En muchas ocasiones, los usuarios no somos conscientes de que las acciones que llevamos a cabo en internet no son totalmente libres. Nos dejamos persuadir, sin saberlo, por interfaces e implementaciones de experiencia de usuario que tienen por objeto influenciar nuestra toma de decisiones. Este tipo de prácticas son lo que se conoce como “patrones oscuros” (“dark patterns”, en inglés). Muchas páginas web, redes sociales y aplicaciones utilizan estas técnicas poco éticas con la intención de que hagas lo que ellas quieren, incluso aunque pueda ser perjudicial para tus intereses y lo que es peor, generalmente lo hacen sin que te des cuenta, basándose en el engaño, la manipulación o la ocultación de información.
¿Dónde actúan los patrones oscuros?
Los patrones oscuros pueden manifestarse en diversos contextos, como configuración de privacidad, banners de cookies o registros en redes sociales. También pueden surgir cuando una empresa comunica una brecha de seguridad y distorsiona la información para llevar al afectado a su terreno, o cuando una tienda online oculta el precio real de un producto, sorprendiendo al cliente en las políticas de envío. Estas prácticas pueden aparecer en cualquier situación que beneficie a las plataformas a expensas de los intereses y derechos de los usuarios.
¿Cómo reconocer los patrones oscuros?
En 2022, el Comité Europeo de Protección de Datos (EDPB) publicó las «Directrices sobre dark patterns en interfaces de redes sociales: cómo reconocerlos y evitarlos» para consulta pública. Estas directrices se basan en el RGPD y evalúan cuándo un patrón de diseño en una interfaz corresponde a un patrón oscuro. Se enfocan en los principios de licitud, lealtad y transparencia, que exigen que la información proporcionada al usuario sea clara y comprensible, sin artimañas ni engaños. Estas directrices tomaron como punto de partida el artículo 5.1.a del RGPD, para evaluar cuando un patrón de diseño en una interfaz de usuario corresponde con un dark pattern. Dicho artículo recoge además del principio de licitud en el tratamiento de datos, los de lealtad y transparencia, los cuales implican que la información prestada al usuario debe ser adecuada, de forma que éste conozca el alcance real de la misma y no se empleen artimañas o engaños para influenciarlo en uno u otro sentido; y que dicha información debe ser clara y fácil de comprender.
Categorías de Patrones Oscuros
- Sobrecarga (overloading). Consiste en presentar demasiadas posibilidades a la persona que tiene que tomar decisiones, lo que termina generando fatiga sobre el usuario, que acaba compartiendo más información personal de la deseada.
Ejemplo: Recientemente, en PS/00080/2023, la AEPD impuso sanción de 5000 € a una entidad por infracción de del artículo 5.1.a del RGPD, ya que utilizaba patrones oscuros de sobrecarga (también de ocultación) en el panel de configuración de cookies de una de sus webs, en la medida en que el usuario se encontraba con una lista de más de 130 proveedores de los cuales más de la mitad tenían marcada por defecto la casilla “aceptar tratamiento de datos por interés legítimo”, lo que obligaba a tener que marcar una a una las casillas de oposición al tratamiento, sin dar la opción de indicarlo en una sola vez o en un número razonable de veces, produciendo fatiga al usuario e induciéndolo indirectamente a desistir de dicha operación de oposición.
- Ocultación (skipping). Consiste en diseñar la interfaz o experiencia de usuario de tal manera que éste olvide algunos aspectos relacionados con la protección de sus datos.
Ejemplo: Un patrón de este tipo podría ser que determinadas configuraciones de privacidad de una red social estuviesen activadas por defecto, disuadiendo a los usuarios de cambiar esas opciones, absortos por el “efecto predeterminado”.
- Emocionar (stirring). Apelar a las emociones de los usuarios o utilizar empujones visuales en busca de efectos para influenciar las decisiones.
