2023-11-06T10:55:00
Unión Europea
La AEPD sanciona por primera vez el uso de técnicas de manipulación para que el usuario de webs y aplicaciones facilite más datos de los necesarios
Cerco a los
6 de noviembre de 2023

La preocupación de las autoridades por los llamados “patrones oscuros” -en inglés, “dark patterns”– sigue creciendo. Hasta ahora, la Agencia Española de Protección de Datos (AEPD) había venido advirtiendo sobre su utilización. Estas advertencias se han materializado en la publicación de una resolución de la AEPD que tiene por objeto, entre otras cuestiones, sancionar al responsable de un sitio web por la utilización de dark patterns.

Pero…, ¿qué son los dark patterns?

La AEPD define los patrones oscuros como las interfaces e implementaciones de experiencia de usuario destinadas a influenciar el comportamiento y las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que tomen decisiones potencialmente perjudiciales para la protección de sus datos personales.

Esencialmente, lo que se busca con este tipo de prácticas es manipular la interacción de las personas. Existen distintas formas de hacerlo, por ejemplo:

  • Sobrecarga: presentar un gran número de posibilidades al usuario, lo que le genera fatiga y provoca que termine compartiendo más información de la deseada.
  • Ocultación: diseñar una interfaz o experiencia de usuario para que este no piense u olvide configurar a su elección determinados aspectos.
  • Obstaculización: poner dificultades para que el usuario realice de forma sencilla ciertas acciones.

El Comité Europeo de Protección de Datos (CEPD) adoptó en febrero de 2023 la nueva versión de sus “Directrices sobre dark patterns en interfaces de redes sociales: cómo reconocerlos y evitarlos”, que ofrecen más categorías y ejemplos de dark patterns.

Pronunciamientos de las autoridades

Las anteriores directrices incorporan también algunas de las cuestiones tratadas a principios del 2023 por el Cookie Banner Taskforce, uno de los Grupos de Trabajo del CEPD, que ya cuestionaba prácticas como el uso de colores y contrastes confusos en los botones del sistema de configuración de cookies.

Más allá de la estrecha relación que los dark patterns guardan con la protección de datos, estos también se presentan en otros ámbitos. Por ejemplo, la Comisión Europea publicó en enero de 2023 una nota de prensa sobre la protección de los consumidores y prácticas manipuladoras (disponible aquí), donde se analizaron, junto con las autoridades nacionales de protección de los consumidores, las prácticas manipuladoras –entre ellas, el uso de dark patterns como falsas cuentas atrás– de determinadas tiendas en línea.

De igual forma, las autoridades europeas se han pronunciado en contra de los dark patterns en otros sectores como el de las plataformas en línea sujetas a la Ley de Servicios Digitales o el de los videojuegos, así como recientemente en los contratos financieros a distancia.

Resolución de la AEPD

La AEPD publicó el pasado mes de septiembre su primera resolución sancionadora por el uso de dark patterns. Concretamente, la empresa sancionada utilizaba dark patterns de sobrecarga y ocultación en el sistema de configuración de cookies de su sitio web.

La AEPD comprobó como en la sección “Lista de proveedores” de dicho sistema de configuración aparecían una gran cantidad de terceros con potencial acceso a datos de los usuarios mediante cookies. Por defecto, la casilla “aceptar tratamiento de datos por interés legítimo” aparecía marcada en muchos de estos terceros. Esto provocaba que, si el usuario quería oponerse al tratamiento, debía desmarcar una a una la casilla de cada tercero, sin que existiera la opción de mostrar su oposición para todos los terceros a la vez. Por el contrario, sí se ponía a disposición de los usuarios un único botón para aceptarlos a todos de una vez.

A resultas de las diversas deficiencias detectadas, la AEPD sanciona a la empresa con una multa de 12.000 euros, de los cuales 5.000 euros se deben a la infracción del principio de licitud, lealtad y transparencia –artículo 5.1.a) del RGPD– por el uso de dichos dark patterns.

Ramon Baradat, con la colaboración de Alexandra Martín

6 de noviembre de 2023