Cargando. Por favor, espere

El Comité Europeo de Protección de Datos presenta sus directrices sobre patrones oscuros (dark patterns) en páginas web y redes sociales

El Comité Europeo de Protección de Datos presenta sus directrices sobre patrones oscuros (dark patterns) en páginas web y redes sociales

  • 22-3-2022 | Comité Europeo de Protección de Datos
  • Los patrones oscuros son interfaces y experiencias de usuario implementadas en páginas web o en aplicaciones on line que influyen en el comportamiento de los usuarios y hacen que estos tomen decisiones involuntarias y potencialmente perjudiciales en relación con el tratamiento de sus datos personales. Estas directrices ofrecen ejemplos concretos de tipos de patrones oscuros, presentan las mejores prácticas para diferentes casos de uso e incluyen recomendaciones específicas para los diseñadores de interfaces de usuario que facilitan la aplicación efectiva del RGPD.
Portada

Carlos B Fernández. El Comité Europeo de Protección de Datos (CEPD) ha publicado sus Directrices 3/2022 sobre patrones oscuros (dark patterns) en las interfaces de las plataformas de medios sociales. Los patrones oscuros son interfaces y experiencias de usuario implementadas en las páginas web o las aplicaciones que influyen en el comportamiento de los usuarios y hacen que estos tomen decisiones involuntarias y potencialmente perjudiciales en relación con el tratamiento de sus datos personales.

Las directrices ofrecen ejemplos concretos de tipos de patrones oscuros, presentan las mejores prácticas para diferentes casos de uso e incluyen recomendaciones específicas para los diseñadores de interfaces de usuario que facilitan la aplicación efectiva del RGPD.

Características de los dark patterns

Los patrones oscuros pretenden influir en los comportamientos de los usuarios y pueden obstaculizar su capacidad de "proteger eficazmente sus datos personales y tomar decisiones conscientes ", por ejemplo, haciendo que no puedan "dar un consentimiento informado y libremente otorgado".

Según el CEPD, los patrones oscuros no sólo conducen necesariamente a la violación de las normas de protección de datos. También pueden, por ejemplo, infringir la normativa de protección de los consumidores. En este sentido, los límites entre las infracciones exigibles por las autoridades de protección de datos y las exigibles por las autoridades de protección del consumidor pueden solaparse. Por esta razón, además de ejemplos de patrones oscuros, las Directrices también presentan las mejores prácticas que pueden utilizarse para evitar interfaces de usuario indeseables pero que siguen siendo acordes con la ley.

Las autoridades de protección de datos son responsables de sancionar el uso de patrones oscuros si realmente infringen las normas de protección de datos y, por tanto, el RGPD. Estas infracciones deben evaluarse caso por caso y sólo los patrones oscuros que podrían entrar en su ámbito de aplicación se ven afectados por estas Directrices.

Por esta razón, además de ejemplos de patrones oscuros, las Directrices también presentan las mejores prácticas que pueden utilizarse para diseñar interfaces de usuario que faciliten la aplicación efectiva del RGPD.

El Comité subraya igualmente que la lista de patrones oscuros que presenta, así como los casos de uso y las mejores prácticas relacionadas con los mismos, no son exhaustivos. Los proveedores de medios sociales siguen siendo responsables de garantizar el cumplimiento del RGPD en sus plataformas.

Tipos de patrones oscuros en las interfaces de las plataformas de medios sociales

Según las Directrices del CEPD, pueden distinguirse las siguientes clases de dark patterns:

- Sobrecarga (Overloading)

La sobrecarga significa que los usuarios se enfrentan a una avalancha o a una gran cantidad de solicitudes, información, opciones o posibilidades para incitarles a compartir más datos o permitir involuntariamente el tratamiento de datos personales en contra de las expectativas del interesado. Dentro de esta categoría se incluyen:

  • La “Incitación continua” (Continuous prompting), práctica que consiste en presionar a los usuarios para que proporcionen más datos personales de los necesarios para el tratamiento o que acepten otro uso de sus datos, pidiéndoles repetidamente que los proporcionen o que den su consentimiento a una nueva finalidad del tratamiento y ofreciendo argumentos por los que deberían proporcionarlos. Con ello, resulta probable que los usuarios acaben cediendo, cansados de tener que rechazar la solicitud cada vez que utilizan la plataforma, perturbando su uso.
  • El “laberinto de privacidad” (Privacy maze), se aprecia cuando los usuarios desean obtener determinada información, utilizar un control específico o ejercer un derecho del interesado, algo que les resulta especialmente difícil, ya que tienen que navegar por demasiadas páginas para obtener la información pertinente, sin disponer de una visión global y exhaustiva, con lo que es probable que los usuarios abandonen o se pierdan la información o control pertinente.
  • Finalmente, el “planteamiento de demasiadas opciones” (Too many options), consiste en ofrecer a los usuarios demasiadas opciones para elegir, algo que hace que los usuarios no puedan hacer ninguna elección o que pasen por alto algunos posibles ajustes, especialmente si la información no está disponible, algo que puede llevarles a renunciar finalmente o a pasar por alto los ajustes de su protección de datos de datos o de sus derechos.

- Omisión (Skipping)

Se refiere al diseño de la interfaz o la experiencia del usuario de manera que los usuarios olviden o no piensen en todos o algunos de los aspectos de la protección de datos. Dentro de esta categoría se incluyen las técnicas de:

  • “Acercamiento engañoso” (Deceptive snugness), se produce cuando, por defecto, las funciones y opciones más invasivas para los datos están activadas. Confiando en el efecto por defecto que empuja a los individuos a mantener una opción preseleccionada, es poco probable que los usuarios cambien esta opción, incluso si se les da la posibilidad.
  • “Mirar a otro sitio” (Look over there), se produce cuando una acción o información relacionada con la protección de datos se pone en competencia con otro elemento que puede estar relacionado con la protección de datos o no. Cuando los usuarios eligen esta opción de distracción, es probable que se olviden de la otra, incluso si era su intención principal.

- Estimulación (Stirring)

La estimulación afecta a la elección que harían los usuarios, apelando a sus emociones o utilizando “empujones” visuales. Dentro de esta técnica se incluyen:

  • La “dirección emocional” (Emotional steering), que consiste en utilizar la redacción o los elementos visuales de la página de forma que la información llegue a los usuarios con una perspectiva muy positiva, haciendo que se sientan bien o seguros, o de forma muy negativa, haciendo que los usuarios se sientan miedo o culpa. Influir en el estado emocional de los usuarios de tal manera es probable que les lleve a realizar una acción que vaya en contra de sus intereses de protección de datos, y
  • “Ocultar a la vista” (Hidden in plain sight), que consiste en utilizar un estilo visual para la información o los controles de protección de datos que empuje a los usuarios hacia opciones menos restrictivas y, por tanto, más invasivas.

- Obstaculizar (Hindering)

Acción que significa obstruir o bloquear a los usuarios en su proceso de informarse o gestionar sus datos haciendo que la acción sea difícil o imposible de realizar. Se incluyen en esta categoría las técnicas conocidas como:

  • “Callejón sin salida” (Dead end), se trata de que, cuando los usuarios buscan una información o un control, acaban por no encontrarlo ya que un enlace de redirección no funciona o no está disponible en absoluto, por lo que los usuarios se quedan sin poder realizar esa tarea.
  • “Más tiempo del necesario” (Longer tan necessary), práctica que se produce cuando los usuarios intentan activar un control relacionado con la protección de datos, momento en que la experiencia del usuario se realiza de una forma que requiere más pasos por parte de los usuarios, que el número de pasos necesarios para la activación de las opciones de invasión de datos. Es probable que esto les disuada de activar dicho control, e
  • “Información engañosa” (Misleading information), cuando se presenta una discrepancia entre la información y las acciones disponibles para los usuarios, que les empuja a hacer algo que no tienen intención de hacer. La diferencia entre lo que los usuarios esperan y lo que obtienen puede disuadirles de ir más allá.

- Inconsistencia (Fickle)

Se refiere a un diseño de la interfaz incoherente y poco claro, lo que dificulta al usuario la navegación por las diferentes herramientas de control de la protección de datos y la comprensión de la finalidad del tratamiento. En esta práctica se incluyen las técnicas de

  • “Falta de jerarquía” (Lacking hierarchy), que se produce cuando la información relacionada con la protección de datos carece de jerarquía, haciendo que la información aparezca varias veces y/o se presenta de varias maneras. Es probable que los usuarios se sientan confundidos por esta redundancia y que no puedan entender bien cómo se tratan sus datos y cómo ejercer el control sobre ellos, y
  • “Descontextualización” (Decontextualising), consistente en situar la información o el control sobre la protección de datos en una página descontextualizada, con lo que los usuarios tienen pocas probabilidades de encontrar la información o ejercer el control, ya que no sería intuitivo buscarlos en esa página específica.