Ejemplo: Imaginemos un banner de cookies en el que el botón Aceptar sale en color verde y el botón Rechazar en rojo. De forma indirecta se estaría induciendo al usuario a aceptar las cookies, ya que todos asociamos el color rojo a “prohibición” y el verde a “puede pasar”, como si de un semáforo se tratase.
- Obstaculización (hindering). Tratar de poner trabas para que el usuario no pueda realizar de forma sencilla ciertas acciones, por ejemplo, colocando los ajustes de privacidad en zonas a las que es muy complicado acceder.
Ejemplo: Supongamos que en el menú de configuración de las cookies de una web acepto todas las que se me presentan, pero pasado un tiempo me arrepiento y quiero retirar mi consentimiento. Si la web esconde el botón flotante de retirada del consentimiento de manera que sea muy difícil localizarlo, estaríamos ante un dark pattern (hindering), en la medida en la que se me estarían poniendo trabas para una acción aparentemente sencilla. Otro ejemplo de obstaculización se produciría si rechazo las cookies, pero, a pesar de todo, éstas se siguen instalando, ya que en este caso se obstaculiza mi libertad de elección.
- Inconsistencia (fickle). La interfaz presenta un diseño inestable e inconsistente que no permite realizar las opciones deseadas por el usuario.
Ejemplo: Imaginemos una página web dirigida a consumidores españoles cuya política de privacidad se encuentra en inglés. Esta práctica constituye un patrón oscuro por discontinuidad del idioma.
- Enturbiar (left in the dark). La información o las opciones de privacidad se esconden o se presentan de forma poco clara, utilizando un lenguaje errático, información contradictoria o ambigua.
Ejemplo: Pongamos, por ejemplo, una política de privacidad que presente la información de forma tan ambigua o contradictoria que lleve a los usuarios a no comprender cómo se tratan sus datos, lo que hace que no sepan que camino tomar y terminen por mantener la configuración que aparece predeterminada por defecto.
Dándole la vuelta a la tortilla: ¿Y si soy yo el dueño o diseñador la interfaz?
Hasta ahora, hemos tratado este tema de los patrones oscuros desde la óptica del usuario, pero ¿cómo actuar si soy yo el diseñador o propietario de la interfaz o experiencia de usuario? El Comité Europeo de Protección de Datos, en las Directrices antes mencionadas, establece una serie de recomendaciones para evitar estos patrones y diseñar interfaces acordes con el RGPD. Destacamos, entre otras, las siguientes:
- Proporcionar enlaces prácticos para que los usuarios puedan administrar sus datos y configuraciones de privacidad.
- Hacer que las políticas de privacidad sean fácilmente visibles.
- Agrupar las opciones de procesamiento de datos que tienen el mismo propósito para que los usuarios puedan cambiarlas fácilmente y proporcionar ejemplos para hacer más tangible como se realiza dicho procesamiento.
- Proporcionar información de contacto de la empresa para las solicitudes de protección de datos, así como informar a los usuarios sobre la entidad supervisora y cómo presentar una queja.
- Mostrar las diferencias en las versiones de políticas de privacidad anteriores y destacar los cambios introducidos.
- Usar términos y definiciones coherentes en todo el sitio web y proporcionar definiciones para términos técnicos o jergas.
- Usar notificaciones para avisar a los usuarios de los aspectos importantes y cambios que se produzcan en las políticas de protección de datos.
- Proporcionar formularios para que los usuarios puedan ejercitar sus derechos reconocidos en el RGPD.
¡Concluyendo!
Evitar el empleo de dark patterns ayuda a cumplir el RGPD y eludir sanciones que, en el caso de incumplimiento de los principios de lealtad y transparencia del artículo 5, podrían llegar a alcanzar una cuantía equivalente al 4% del volumen de facturación de la empresa en el ejercicio financiero anterior. Por todo ello, no uses patrones oscuros, respeta al usuario y evita sanciones. Si tienes dudas sobre como ofrecer en tu website una experiencia libre de dark patterns, en LegalTech de Softwariza3 disponemos de un equipo de consultores especializados en Derecho TIC que estará encantado de ayudarte. No lo dudes. ¡Llámanos!