El pasado 14 de febrero, el Comité Europeo de Protección de Datos (CEPD) aprobó la versión final de sus Directrices 03/2022 sobre patrones de diseño engañosos (patrones oscuros o dark patterns), en las interfaces de las plataformas de redes sociales, cómo reconocerlos y evitarlos (Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them)
Estas directrices, que tras su presentación en marzo pasado, han sido sometidas a un proceso de consulta pública, ofrecen recomendaciones prácticas a los diseñadores y usuarios de plataformas de medios sociales sobre cómo detectar y evitar esos patrones engañosos en las interfaces de medios sociales, que infrinjan los requisitos del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016).
¿Qué son los patrones de diseño engañosos?
En el contexto de las presentes directrices, se consideran "patrones de diseño engañosos" las interfaces y los recorridos del usuario implementados en plataformas de medios sociales, que pretenden influir en los usuarios para que tomen decisiones no deseadas, involuntarias y/o potencialmente perjudiciales, ya que las opciones a las que se les induce van en contra de los intereses de los usuarios y a favor de los intereses de las plataformas de medios sociales, con respecto a sus datos personales.
Los patrones de diseño engañosos pretenden influir en los comportamientos de los usuarios, generalmente basándose en sesgos cognitivos, y pueden obstaculizar su capacidad de "proteger eficazmente sus datos personales y tomar decisiones conscientes", por ejemplo, haciendo que no puedan "dar un consentimiento informado y libremente otorgado". Esto puede aprovecharse en varios aspectos del diseño, como la elección de colores de las interfaces y la ubicación de los contenidos. A la inversa, al ofrecer incentivos y diseños fáciles de usar, se puede apoyar la realización de la normativa de protección de datos.
Los patrones de diseño engañosos no sólo conducen necesariamente a una violación de la normativa de protección de datos. Los patrones de diseño engañosos pueden, por ejemplo, infringir también la normativa de protección de los consumidores.
Los límites entre las infracciones exigibles por las autoridades de protección de datos y las exigibles por las autoridades nacionales de protección de los consumidores, competencia u otras, pueden solaparse. En virtud del RGPD, las autoridades de protección de datos son responsables de sancionar el uso de patrones de diseño engañosos si realmente infringen las normas de protección de datos y, por tanto, el RGPD. Las infracciones de los requisitos del GDPR (LA LEY 6637/2016) deben evaluarse caso por caso. Las presentes directrices se refieren únicamente a los patrones de diseño engañosos que podrían entrar en el ámbito de aplicación de este mandato normativo.
Por esta razón, además de ejemplos de patrones de diseño engañosos, las directrices también presentan las mejores prácticas que pueden utilizarse para diseñar interfaces de usuario que faciliten la aplicación efectiva del RGPD. Dichas mejores prácticas pueden ofrecer un primer paso hacia una forma normalizada de que los usuarios controlen efectivamente sus datos y ejerzan sus derechos.
Categorías de dark patterns
Los patrones de diseño engañosos abordados en estas directrices pueden dividirse en las siguientes categorías:
- Sobrecarga (Overloading) significa que los usuarios se enfrentan a una avalancha o a una gran cantidad de solicitudes, información, opciones o posibilidades, con el fin de incitarles a compartir más datos o permitir involuntariamente el tratamiento de datos personales en contra de las expectativas del interesado.
En esta categoría se incluyen tres tipos de patrones de diseño engañosos entran en esta categoría: Interrogatorio prolongado (Continuous prompting), laberinto de privacidad (Privacy maze) y demasiadas opciones (Too many options).
- Omisión (Skipping) significa diseñar la interfaz o el recorrido del usuario de manera que olviden o no piensen en todos o algunos de los aspectos de la protección de datos.
En esta categoría se incluyen el Engatusamiento engañoso (Deceptive Snugness) y el “Mira hacia allí” (Look over there).
- Agitar (Stirring), afecta a la elección que harían los usuarios apelando a sus emociones o utilizando impulsos visuales.
En esta categoría se incluyen la Dirección emocional (Emotional Steering) y el “Ocultar a la vista de todos” (Hidden in plain sight)
- Obstruir (Obstructing) significa obstaculizar o bloquear a los usuarios en su proceso de informarse o gestionar sus datos dificultando o imposibilitando la acción.
En esta categoría se incluyen el “Callejón sin salida” (Dead end), “Más largo de lo necesario” (Longer than necessary) y la “Acción engañosa”.
- Inconstante (Fickle) significa que el diseño de la interfaz es incoherente y poco claro, lo que dificulta al usuario la navegación por las distintas herramientas de control de la protección de datos y la comprensión de la finalidad del tratamiento.
En esta categoría se incluyen la Falta de jerarquía (Lacking hierarchy), Descontextualización (Decontextualising), Interfaz incoherente (Inconsistent Interface) y Discontinuidad del lenguaje (Language Discontinuity).
