¿Quieres contactar con nosotros?
Los dark patterns o patrones oscuros son las estrategias de diseño de interfaces y experiencias de usuario que se implementan en las páginas web, aplicaciones y redes sociales con el objetivo de manipular el comportamiento y las decisiones de los usuarios. Estas tácticas pueden llevar a los usuarios a tomar decisiones que resulten perjudiciales para su privacidad y la seguridad de sus datos personales.
En este sentido, la Agencia Española de Protección de Datos (AEPD), en su Guía de Protección de Datos por Defecto establece una relación directa entre el uso de estas técnicas y el principio de lealtad o fairness establecido en el artículo 5.1 a) del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD). De acuerdo con este principio, los responsables del tratamiento de datos están obligados a asegurar que no se utilicen estos patrones oscuros, ya que en caso contrario podrían verse sancionados por incurrir en incumplimientos de las disposiciones del RGPD.
Categorías
De acuerdo con las Directrices 03/2022 del Comité Europeo de Protección de Datos (el “EDPB”, por sus siglas en inglés), los dark patterns pueden clasificarse en las siguientes categorías:
Primeras sanciones
En los últimos años, la Comisión Europea ha llevado a cabo una campaña de inspección, pidiendo a las Autoridades de Control que adopten las medidas adecuadas para combatir estas prácticas perjudiciales para la privacidad de los usuarios.
En este sentido, la AEPD sancionó por primera vez en junio del 2023, con 12.000 €, a una empresa de soluciones tecnológicas por la infracción de varios preceptos del RGPD relacionados con la utilización de estos diseños.
Concretamente, la sanción fue impuesta por la utilización de patrones oscuros de sobrecarga (overloading) y de ocultación (skipping). La AEPD consideró que la utilización de patrones oscuros infringía el principio de licitud, lealtad y transparencia, recogido en el artículo 5.1 a) y cuya vulneración puede conllevar multas administrativas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global.
Pay or ok
A lo anterior, hay que añadir la tendencia de la AEPD por imponer criterios de transparencia más severos para los tratamientos de datos realizados mediante tecnologías de rastreo como las cookies, donde la actividad sancionadora está aumentando, como la reciente multa de 10 millones de euros de la Autoridad de Control Francesa (la “CNIL” por sus siglas en francés) a Yahoo! [1] y donde es muy frecuente ver el uso de banners diseñados con patrones oscuros.
Además de lo mencionado, el EDPB también se ha pronunciado sobre las técnicas de “pay or ok” [2], que pueden ser consideradas como patrones oscuros si el consentimiento de los usuarios no se presta de manera libre y voluntaria.
En este sentido, el EDPB considera que para que se otorgue libremente el consentimiento, el acceso a los servicios y funcionalidades no debe supeditarse a la aceptación por el usuario del uso de cookies, por lo tanto, parece que el modelo pay or ok quedaría descartado.
Sin embargo, existen determinados supuestos en los que la no aceptación de la utilización de cookies pueda impedir el acceso al sitio web o la utilización total o parcial del servicio. En estos casos, se deberá informar adecuadamente al respecto al usuario y se deberá ofrecer una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies. Conforme establecen las Directrices 05/2020 sobre el consentimiento del EDPB, los servicios de ambas alternativas deberán ser genuinamente equivalentes, y además no será válido que el servicio equivalente lo ofrezca una entidad ajena al editor.
Respecto al modelo pay or ok, el EDPB ha emitido la Opinión 8/2024, donde sugiere que, ofrecer a los usuarios una elección binaria entre el consentimiento para el tratamiento de datos personales con fines de publicidad comportamental y el pago de una tarifa que evite dichos tratamientos de datos personales, no será suficiente en la mayoría de los casos para cumplir con los requisitos del consentimiento válido.
Por tanto, si los responsables del tratamiento optan por cobrar una tarifa por el acceso a la “alternativa equivalente” también deben considerar la posibilidad de ofrecer otra alternativa gratuita, sin publicidad comportamental que, en principio, pueda considerarse equivalente.
Esta alternativa, añade el EDPB, podría consistir en publicidad general o contextual. Es decir, una publicidad que requiera el tratamiento de menos o de ningún dato personal del destinatario, como, por ejemplo, que se base en una selección de materias que elija el sujeto de entre una lista de asuntos de interés facilitada por la plataforma.
En cualquier caso y a la espera de que el EDPB publique una guía de aplicación general sobre la validez del consentimiento en modelos pay or ok, que se espera para el primer semestre de 2025, es fundamental para las empresas contar con un asesoramiento especializado que analice de forma exhaustiva las interfaces y experiencias de usuario, de forma que las mismas encuentren alineados sus objetivos de negocio con la protección jurídica adecuada, fomentando dentro de la organización una cultura de respeto por la privacidad y la protección de los datos personales, evitando así elevadas sanciones y posibles daños reputacionales.
¿Qué medidas se deben tomar para alinear las estrategias de negocio y evitar la implementación de patrones oscuros en las interfaces y experiencias de usuario? ¿Cómo debo trasladar la información al usuario para cumplir con las obligaciones de transparencia e información?
Artículo redactado por Pedro Marques Gaspar, Manager de Regulación Digital de PwC Tax & Legal y Javier Barbero Castejón, Associate de Regulación Digital de PwC Tax & Legal.
[1] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048967251
[2] El "Pay or Ok" en los muros de cookies es un mecanismo que presenta al usuario dos opciones al visitar un sitio web: (i) aceptar el uso de cookies publicitarias (Ok), o (ii) pagar una tarifa para acceder al contenido de la web sin permitir el uso de cookies (Pay).
Contacta con nosotros
