacidade como uma parede de texto complicado, ela pode ser dividida e agrupada em seções claramente rotuladas e texto expansível, otimizado para digitalização, localização e compreensão.

Ações de política separadas
Ações políticas separadas, apresentadas como acordeões. Otimizado para fácil digitalização e compreensão. (Fonte da imagem: Claire Barrett) (Visualização grande)

Uma vez concedido o consentimento, os clientes devem ter controle total sobre seus dados; ou seja, a capacidade de navegar, alterar e excluir qualquer um dos dados que nossos aplicativos mantêm. Isso significa que as configurações de dados em nossos aplicativos móveis precisam fornecer opções granulares para revogar o consentimento e desativar as preferências de marketing, bem como a opção de baixar e excluir quaisquer dados sem vagar pelo labirinto complicado de seções de ajuda e painéis de configuração ambíguos.

menu 'configurações de dados'
Os clientes devem ter controle total sobre seus dados, portanto, nosso menu 'configurações de dados' deve fornecer opções granulares para revogar o consentimento, desativar as preferências e baixar/ou excluir todos os dados. (Fonte da imagem: Claire Barrett) (Visualização grande)

O principal problema com as decisões de design com reconhecimento de privacidade é que é difícil avaliar o impacto da coleta de dados e todos os desafios de interface que ela representa no design e no desenvolvimento. Ser humilde e sutil não é apenas uma questão de respeito, mas também de reduzir a dívida técnica e evitar batalhas legais no futuro. Para isso, as seguintes diretrizes gerais também podem ajudar.

Economize o mínimo de dados possível

Se você optar por armazenar dados de cartão de crédito, deverá ser franco sobre as medidas de segurança que toma para armazená-los de forma confidencial. Quanto menos dados você precisar e armazenar, menor será o impacto de uma possível violação.

Trate bem os dados pessoais

Nem todos os dados são criados iguais. Quando os usuários fornecem informações pessoais, diferencie os diferentes estratos de dados, pois as informações privadas são provavelmente mais confidenciais do que as informações públicas. Trate bem os dados pessoais e nunca os publique por padrão. Por exemplo, à medida que um usuário completa seu perfil, forneça uma opção para revisar todas as entradas antes de publicá-las. Seja humilde e sempre peça permissão primeiro ; proteja os usuários de forma proativa e não armazene dados confidenciais. Isso pode ajudar a evitar situações desconfortáveis ​​no futuro.

Isso vale não apenas para o procedimento de armazenamento e publicação de dados de usuários em seus servidores, mas também quando se trata de recuperação de senha ou uso de dados de clientes para qualquer tipo de parceria de afiliados. Na verdade, entregar o e-mail de um cliente a outra pessoa sem consentimento explícito é uma violação de confiança e privacidade e geralmente resulta em e-mails marcados como spam porque os clientes são repentinamente confrontados com uma marca desconhecida na qual não confiam. Na verdade, o último é quase como um mecanismo de defesa contra sites vorazes que coletam e-mails continuamente em troca de brindes gratuitos, acesso a vídeos e ofertas freemium.

Explique antecipadamente que tipo de dados do usuário os terceiros receberão

Ao fornecer uma opção de login social, seja específico sobre o que acontecerá com os dados do usuário e quais permissões terceiros terão. Normalmente, uma nota sutil aparece quando o login social é solicitado, mas é uma boa ideia ser explícito imediatamente sobre como os dados serão tratados e, especificamente, o que não acontecerá com os dados de um usuário.

É comum ver as interações dos usuários pararem quando os clientes são forçados a conectar suas novas contas com as já existentes ou quando são incentivados a usar seus perfis sociais para progredir no aplicativo. Essa nunca é uma etapa simples a ser tomada e requer alguma explicação e garantia de que revogar o acesso é fácil.

Preparar dados do cliente para exportação

Não é trivial obter uma visão completa dos dados coletados, especialmente se terceiros estiverem envolvidos. Certifique-se de que, sempre que os dados pessoais forem coletados, eles sejam estruturados de maneira otimizada para exportação e exclusão posteriormente. Pontos de bônus se também for digerível para o usuário final, para que ele possa encontrar os pedaços e peças de que precisa quando estiver interessado em algo muito específico. Isso também significa rastrear quais tipos de dados são coletados e para onde os dados fluem, pois podemos usar essa estrutura posteriormente para fornecer controle granular sobre as configurações de dados e preferências de privacidade em nossa interface do usuário.

Você já deve ter ouvido falar de algumas empresas amigáveis ​​que tornam a importação de dados pessoais extremamente fácil, mas a exportação de dados do usuário é dolorosamente difícil ou quase impossível. Sem surpresa, essa prática não é bem percebida pelos clientes; e especialmente nos momentos em que eles estão pensando em excluir sua conta, um bloqueio tão generalizado levará a reclamações de suporte ao cliente, chamadas de call center e explosões de raiva nos canais sociais. Esse não é um recurso agradável que os manterá leais a longo prazo.

Embora algumas empresas possam ser responsabilizadas publicamente por causa de seu tamanho, para muitas empresas de pequeno e médio porte, a reputação é o bem mais precioso que elas têm e, portanto, é aconselhável não jogar com ela. Você pode até pensar em fazer parceria com serviços semelhantes e tornar os dados do usuário perfeitamente portáteis e transferíveis para cada um deles, enquanto espera que o mesmo recurso também seja suportado pelos parceiros.

Tornar difícil fechar ou excluir uma conta falha a longo prazo

Os gigantes corporativos se destacaram em tornar notavelmente difícil para os clientes fechar ou excluir suas contas. E essa técnica funciona quando se mudar é dolorosamente difícil – esse é o caso da Amazon e do Facebook.

No entanto, se você estiver trabalhando em um site relativamente pequeno que se esforça por seus clientes fiéis, talvez não consiga retirá-lo com sucesso, pelo menos não a longo prazo. O impacto geral é ainda mais prejudicial se você dificultar o cancelamento de um pagamento recorrente, como costuma ser o caso das assinaturas. (Na verdade, é por isso que as assinaturas também são difíceis de vender - não é apenas o compromisso com os pagamentos mensais, mas sim a dificuldade de cancelar a assinatura mais tarde sem cobrança extra devido ao cancelamento antecipado.)

Na verdade, assim como os designers estão ficando melhores em ocultar configurações de perfil notórias para excluir uma conta, os clientes também estão em encontrar maneiras de navegar pelo labirinto , muitas vezes apoiados pela sabedoria infinita de tutoriais facilmente detectáveis ​​em blogs. Se não for o caso, os clientes recorrem às ferramentas que sabem que funcionam melhor: dando as costas ao serviço que não mostra respeito às suas intenções – geralmente marcando e-mails como spam, bloqueando notificações e usando menos o serviço. Isso não acontece da noite para o dia; mas lenta e gradualmente, e como as entrevistas mostraram, esses clientes têm a garantia de não recomendar o serviço a seus amigos ou colegas.

Surpreendentemente, é o contrário quando é extremamente fácil fechar a conta. Assim como nas notificações, pode haver boas razões pelas quais o usuário optou por seguir em frente e, muitas vezes, isso não tem nada a ver com a qualidade do serviço. Tentar convencer o cliente a ficar, com uma visão detalhada de todos os benefícios maravilhosos que você oferece, pode estar atingindo os alvos errados: especialmente em ambientes corporativos, a decisão já terá sido tomada, então a pessoa que fecha a conta literalmente pode ' t fazer muito sobre a mudança de direção.

exemplos de cancelamento de conta e assinatura encerrada em revista sensacional
Com o Smashing Membership, tentamos explicar o que acontece com os dados de maneira clara e damos a opção de deixar os membros exportarem seus dados sem nenhum truque oculto. (Visualização grande)

Para o Smashing Membership, tentamos manter a voz respeitosa e humilde, ao mesmo tempo em que mostramos um pouco de nossa personalidade durante o offboarding. Explicamos o que acontece com os dados e quando serão excluídos irrevogavelmente (sete dias), oferecemos a opção de restaurar o plano, permitimos que os clientes exportem seus pedidos e garantimos o não compartilhamento de dados com terceiros. Foi surpreendente ver que um bom número de pessoas que cancelaram sua assinatura do Membership acabaram recomendando-o a seus amigos e colegas, porque sentiram que havia algum valor para eles, embora não o usassem para si mesmos.