- Finalmente, Dejar en la oscuridad (Left in the dark) significa que una interfaz está diseñada de forma que oculta información o herramientas de control de la protección de datos o que deja a los usuarios inseguros sobre cómo se tratan sus datos y qué tipo de control pueden tener sobre ellos en relación con el ejercicio de sus derechos.
En esta categoría se incluyen la Información contradictoria y la información ambigua.
Estas conductas pueden infringir algunos de los principios de protección de datos regulados en el artículo 5 del RGPD (LA LEY 6637/2016), en particular el principio de tratamiento leal establecido de los datos, que sirve como punto de partida para evaluar si un patrón de diseño constituye realmente un "patrón de diseño engañoso". Otros principios que desempeñan un papel en esta evaluación son los de transparencia, minimización de datos y responsabilidad en virtud del artículo 5, apartado 1, letra a), (c) y (2) del RGPD (LA LEY 6637/2016), así como, en algunos casos, la limitación de la finalidad en virtud del artículo 5 (LA LEY 6637/2016) (1) (b) del GDPR (LA LEY 6637/2016). En otros casos, la evaluación jurídica también se basa en las condiciones de consentimiento con arreglo a los artículos 4 (LA LEY 6637/2016) (11) y 7 GDPR (LA LEY 6637/2016) u otras obligaciones específicas, como el artículo 12 GDPR (LA LEY 6637/2016).
Evidentemente, en el contexto de los derechos de los interesados, también debe tenerse en cuenta el tercer capítulo del GDPR (LA LEY 6637/2016). Por último, los requisitos de protección de datos desde el diseño y por defecto con arreglo al artículo 25 del RGPD (LA LEY 6637/2016) desempeñan un papel fundamental, ya que su aplicación antes de diseñar una interfaz ayudaría a los proveedores de redes sociales a evitar patrones de diseño engañosos.
A tal fin, el Comité Europeo de Protección de Datos recomienda que los responsables del tratamiento recurran a equipos interdisciplinares formados, entre otros, por diseñadores, responsables de la protección de datos y responsables de la toma de decisiones. Es importante señalar que la lista de patrones de diseño engañoso y mejores prácticas, así como los casos de uso, no son exhaustivos. Los proveedores de sociales siguen siendo responsables de garantizar el cumplimiento del RGPD en sus plataformas.
Recomendaciones de buenas prácticas
El Comité europeo propone además unas recomendaciones específicas para diseñar interfaces de usuario que faciliten la aplicación efectiva del RGPD.
Estas mejores prácticas pueden ofrecer un primer paso hacia una forma normalizada de que los usuarios controlen eficazmente sus datos y ejerzan sus derechos.
- Atajos (Shortcuts): se recomienda que los enlaces a información, acciones o configuraciones que pueden ser de ayuda práctica para que los usuarios gestionen sus datos y sus configuraciones de protección de datos estén disponibles siempre que se ofrezca información o experiencias relacionadas (por ejemplo: enlaces que redirijan a las partes pertinentes de la política de privacidad; o, en la política de privacidad, proporcionar para cada información de protección de datos enlaces que redirijan directamente a las páginas de protección de datos relacionadas en la plataforma de medios sociales; proporcionar a los usuarios un enlace para restablecer su contraseña; cuando se informa a los usuarios sobre un aspecto del tratamiento, se les invita a establecer sus preferencias de datos relacionadas en la página de configuración/panel de control correspondiente; proporcionar un enlace a la eliminación de la cuenta en la cuenta de usuario).
- Opciones masivas (Bulk options): Se recomienda situar juntas las opciones que tienen el mismo propósito de procesamiento, de modo que los usuarios puedan cambiarlas más fácilmente. Si las plataformas de medios sociales presentan opciones masivas, éstas no deben contener elementos inesperados o no relacionados (por ejemplo, elementos con finalidades diferentes). Si el tratamiento requiere consentimiento, las opciones masivas deben estar en consonancia con las Directrices de la Comité sobre el consentimiento, especialmente los párrafos 42-44. 42-44.
- Información de contacto (Contact information): La dirección de contacto de la empresa para atender las solicitudes de protección de datos debe figurar claramente en la política de privacidad. Además, debe estar presente en una sección donde los usuarios puedan esperar encontrarla, como una sección sobre la identidad del responsable del tratamiento de datos, una sección relacionada con los derechos o una sección de contacto.
- Dirigirse a la autoridad de control (Reaching the supervisory authority): Se recomienda indicar la identidad específica de la autoridad de control e incluir un enlace a su sitio web o a la página web específica relacionada con la presentación de una reclamación. Esta información debe estar presente en una sección donde los usuarios puedan esperar encontrarla, como una sección relacionada con los derechos.
- Resumen de la política de privacidad (Privacy Policy Overview): Al principio/parte superior de la política de privacidad, se recomienda incluir un índice (desplegable) con títulos y subtítulos que muestre los distintos pasajes que contiene el aviso de privacidad. Los nombres de los distintos pasajes guían claramente a los usuarios sobre el contenido exacto y les permiten identificar y saltar rápidamente a la sección que buscan.
- Detección y comparación de cambios (Change spotting and comparison): Cuando se introduzcan cambios en el aviso de privacidad, se recomienda hacer accesibles las versiones anteriores, con su fecha de publicación y destaque los cambios.
- Redacción coherente (Coherent wordings): se recomienda utilizar una misma redacción y definición en todo el sitio web en relación con la misma protección de datos. La redacción utilizada en la política de privacidad debe coincidir con la utilizada en el resto de la plataforma.
- Proporcionar definiciones (Providing definitions): Cuando se utilicen palabras o jerga desconocidas o técnicas, se recomienda proporcionar una definición en lenguaje sencillo que ayude a los usuarios a entender la información que se les proporciona. La definición puede aparecer directamente en el texto, cuando los usuarios pasan el ratón por encima de la palabra, o estar disponible en un glosario.
- Contraste de los elementos de protección de datos (Contrasting Data protection elements): Se recomienda hacer que los elementos o acciones relacionados con la protección de datos destaquen visualmente en una interfaz que no esté directamente relacionada con el objeto del servicio. Por ejemplo, al publicar un mensaje público en la plataforma, los controles sobre la asociación de la geolocalización deben estar directamente disponibles y ser claramente visibles.
- Onboarding de protección de datos (Data Protection Onboarding): Justo después de la creación de una cuenta, se recomienda incluir elementos relacionados con la protección de datos dentro de la experiencia de incorporación al proveedor de medios sociales para que los usuarios descubran y establezcan sus preferencias sin problemas. Por ejemplo, esto puede hacerse invitándoles a establecer sus preferencias de protección de datos después de añadir a su primer amigo o compartir su primera publicación.
- Uso de ejemplos (Use of examples): Además de la información obligatoria que establece de forma clara y precisa la finalidad del tratamiento, se pueden utilizar ejemplos para ilustrar un tratamiento de datos específico para hacerlo más tangible para los usuarios.
- Navegación adhesiva (Sticky navigation): Mientras se consulta una página relacionada con la protección de datos, puede mostrarse constantemente en la pantalla el índice de sus contenidos, permitiendo a los usuarios situarse siempre en la página y navegar rápidamente por el contenido gracias a los enlaces.
- Volver al principio (Back to top): se recomienda incluir un botón de volver al principio en la parte inferior de la página o como elemento adhesivo en la parte inferior de la ventana para facilitar la navegación de los usuarios en una página.
- Notificaciones (Notifications): Las notificaciones pueden utilizarse para concienciar a los usuarios sobre aspectos, cambios o riesgos relacionados con el tratamiento de datos personales (por ejemplo, cuando se produce una violación de datos). Estas notificaciones pueden implementarse de varias maneras, como a través de mensajes en la bandeja de entrada, ventanas emergentes, banners fijos en la parte superior de la página web, etc.
- Explicar las consecuencias (Explaining consequences): Cuando los usuarios quieran activar o desactivar un control de protección de datos, o dar o retirar su consentimiento, se recomienda informarles de forma neutral sobre las consecuencias de dicha acción.
- Coherencia entre dispositivos (Cross-device consistency): Cuando la plataforma de medios sociales está disponible a través de diferentes dispositivos (por ejemplo, ordenador, teléfonos inteligentes, etc.), se recomienda que los ajustes y la información relacionados con la protección de datos estén ubicados en los mismos espacios a través de las diferentes versiones y que sean ser accesibles a través del mismo recorrido y elementos de interfaz (menú, iconos, etc.).
- Directorio de protección de datos (Data protection directory): Para facilitar la orientación a través de las diferentes secciones del menú, se deber proporcionar a los usuarios una página de fácil acceso desde la que se pueda acceder a todas las acciones e información relacionadas con la protección de datos. Esta página podría encontrarse en el menú de navegación principal del proveedor de redes sociales, en la cuenta de usuario, a través de la política de privacidad, etc.
- Información contextual (Contextual information): además de una política de privacidad exhaustiva, se recomienda aportar pequeños fragmentos de información en el momento más adecuado para que el usuario tenga una información concreta y continua sobre cómo se tratan sus datos.
- URL autoexplicativa (Self-explanatory URL): las páginas relacionadas con la configuración o la información sobre protección de datos deben utilizar una dirección web que refleje claramente su contenido. Por ejemplo, una página que centralice el control de la protección de datos podría tener una URL como [red-social.es]/configuración-datos.
- Formulario de ejercicio de los derechos (Exercise of the rights form): para facilitar a los usuarios el ejercicio de sus derechos GDPR (LA LEY 6637/2016), se recomienda proporcionar un formulario específico que ayude a los usuarios a comprender sus derechos y que les guíe para llevar a cabo este tipo de solicitudes.