¿Qué son los dark pattern?
Los dark pattern se refieren a aquellas interfaces y experiencias de usuario implementadas en plataformas en línea que inducen a los usuarios a tomar decisiones potencialmente perjudiciales y no intencionadas en relación con el tratamiento de datos personales. Lo que principalmente influye en el comportamiento de los usuarios, de hecho, es la capacidad de controlar eficazmente las actividades realizadas con sus datos personales.
¿Cuántas tipologías de dark pattern existen?
El 24 de febrero de 2023, el Comité Europeo de Protección de Datos (EDPB) publicó unas directrices sobre cómo reconocer y evitar estos sistemas. El documento ofrece recomendaciones prácticas a los proveedores, diseñadores y usuarios de redes sociales sobre cómo hacer frente a estas interfaces que incumplen el Reglamento Europeo de Protección de Datos. Las directrices del EDPB identifican seis tipos de "patrones de diseño engañosos":
- cuando los usuarios se enfrentan a un enorme número de solicitudes, información, opciones o posibilidades destinadas a inducirles a compartir tantos datos como sea posible y permitir involuntariamente que se traten datos personales en contra de las expectativas del interesado (overloading)
- cuando las interfaces se diseñan de tal manera que los usuarios olvidan o no piensan en aspectos relacionados con la protección de sus datos (skipping)
- cuando se influye en las decisiones de los usuarios apelando a sus emociones o utilizando estímulos visuales (stirring)
- cuando se obstaculiza o bloquea a los usuarios en el proceso de ser informados sobre el uso de sus datos o en la gestión de los mismos (hindering)
- cuando los usuarios consienten el tratamiento de sus datos sin comprender cuáles son las finalidades s debido a una interfaz incoherente o poco clara (flickle)
- cuando la interfaz está diseñada para ocultar información y las herramientas de control de la privacidad a los usuarios (left in the dark)
La sanción pionera de la AEPD por el uso de “dark patterns”
El pasado mes de octubre, la AEPD ha sancionado por primera vez una empresa por el uso de dark patterns en su web, con una multa de 12 mil euros. En particular, la Agencia reconoce que la web investigada utiliza los patrones oscuros de sobrecarga (overloading) y ocultación (skipping) en el diseño de la interfaz de usuario mediante la que se configuran las opciones de privacidad, concretamente cuando el interesado manifiesta su oposición al tratamiento de datos basado en el interés legítimo del responsable y de terceros (“socios”).
El patrón oscuro de sobrecarga, se observa claramente cuando se accede al apartado de la ventana emergente “Lista de proveedores”, una vez allí, el usuario se encuentra con una lista de 1.522 empresas, de las cuales, aproximadamente 338 tienen marcada por defecto la casilla de “Interés legítimo”, lo que obliga, en el caso de querer mostrar la oposición al tratamiento a marcar una a una a lo largo de toda la lista, cada una de las 338 casillas, sin que exista la opción de poder oponerse indicándolo una sola vez o un número de veces que resulte razonable y no genere fatiga en el usuario.
Además, las casillas para oponerse al tratamiento de datos personales aparecen en un color grisáceo que se confunde con el blanco utilizado como fondo de la pantalla, lo que dificulta su localización y sirve como mecanismo de camuflaje, evitando la detección si no se realiza un esfuerzo visual incrementado. Según la AEPD, la información que facilita el responsable relativa a los intereses legítimos de terceros y a los fines del tratamiento a los que se destinan los datos personales no resulta, por lo tanto, transparente.
Consideraciones finales: necesidad de un enfoque legal design
El legal design desempeña un papel crucial para contrarrestar el uso de dark patterns, ofreciendo una solución fundamental para promover la ética y la transparencia en las interacciones digitales. Como se ha mencionado, los patrones oscuros son prácticas engañosas utilizadas para influir en el comportamiento de los usuarios que, sin embargo, ya no pasan desapercibidas.
De hecho, con la resolución comentada, la AEPD sigue el camino emprendido con Guía de protección de datos por defecto aprobadas en octubre de 2020, a Guía de cookies actualizada en 2020 y las Directrices 3/2022 de la EDPB sobre patrones oscuros que establecen obligaciones muy precisas, entre otras cosas, también en cuanto al diseño de los banners de cookies (por ejemplo, la necesidad de que las acciones alternativas ejecutables por los usuarios tengan la misma relevancia gráfica).
Mediante el diseño de interfaces y comunicaciones claras, comprensibles y accesibles, las empresas pueden garantizar que los usuarios estén adecuadamente informados sobre sus opciones, derechos y obligaciones, y evitar sanciones por parte de las autoridades.