Primera sanción de la AEPD en España sobre los patrones oscuros o “dark patterns”

por | Oct 19, 2023 | Compliance

¿Qué son los patrones oscuros?

Los patrones oscuros son estrategias de diseño de interfaces intencionalmente engañosas, diseñadas con el propósito de llevar a los usuarios a tomar decisiones que no desean, sin considerar las necesidades del usuario. Estas prácticas, en el contexto de Internet, se utilizan para manipular las interacciones de las personas.

Los patrones oscuros pueden manifestarse en diversas etapas de la interacción del usuario en línea, como el proceso de registro, inicio de sesión, configuración de opciones de privacidad, banners de cookies, solicitudes de ejercer derechos, notificaciones de brechas de datos personales e incluso al intentar darse de baja de una plataforma.

El Comité Europeo de Protección de Datos clasifica los patrones oscuros en seis categorías:

  1. Sobrecarga: Implica presentar demasiadas opciones al usuario, lo que causa fatiga y lleva a compartir más información personal de lo deseado. Esto se logra mediante la repetición de preguntas, la creación de laberintos de privacidad y la presentación de una gran cantidad de opciones.
  2. Ocultación: Diseñar la interfaz de tal manera que el usuario no preste atención a aspectos relacionados con la protección de datos o los olvide.
  3. Emocionar: Apelar a las emociones de los usuarios o utilizar efectos visuales para influenciar sus decisiones.
  4. Obstaculización: Introducir obstáculos para que el usuario no pueda realizar ciertas acciones de manera sencilla, como colocar configuraciones de privacidad en lugares de difícil acceso o proporcionar información engañosa sobre las consecuencias de ciertas acciones.
  5. Inconsistencia: Crear una interfaz inestable e inconsistente que impida al usuario realizar las acciones deseadas.
  6. Enturbiar: Ocultar información o configuraciones de privacidad de manera poco clara, utilizando lenguaje confuso, información contradictoria o ambigua.

La principal complejidad, desde el punto de vista del asesoramiento jurídico, de los patrones oscuros, es la inexistencia de leyes que lleven el término «patrón oscuro» en su nombre. No obstante, crecen cada día los organismos reguladores y los gobiernos de todo el mundo están prestando cada vez más atención a la posibilidad de legislar sobre ellos.

A pesar de ello, era una opinión muy extendida en el sector que, aún en ausencia de disposición específica aplicable a los patrones oscuros, estos ya estaban prohibidos por aplicación análoga de distintas leyes en vigor y aplicables en España, entre otras:

  • La Ley Orgánica de Protección de Datos establece que los responsables y encargados del tratamiento deberán cumplir los principios de transparencia, minimización de datos, privacidad por defecto, privacidad desde el diseño y responsabilidad proactiva, y más concretamente, privar a los interesados de sus derechos y libertades o impedirles ejercer el control sobre sus datos personales
  • La Ley de Competencia Desleal española, aunque no contiene referencias directas a los patrones oscuros, establece que están prohibidas las siguientes conductas: (1) se considera desleal toda conducta objetivamente contraria a las exigencias de la buena fe, (2) toda conducta que contenga información falsa o que, aun siendo veraz, por su contenido o presentación induzca o pueda inducir a error a los consumidores y usuarios y sea susceptible de alterar su comportamiento económico, y (3) la omisión u ocultación de información necesaria para que el consumidor o usuario adopte o pueda adoptar una decisión informada sobre su comportamiento económico.
  • La Ley de la Sociedad de la Información española, aunque no contiene tampoco ninguna designación específica a los patrones oscuros, obliga a los prestadores de servicios de la sociedad de la información a: (1) facilitar, tanto a los destinatarios del servicio como a las autoridades competentes, el acceso permanente, fácil, directo y gratuito a la información general por medios electrónicos, (2) informar, de forma permanente, fácil, directa y gratuita, sobre los distintos medios técnicos para incrementar los niveles de seguridad de la información.
  • La propia AEPD, en su Guía sobre Privacidad por Defecto, establece que una de las restricciones por defecto que deben aplicarse de acuerdo con su criterio es garantizar el cumplimiento de la normativa aplicable en materia de protección de datos, recogiendo el apartado 5 del citado informe que, en aplicación del principio de equidad establecido en el artículo 5. 1. a del GDPR, el responsable del tratamiento debe garantizar que no se utilizan «patrones oscuros», y que la verificación de que no se utilizan «patrones oscuros» para manipular el proceso de elección del usuario o influir de forma encubierta en la decisión del usuario se encuentra identificada entre las medidas y garantías que permitan, de forma satisfactoria y demostrable, acreditar el cumplimiento del GDPR. Comité Europeo de Protección de Datos ha adoptado consignas similares en sus “Directrices sobre patrones oscuros en interfaces de redes sociales”. La AEPD, en este sentido, mantiene su tendencia para con la promoción de prácticas transparentes, claras y adecuadas en el tratamiento de datos personales, como viene promoviendo con el sistema de Doble Capa, orientado a ofrecer una mayor claridad y seguridad a los interesados.

¿Qué sanciona la AEPD?

El pasado 20 de septiembre, según ha trascendido recientemente, la AEPD emitió una resolución pionera en España, abordando el uso extendido de técnicas de manipulación en los menús de privacidad de las páginas web, especialmente por empresas que obtienen ingresos de la venta de datos en línea.

En el caso denunciado, entre otras cuestiones, la AEPD pudo comprobar que mediante los patrones de sobrecarga (presentando demasiadas opciones al usuario, lo que causa fatiga y lleva a compartir más información personal de lo deseado) y ocultación (diseñando la interfaz de tal manera que el usuario no preste atención a aspectos relacionados con la protección de datos), la empresa sancionada forzaba los usuarios a ceder sus datos personales a unas 130 empresas, de las cuales, más de la mitad ya tenían marcada por defecto la casilla de “aceptar tratamiento de datos por Interés legítimo”. Ello obligaba a los usuarios, en el caso de querer mostrar la oposición al tratamiento, a marcar una a una a lo largo de toda la lista, la oposición al tratamiento. No existía, tampoco, la opción de poder oponerse indicándolo una sola vez o un número de veces que resulte razonable y no genere fatiga en el afectado.

Con ello, la AEPD ha considerado que la obtención de consentimiento a través de técnicas de persuasión, conocidas como «patrones oscuros», constituye una vulneración en el tratamiento de datos personales. Estas técnicas incluyen estratagemas como ocultar información relevante, usar formas, colores y palabras confusas, bloquear opciones para oponerse al tratamiento y otras prácticas similares. La resolución establece un nuevo marco para el diseño de menús de privacidad en páginas web y representa un duro golpe para las empresas que subastan datos de usuarios con fines publicitarios.

Adicionalmente, la AEPD sanciona a la empresa titular de la web por falta de claridad en la redacción de su Política de Privacidad (no se definen adecuadamente los fines del tratamiento, ni se detallan los intereses legítimos perseguidos en el caso de tal base jurídica, ni se informa de las transferencias internacionales de datos efectivamente practicadas), errores en la política de cookies y su funcionamiento en el entorno de la web (activando por defecto, incluso cuando se han rechazado todas las cookies no técnicas o necesarias, cookies de rendimiento).

Desde el área de Compliance  de Santiago Mediano Abogados estamos a vuestra disposición en caso de precisar cualquier aclaración o información adicional al respecto.

Javier Berrocal / jberrocal@santiagomediano.com

José Antonio Torrado / jatorrado@santiagomediano.com

Guillem Valencia / gvalencia@santiagomediano.com

Alex Sleiman / asleiman@santiagomediano.com