- Dejar en la oscuridad (Left in the dark)

Se refiere a una interfaz diseñada para ocultar información o herramientas de control de la protección de datos o para dejar a los usuarios sin saber cómo se tratan sus datos y qué tipo de control pueden tener sobre ellos en relación con el ejercicio de sus derechos. Se incluyen en esta categoría:

  • “Discontinuidad lingüística” (Language discontinuity), cuando la información relacionada con la protección de datos no se proporciona en la lengua o lenguas oficiales del país donde viven los usuarios, lo que les puede conducir a realizar acciones en contra de sus intereses en materia de protección de datos.
  • “Información contradictoria” (Conflicting information), que consiste en ofrecer a los usuarios información que entra en conflicto de alguna manera. Con ello se provoca que los usuarios no estén seguros de lo que deben hacer ni de las consecuencias de sus acciones, por lo que es probable que no tomen ninguna y se limiten a mantener la configuración por defecto, y
  • “Redacción o información ambigua” (Ambiguous wording or information), técnica que recurre a utilizar términos ambiguos y vagos cuando se da información a los usuarios. Con ello es probable que no estén seguros de cómo se tratarán sus datos o de cómo ejercer el control sobre sus datos personales.

Principios del RGPD aplicables a los dark patterns

En cuanto al cumplimiento de la protección de datos de las interfaces de usuario de las aplicaciones en línea dentro del sector de los medios sociales, los principios de protección de datos aplicables se establecen en el artículo 5 del RGPD (LA LEY 6637/2016).

El principio de tratamiento leal establecido en el artículo 5, apartado 1, letra a), del RGPD sirve como punto de partida para evaluar si un patrón de diseño constituye realmente un "patrón oscuro". Otros principios que intervienen en esta evaluación son los de transparencia, minimización de datos y responsabilidad, en virtud del artículo 5, número 1, letras a) y c) y número 2 del RGPD, así como, en algunos casos, la limitación de la finalidad en virtud del artículo 5.1 b) del mismo. En otros casos, la evaluación legal también se basa en las condiciones de consentimiento en virtud de los artículos 4.11 (LA LEY 6637/2016) y 7 del RGPD (LA LEY 6637/2016) u otras obligaciones específicas, como el artículo 12 del RGPD (LA LEY 6637/2016). Evidentemente, en el contexto de los derechos de los interesados, el tercer capítulo del RGPD también debe tenerse en cuenta. Por último, los requisitos de protección de datos por diseño y por defecto en virtud del artículo 25 del RGPD (LA LEY 6637/2016) desempeñan un papel fundamental, ya que su aplicación antes de lanzar un diseño de la interfaz ayudaría a los proveedores de medios sociales a evitar los patrones oscuros en primer lugar.

Además de esta disposición fundamental de imparcialidad del tratamiento, los principios de responsabilidad proactiva (accountability), transparencia y protección de datos desde el diseño, establecidos en el artículo 25 del RGPD (LA LEY 6637/2016), son también relevantes en relación con el diseño de las aplicaciones .

- Responsabilidad proactiva (accountability)

El principio de responsabilidad proactiva debe reflejarse en el diseño de todas las interfaces de usuario.

El artículo 5.2 del RGPD (LA LEY 6637/2016) establece que el responsable del tratamiento será responsable y deberá demostrar el cumplimiento de los principios del RGPD descritos en el artículo 5.1 del mismo. Por lo tanto, este principio está estrechamente vinculado a los principios pertinentes mencionados anteriormente. La responsabilidad proactiva o puede ser proporcionada por elementos que proporcionen pruebas del cumplimiento del GDPR (LA LEY 6637/2016) por parte del proveedor de medios sociales.