Adie a importação de contatos até que o usuário se sinta confortável com o serviço

Claro, muitos de nossos aplicativos não são particularmente úteis sem integrar o círculo social do usuário, então parece plausível pedir aos clientes que convidem seus amigos para não se sentirem sozinhos ou abandonados desde o início. No entanto, antes de fazer isso, pense em maneiras de incentivar os clientes a usar o serviço por um tempo e adiar a importação de contatos até o ponto em que os usuários estejam mais propensos a fazê-lo. Por padrão, muitos clientes bloqueariam uma solicitação antecipada, pois ainda não desenvolveram confiança no aplicativo.

Salve os dados do usuário por um período limitado de tempo após o encerramento da conta

Erros acontecem, e isso vale tanto para erros acidentais quanto para a exclusão de todos os dados pessoais após um dia extremamente ruim. Portanto, embora precisemos fornecer uma opção para baixar e excluir dados, também forneça uma opção para restaurar uma conta em um curto período de tempo. Isso significa que os dados serão salvos após a exclusão da conta, mas serão removidos irrevogavelmente após o término desse período de carência. Normalmente, 7 a 14 dias é mais que suficiente.

No entanto, você também pode fornecer uma opção para os usuários solicitarem a exclusão imediata dos dados por meio de solicitação por e-mail ou até mesmo com um clique em um botão. Os usuários devem ser informados sobre a exclusão definitiva de seus arquivos? Pode ser. A decisão final provavelmente dependerá de quão sensíveis são os dados: quanto mais sensíveis forem, maior a probabilidade de os usuários quererem saber que os dados desapareceram para sempre. A exceção são os dados anônimos: na maioria das vezes, os clientes não se importam com isso.

Fornecer resumos fáceis de usar das alterações da política de privacidade

Nada é definitivo e, portanto, sua política de privacidade e configurações de privacidade padrão podem precisar ser ajustadas devido a novos recursos de personalização ou a uma alteração no script de rastreamento. Sempre que isso acontecer, em vez de destacar a importância da privacidade em longas passagens de texto, forneça resumos claros e fáceis de usar das alterações. Você pode estruturar o resumo destacando como as coisas costumavam ser e como elas são diferentes agora. Não se esqueça de traduzir juridiquês em algo mais legível, explicando o que a mudança realmente significa para o usuário.

Francamente, a maioria dos usuários não parecia se importar muito com as mudanças na política de privacidade. Após o fluxo interminável de notificações de atualização de política em 2018, a reação padrão geralmente é o consentimento imediato. Uma vez que eles notam algo relacionado à política de privacidade na linha de assunto ou no corpo do e-mail, eles imediatamente aceitam as alterações antes mesmo de rolar até o final do e-mail. No entanto, quanto mais pessoais forem os dados armazenados, mais tempo foi gasto na revisão das alterações, que muitas vezes eram notavelmente confusas e pouco claras.

política de privacidade medium.com
A microcópia sempre esteve no coração do Medium.com. Uma política de privacidade bem projetada e bem estruturada com resumos claros das alterações da política de privacidade. (Fonte da imagem: Email Design BeeFree) (Visualização grande)
politica de privacidade do mailchimp
MailChimp, com um resumo conciso das alterações de sua política de privacidade. (Visualização grande)

Nota : O pessoal da Really Good Emails coletou alguns ótimos exemplos de design de e-mail relacionados ao GDPR se você estiver procurando mais inspiração sobre como compartilhar alterações na política de privacidade com seus usuários e assinantes.

Configure uma estratégia de comunicação em caso de violação

Ninguém quer estragos depois que os dados do usuário são comprometidos. Em tais situações, é fundamental ter uma estratégia de comunicação clara e forte. Tenha uma explicação preparada caso alguns dados do usuário sejam comprometidos. Mandy Brown publicou um artigo fantástico, “Fire Drills: Communications Strategy in a Crisis”, em A List Apart, explicando como configurar um, e algumas coisas a considerar ao fazê-lo.

Privacidade por design

Pode parecer que visitar sites é uma atividade bastante comum e os usuários devem se sentir confortáveis ​​e familiarizados com recursos como login social, importação de contatos e avisos de cookies. Como vimos nesta série, há muitas considerações de privacidade não triviais e, na maioria das vezes, os clientes têm preocupações, dúvidas e preocupações sobre o compartilhamento de seus dados pessoais.

É claro que o escopo desta série pode se estender muito mais, e nem analisamos a recuperação de senha, o design das configurações de privacidade no aplicativo, janelas de bate-papo flutuantes e pop-ups, considerações de desempenho e acessibilidade ou o design de experiências de privacidade para os usuários mais vulneráveis ​​— crianças, idosos e pessoas com desvantagens. No entanto, o ponto crítico ao tomar decisões de design em torno da privacidade é sempre o mesmo: precisamos encontrar um equilíbrio entre requisitos de negócios rigorosos e design respeitoso que ajude os usuários a controlar seus dados e rastreá-los, em vez de coletar todas as informações que pudermos e bloqueando os clientes em nosso serviço.

Um bom roteiro para encontrar esse equilíbrio é adotar uma estrutura de práticas recomendadas que prioriza a privacidade, conhecida como Privacy by Design (PbD). Surgindo no Canadá na década de 1990, trata-se de antecipar, gerenciar e prevenir problemas de privacidade antes que uma única linha de código seja escrita. Com a política de proteção de dados da UE em vigor, a privacidade desde o projeto e a proteção de dados se tornaram um padrão em todos os usos e aplicativos. E isso significa que muitos de seus princípios podem ser aplicados para garantir a conformidade com o GDPR e uma melhor privacidade do UX do seu site ou aplicativo.

Em essência, a estrutura espera que a privacidade seja uma configuração padrão e uma medida proativa (não reativa ) que seria incorporada a um design em seu estágio inicial e durante todo o ciclo de vida do produto. Ele incentiva a oferecer aos usuários opções granulares de privacidade, padrões de privacidade respeitosos, avisos detalhados de informações de privacidade, opções fáceis de usar e notificação clara de alterações. Como tal, funciona bem com as diretrizes que descrevemos nesta série.

Eu recomendo a leitura de um dos artigos de Heather Burns, “Como proteger seus usuários com a estrutura de privacidade por design”, no qual ela fornece um guia detalhado para implementar a estrutura de privacidade por design em serviços digitais.

Por onde começar, então? Grandes mudanças começam com pequenos passos. Inclua privacidade na pesquisa inicial e na concepção durante o estágio de design e decida sobre padrões, configurações de privacidade e pontos de contato confidenciais, desde o preenchimento de um formulário da Web até a integração e a exclusão. Minimize a quantidade de dados coletados, se possível , e rastreie quais dados terceiros podem estar coletando. Se você puder anonimizar dados pessoais, isso também é um bônus.

Sempre que um usuário enviar suas informações pessoais, acompanhe como as perguntas são estruturadas e como os dados são coletados. Exiba notificações e solicitações de permissão na hora certa, quando você tiver quase certeza de que o cliente aceitaria. E, no final, informe os usuários em resumos digeríveis sobre as alterações na política de privacidade e facilite a exportação e exclusão de dados ou o fechamento de uma conta.

E o mais importante: da próxima vez que você estiver pensando em adicionar apenas uma caixa de seleção ou fornecer opções binárias, pense no mundo lindamente difuso e não binário em que vivemos. não importa o quão óbvia uma escolha possa parecer. Seus clientes vão apreciá-lo.