Dark patterns: Manipulación en los servicios de Internet

Foto de JESHOOTS.COM

El término dark patterns (patrones oscuros) hace referencia interfaces e implementaciones de experiencia de usuario destinadas a influenciar en el comportamiento y las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que tomen decisiones potencialmente perjudiciales para la protección de sus datos personales.

Estas técnicas, ampliamente utilizadas en otros ámbitos, no son una novedad en Internet donde pueden utilizarse este tipo de prácticas poco respetuosas en busca de manipular la interacción de las personas.

La Guía de protección de datos por defecto de la AEPD trata los dark patterns, concretamente en los apartados VI y VIII. En aplicación del principio de lealtad establecido en el artículo 5.1.a, los responsables del tratamiento han de garantizar que no se emplean patrones oscuros, al menos, con relación a las decisiones respecto del tratamiento de sus datos personales.

Recientemente, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) adoptó para consulta pública sus ‘Directrices sobre dark patterns en interfaces de redes sociales: Cómo reconocerlos y evitarlos’. Estas directrices, al igual que la guía de la AEPD, toman como punto de partida el artículo 5.1.a del RGPD para evaluar cuando un patrón de diseño en una interfaz de usuario corresponde con un dark pattern. Las directrices recogen una serie de ejemplos, así como recomendaciones de buenas prácticas para evitar los dark patterns.

Los dark patterns pueden presentarse al usuario en operaciones de tratamiento de diversa índole, como durante el proceso de registro o alta en una red social, al iniciar sesión o también en otros escenarios como en la configuración de las opciones de privacidad, en los banners de cookies, durante el proceso de ejercicio de derechos, en el contenido de una comunicación informando sobre una brecha de datos personales o incluso al intentar darse de baja de la plataforma.
De acuerdo con las Directrices del EDPB, los dark patterns pueden clasificarse en las siguientes categorías:

• Sobrecarga (overloading): consiste en presentar demasiadas posibilidades a la persona que tiene que tomar las decisiones, lo que termina generando fatiga sobre el usuario, que acaba compartiendo más información personal de la deseada. Las técnicas más habituales para producir esa fatiga por sobrecarga son mostrar preguntas de forma reiterada, crear laberintos de privacidad y mostrar demasiadas opciones.
• Ocultación (skipping): consiste en diseñar la interfaz o experiencia de usuario de tal manera que el usuario no piense en algunos aspectos relacionados con la protección de sus datos, o que lo olvide.
• Emocionar (stirring): se apela a las emociones de los usuarios o se utilizan empujones visuales en forma de efectos para influenciar en las decisiones.
• Obstaculización (hindering): trata de poner trabas para que el usuario no pueda realizar de forma sencilla ciertas acciones. Esto se realiza a través de técnicas como poner los ajustes de privacidad en zonas a las que no se puede acceder, que sea muy complicado llegar hasta ellas o proporcionando información engañosa sobre los efectos de algunas acciones.
• Inconsistencia (fickle): la interfaz presenta un diseño inestable e inconsistente que no permite realizar las acciones deseadas por el usuario.
• Enturbiar (left in the dark): la información o las opciones de configuración de la privacidad se esconden o se presentan de forma poco clara utilizando un lenguaje errático, información contradictoria o ambigua.

Otros principios de protección de datos que juegan un papel clave en la evaluación de los dark patterns son los de transparencia, minimización de datos y responsabilidad proactiva en cuanto a privacidad por defecto. En algunas ocasiones también el principio de limitación de la finalidad, las condiciones de obtención del consentimiento y la transparencia en la información proporcionada para el ejercicio de derechos. En todo caso, el principio de protección de datos desde el diseño y por defecto debe aplicarse desde el momento de concepción de las interfaces y experiencias de usuarios, antes del lanzamiento, para garantizar los derechos y libertades fundamentales de las personas, así como el cumplimiento de la normativa.

Las Directrices incluyen en su anexo una lista de comprobación. Esta lista incluye ejemplos de cada una de las categorías, así como los artículos del RGPD que son relevantes y pueden verse vulnerados en cada categoría. Cuando se produzcan tales vulneraciones, las autoridades de protección de datos pueden sancionar el uso de dark patterns.

Así mismo, la Guía de protección de datos por defecto de la AEPD destaca en el apartado VIII que el cumplimento del principio de protección de datos por efecto debe ser uno de los elementos a auditar en toda auditoría de cumplimiento del RGPD. La guía establece una relación no exhaustiva de elementos de control, siendo uno de esos elementos comprobar que no se emplean dark patterns para manipular el proceso de elección del usuario o influir de forma encubierta en su decisión respecto al alcance del tratamiento.
Puede ampliar información sobre protección de datos y privacidad en Internet en el sitio web Innovación y Tecnología de esta Agencia, así como en los siguientes posts del blog:

• Guía de protección de datos por defecto
• Riesgos para la privacidad al iniciar sesión con tus cuentas de redes sociales en otras aplicaciones
• Privacidad de grupo
• Los acortadores de URLs y la protección de datos
• Brechas de seguridad: el correo electrónico y las plataformas de productividad online