La interfaz de usuario y el recorrido del usuario pueden utilizarse como herramienta de documentación para demostrar que aquel, durante sus acciones en la plataforma, ha leído y tenido en cuenta la información sobre protección de datos, ha dado libremente su consentimiento, ha ejercido fácilmente sus derechos, etc. Los métodos de investigación cualitativa y cuantitativa de los usuarios, como las pruebas A/B, el seguimiento ocular o las entrevistas a los usuarios, sus resultados y su análisis también pueden utilizarse para apoyar la demostración del cumplimiento. Si, por ejemplo, los usuarios tienen que marcar una casilla o hacer clic en una de varias opciones de protección de datos, las capturas de pantalla de las interfaces pueden servir para mostrar el recorrido de los usuarios por la información sobre protección de datos y explicar cómo los usuarios toman una decisión informada. Los resultados de la investigación de usuarios realizada sobre esta interfaz aportarían elementos adicionales que detallarían por qué la interfaz es óptima para alcanzar un objetivo de información.

En el ámbito de las interfaces de usuario, estos elementos documentales pueden encontrarse en la divulgación de determinados acuerdos y, sobre todo, cuando se obtienen pruebas, por ejemplo, de dar el consentimiento o una confirmación de lectura.

- Transparencia

El principio de transparencia del artículo 5.1, letra a), del RGPD tiene un gran solapamiento con el ámbito de la responsabilidad general. Aunque los responsables del tratamiento tienen que proteger cierta información comercial sensible frente a terceros, hacer que la documentación sobre el tratamiento sea accesible o registrable podría contribuir a la rendición de cuentas: por ejemplo, la confirmación de la lectura puede obtenerse,  para un texto que el responsable del tratamiento debe poner a disposición en virtud del principio de transparencia. Esto siempre puede servir al mismo tiempo para garantizar la transparencia hacia los interesados.

Las Directrices sobre Transparencia del CEPD especifican los elementos de transparencia establecidos en el artículo 12 del RGPD (LA LEY 6637/2016), es decir, la necesidad de proporcionar la información de forma "concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo. Además, el texto de los principios de protección de datos del artículo 5 (LA LEY 6637/2016) (1) (a) del RGPD y otras disposiciones legales especiales dentro del Reglamento contienen muchos más detalles del principio de transparencia, que están vinculados a principios legales específicos, como los requisitos especiales de transparencia del artículo 7 del RGPD para obtener el consentimiento.

- Protección de datos desde el diseño

En el contexto de las Directrices 4/2019 sobre la protección de datos desde el diseño y por defecto del artículo 25, hay algunos elementos clave que los responsables y los encargados del tratamiento deben tener en cuenta al aplicar la protección de datos desde el diseño en relación con una plataforma de medios sociales. Uno de ellos es que, en relación con el principio de equidad, la información y las opciones de tratamiento de datos deben proporcionarse de forma objetiva y neutral, evitando cualquier lenguaje o diseño engañoso o manipulador.

En este sentido, las Directrices identifican elementos de los principios de la protección de datos por defecto y de la protección de datos por diseño, entre otros, que adquieren mayor relevancia en lo que respecta a los patrones oscuros:

- Autonomía: Los interesados deben tener el mayor grado de autonomía posible para determinar el uso que se hace de sus datos personales, así como autonomía sobre el alcance y las condiciones de ese uso o tratamiento.

- Interacción: Los interesados deben poder comunicar y ejercer sus derechos respecto a los datos personales tratados por el responsable del tratamiento.

- Expectativas: El tratamiento debe corresponder a las expectativas razonables de los interesados.

- Elección del consumidor: Los responsables del tratamiento no deben "encerrar" a sus usuarios de forma desleal. Cuando un servicio de tratamiento de datos personales es propio, puede crear un bloqueo al servicio, que puede no ser justo, si perjudica la posibilidad de los interesados de ejercer su derecho a la portabilidad de los datos de conformidad con el artículo 20 del RGPD (LA LEY 6637/2016).

- Equilibrio de poder: El equilibrio de poder debe ser un objetivo clave de la relación entre el responsable del tratamiento y el interesado. Deben evitarse los desequilibrios de poder. Cuando esto no sea posible, deben reconocerse y tenerse en cuenta con contramedidas adecuadas.

- Sin engaños: La información y las opciones de tratamiento de datos deben proporcionarse de forma objetiva y neutral, evitando cualquier lenguaje o diseño engañoso o manipulador. - Veracidad - los responsables del tratamiento deben facilitar información sobre cómo tratan los datos personales, deben actuar como declaran que lo harán y no deben engañar a los interesados.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll