Créditos: Conjur
Nos últimos anos, o debate regulatório acerca dos chamados dark patterns ocupou posição central na agenda de autoridades de proteção de dados. A preocupação, que antes girava em torno da qualidade e da transparência da informação fornecida ao usuário, desloca-se agora para um fenômeno mais sutil e dissimulado: o direcionamento comportamental.
O termo dark patterns, ou “padrões obscuros”, em português, foi criado em 2010 pelo designer britânico Harry Brignull para conceituar técnicas de design deliberadamente concebidas para manipular, coagir ou enganar usuários online, levando-os a tomar decisões não intencionais, e potencialmente prejudiciais, em benefício do fornecedor. Esses truques, disseminados em sites e aplicativos, direcionam o consumidor a contratar serviços indesejados, renunciar inconscientemente seus direitos ou autorizar o compartilhamento de dados pessoais.
Entre os exemplos desse fenômeno estão botões de “aceitar todos os cookies” visualmente destacados, enquanto a opção de recusa aparece em fonte menor e exige cliques adicionais; e caixas de compartilhamento de dados com terceiros já marcadas por padrão, que dependem de ação ativa do usuário para serem desmarcadas.
Em todos esses casos, a falsa percepção de liberdade de escolha induz a decisão dos usuários de forma inconsciente. Não se trata mais, apenas, de saber se o usuário recebeu informação suficiente para decidir, mas de questionar se a decisão que tomou foi de fato sua, ou se foi arquitetada por terceiros a partir da exploração de mecanismos psicológicos de decisão e da assimetria do ambiente digital.
Dark patterns e a LGPD: uma incompatibilidade estrutural
No Brasil, embora ainda não exista legislação específica sobre dark patterns, é possível identificar sua incompatibilidade com os fundamentos da Lei Geral de Proteção de Dados (LGPD). O artigo 2º da Lei elenca os valores que orientam a proteção de dados pessoais no ordenamento brasileiro, entre os quais se destacam o respeito à privacidade, a autodeterminação informativa, a liberdade de informação e a defesa do consumidor. É precisamente sobre esses pilares que os dark patterns incidem de forma mais corrosiva. Sua nocividade reside não em uma afronta direta ao texto legal, mas em algo mais sutil: a erosão progressiva da autonomia decisória do titular. Sem essa autonomia, o consentimento, cuja validade depende de manifestação livre, informada e inequívoca, tende a converter-se em mera formalidade, esvaziada de qualquer conteúdo real.
O ponto central dessa discussão é o consentimento. O artigo 7º da LGPD o coloca como requisito para o tratamento de dados pessoais. No entanto, quando o ambiente digital é construído para dificultar a negativa, por meio de botões assimétricos, múltiplas etapas para cancelamento ou linguagem deliberadamente ambígua, questiona-se se há, de fato, liberdade decisória. A arquitetura da escolha passa então a contaminar o próprio elemento de vontade.
Essa contaminação opera também em outras duas dimensões. A primeira é a distinção entre liberdade formal e liberdade real. Ainda que o usuário possa recusar o consentimento, quando o ambiente digital é projetado para tornar essa recusa difícil ou constrangedora, a escolha deliberada existe apenas na teoria. A autodeterminação informativa que a LGPD busca assegurar exige mais do que a mera possibilidade técnica de dizer não, exige que essa recusa seja igualmente acessível e livre de qualquer pressão estrutural.
A segunda dimensão refere-se aos princípios da transparência e da boa-fé. Esses princípios não se esgotam na disponibilização de informações pela plataforma, ou seja, não basta que os termos estejam escritos em algum lugar. A clareza deve estar também refletida no tamanho dos botões, na linguagem utilizada e na forma como as opções são apresentadas ao usuário. Assim, o consentimento deixa de expressar uma vontade genuína e funciona como mera formalidade que autoriza, na prática, o que já foi decidido pelo design.
Da Meta à FTC: casos que moldam o debate
No cenário brasileiro há um caso emblemático. Em julho de 2024, a Agência Nacional de Proteção de Dados (ANPD) determinou a suspensão cautelar do tratamento de dados pessoais pela Meta para fins de treinamento de inteligência artificial. A Nota Técnica que embasou a decisão apontou que os usuários precisavam realizar diversas ações para manifestar sua oposição ao uso dos dados. O caso não foi tratado pela autoridade como mero problema de informação inadequada, mas como algo que o aproxima, de forma inequívoca, da lógica dos dark patterns.
Já na seara internacional, dois exemplos se destacam. Na União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) já vedava, de forma implícita, interfaces que tornassem o consentimento estruturalmente viciado. Mais recentemente, o Digital Services Act (DSA) foi além e proibiu expressamente práticas de dark patterns em plataformas digitais, reconhecendo que a manipulação pelo design é uma forma de violação de direitos.
Nos Estados Unidos, por sua vez, a Federal Trade Commission (FTC) propôs em 2024 a chamada “Click-to-Cancel Rule”, que obrigava plataformas a tornar o cancelamento tão simples quanto a adesão, mas a regra foi derrubada por um tribunal federal em julho de 2025. O contraste entre os dois modelos reforça que o combate aos dark patterns exige que o legislador enfrente diretamente o problema do design manipulativo.
O que o Brasil ainda precisa enfrentar
O caso Meta e as experiências internacionais apontam para uma conclusão que o debate brasileiro ainda resiste em enfrentar diretamente: regulação de dark patterns é, para além de uma questão de proteção ao consumidor, uma condição de validade do próprio sistema de consentimento da LGPD.
Enquanto a lei exige que o consentimento seja livre, informado e inequívoco, mas silencia sobre a arquitetura do ambiente em que ele é obtido, abre-se uma lacuna que plataformas têm todo o incentivo para explorar. Cabe à ANPD, e, eventualmente, ao legislador, ir além da fiscalização do conteúdo das políticas de privacidade e alcançar o design das interfaces: não basta que a opção de recusa exista, é preciso que ela seja tão acessível quanto a de aceitar.
Referências:
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).Brasília.
BRASIL. ANPD. Nota Técnica nº 27/2024. Nota Técnica 27/2024/FIS/CGF/ANPD. Brasília, 2024.
BRIGNULL, Harry. Dark Patterns: Deception vs. Honesty in UI Design. Disponível aqui.
GUARDIAN, The. US court strikes down ‘click-to-cancel’ rule designed to make unsubscribing easier. Disponível aqui.
- Gabriela Virtuoso é advogada especialista em Direito do Consumidor e Direito Digital, sócia do escritório Virtuoso Britto e Associados (VBA), graduada em Direito pela Universidade Federal de Santa Catarina (UFSC) e pós-graduanda em Direito Digital e LGPD pela PUC-RS.