Saltar al contenido

El uso de patrones oscuros en el ámbito de la privacidad: de CCPA a NOYB. A cargo de María Fernández Romero

AD 137/2021

 

El uso de patrones oscuros en el ámbito de la privacidad: de CCPA a NOYB

RESUMEN

Como usuarios de sitios web y apps hemos normalizado que las compañías utilicen el diseño de forma maliciosa para confundirnos y que actuemos en su beneficio, especialmente en lo que respecta a nuestra privacidad en el entorno digital. Este artículo introduce el concepto de los patrones oscuros y comenta cuestiones relacionadas como su prohibición por el CCPA, su lugar en la normativa europea y la reciente actuación de la organización NOYB.

 

Palabras clave

Privacidad; privacy by design; protección de datos; GDPR; datos personales; dark patterns; cookies

El cumplimiento en el ámbito de la privacidad, dentro del marco que ha ido estableciendo la normativa europea y que ha inspirado al resto de normativas, da cierta importancia a la “forma de cumplir” y a la proactividad e intencionalidad de los responsables, en favor de los titulares de los datos personales. La normativa europea establece unas líneas generales muy amplias sobre “cómo se debe cumplir” que, aunque se van definiendo más gracias a la jurisprudencia, y guías e informes de las distintas instituciones, siguen concediendo un margen de actuación muy amplio para las empresas. Muchas compañías aprovechan esta “libertad de forma” para eludir la normativa guardando cierta apariencia de cumplimiento. Así es como entra en escena el uso de los patrones oscuros o dark patterns en las plataformas digitales.

 

  1. Qué son los dark patterns o patrones oscuros

El concepto de dark pattern (patrón oscuro en español) apareció por primera vez en 2010, acuñado por el UX Researcher Harry Brignull como “trucos usados por las webs y apps para hacerte comprar o inscribirte a cosas que no querías”. Posteriormente, el Consejo de Consumidores de Noruega (o NCC) los ha descrito como “características del diseño de la interfaz digital diseñadas para engañar a los usuarios con el fin de que hagan cosas que quizás no quieran hacer, pero que benefician a la empresa en cuestión.” [1]

En abril de 2019, Giovanni Buttarelli, en aquel momento Supervisor Europeo de Protección de Datos, dio un discurso titulado Dark patterns in data protection: law, nudging, design and the role of technology en el que los definía como “una forma de que las empresas eluden estos principios [del RGPD] al presionar despiadadamente a los consumidores para que ignoren su privacidad y proporcionen más datos de los necesarios”

Como ejemplo, cuando queremos darnos de baja de un servicio digital es común descubrir que algunas empresas ocultan mediante técnicas visuales el botón que inicia el proceso para darse de baja y, una vez se ha conseguido iniciar el proceso, acabamos inmersos en un laberinto de pantallas y links que complican finalizar el proceso, como si la compañía estuviera dificultando a propósito que podamos ejercer el derecho a darnos de baja. De esta manera, la compañía “cumple” su obligación de facilitar la posibilidad de ejercer su derecho a los usuarios, pero como no está en su interés que los usuarios lo ejerzan, dificulta el proceso esperando que el usuario se frustre o no sea capaz de llevarlo a cabo. De la misma manera, las compañías utilizan estas técnicas en las configuraciones o información de privacidad de sus plataformas digitales.

Hay múltiples patrones oscuros identificados, entre ellos: el uso de texto confuso en formularios o botones; la aplicación de una configuración predeterminada que es intrusiva en la privacidad del usuario; destacar visualmente la elección más intrusiva con la privacidad, como suele ocurrir en los muros de cookies; ocultación de información relevante dentro de textos, submenús o utilizando bajo contraste de color, etc. Puedes ver muchos más patrones junto a ejemplos reales en darkpatterns.org, sitio web que se dedica a documentar sus diferentes tipos o en el informe Deceived by design del Consejo de Consumidores de Noruega (NCC).

Señalando los dark patterns: CCPA.

Las siglas CCPA corresponden a California Consumer Privacy Act, una de las leyes de privacidad más estrictas de la actualidad en EE.UU. Su ámbito de aplicación comprende las empresas que, cumpliendo una serie de requisitos, hagan negocios en el Estado de California.

La CCPA hizo efectiva el 1 de julio de 2020 la prohibición del uso de patrones oscuros que dificultaran o impidieran a los usuarios elegir la opción de que no se vendan sus datos personales. En concreto, ha prohibido específicamente el uso de patrones oscuros que tengan un efecto sustancial al subvertir o perjudicar la elección de un consumidor de no participar en procesos en los que se esté vendiendo su información personal. Como elemento destacable, la normativa provee ejemplos de patrones oscuros, incluyendo los siguientes:

  • El uso de lenguaje confuso, como dobles negativos (ej. No quiero que no vendáis mis datos personales).
  • Forzar a los usuarios a ver las razones por las que no deberían optar que no se vendan sus datos personales antes de que hagan su elección.
  • Exigir que los usuarios tengan que buscar en o hacer scroll a un texto, como una política de privacidad, para localizar el proceso para solicitar la baja. [2]

La razón de ser de esta medida se encuentra en que el regulador no consideraba suficiente ni realista el hecho de obligar a las plataformas a ofrecer la opción a los usuarios, teniendo en cuenta las prácticas a las que estamos acostumbrados en el medio digital, donde es tan fácil como ocultar la opción en un link de letra tamaño 8 o en menús de infinitas opciones. Por lo tanto, la prohibición de los patrones oscuros implica una tendencia a la limitación de la libertad de forma del cumplimiento en el ámbito de la privacidad en EE.UU. Y no se trata solo de limitar, sino de facilitar. Para ayudar a las empresas a estandarizar estos procesos, el Estado de California diseñó un icono (denominado Opt-out icon)  para que los usuarios ejerciten directamente su derecho de que no se vendan sus datos personales.

No es la primera vez que se manifiesta la preocupación del uso del diseño de forma maliciosa para engañar a los usuarios en EE.UU. En 2019 dos senadores propusieron un proyecto de ley que prohibiera que las plataformas de Internet con más de 100 millones de usuarios utilizaran patrones oscuros que engañasen a los usuarios para que entreguen datos personales. Sin embargo, la votación no progresó en el Congreso.[3]

Los patrones oscuros en la Unión Europea

En la normativa europea de privacidad no se castiga específicamente el uso de dark patterns, sin embargo, ¿esto significa que el uso de patrones oscuros está permitido en el ámbito del RGPD? No exactamente.

A primera vista ya podemos concluir que el uso del diseño de forma maliciosa para engañar o confundir a los usuarios de forma que perjudique su privacidad en beneficio de la compañía supone una actuación totalmente contraria a lo que exigen principios establecidos en el Reglamento General de Protección de Datos (RGPD) como son la privacidad desde el diseño o la privacidad por defecto, entre otros.

El uso de patrones oscuros podría resultar en una infracción, tanto por sí misma si nos referimos al incumplimiento de estos principios, y por suponer un incumplimiento de forma de otras obligaciones, como ocurre con el ejercicio de derechos de los usuarios, con el deber de informar, si la información se oculta o se dificulta su acceso, o con la legitimidad del tratamiento si afecta a la validez del consentimiento.

Por otro lado, el uso de patrones oscuros introduce un elemento de intencionalidad de las compañías, ya que, con mala fe, emplean un esfuerzo en dificultar a los usuarios hacer uso de sus derechos. Si estos patrones oscuros se identificaran y demostraran indicios de esa mala fe, incluso podrían actuar como agravantes en las sanciones que se pudieran imponer.

Las autoridades competentes son conscientes de estas prácticas y se ha materializado en diversas sanciones al respecto. Una de las más destacables es la sanción de 50 millones de euros que impuso a CNIL (Comisión Nacional de la Informática y las Libertades o agencia francesa de protección de datos) a Google por considerar que algunas de sus decisiones de diseño en su herramienta de personalización de anuncios no se ajustaban a los requerimientos de los principios del deber de transparencia y de validez del consentimiento del RGPD. En este proceso, la CNIL revisó meticulosamente la interfaz de privacidad de Google y concluyó que, debido a su diseño:

  • Los usuarios no podían identificar todos los servicios, sitios web y aplicaciones que trataban sus datos personales, ni las finalidades del tratamiento, lo que les impedía formar una “percepción adecuada de la naturaleza y el volumen de los datos recopilados”, de forma que el consentimiento no estaba suficientemente informado, y por lo tanto, no era válido.
  • Los usuarios no podían rechazar las actividades de tratamiento sin tener que hacer clic en “Más opciones” (en lugar de “Aceptar todo”), de forma que se ocultaba la opción de rechazar el tratamiento y su autorización se mostraba de forma “predeterminada”. Por ello, el consentimiento no era específico, y por tanto, tampoco era válido. [4]

De la comparativa entre la medida del Estado de California y la regulación que establece la Unión Europea, el aspecto a destacar es el tipo de medida tan específica que establece el regulador estadounidense frente a la normativa europea, que confía en la responsabilidad proactiva de los responsables del tratamiento y establece unas líneas más amplias de cumplimiento en el ámbito de las plataformas digitales. De esta forma, se plantea el dilema de cómo de intervencionista debe ser el regulador en el diseño digital y cuánta libertad debe confiarse a las compañías para asegurar la protección de la privacidad de los usuarios.

Con todo, el entorno digital sigue plagado de patrones oscuros, por lo tanto, ¿el trabajo de las autoridades está siendo suficiente?

A la caza de los banner de cookies: NOYB

Desde la aplicación del RGPD hasta ahora se podría decir que la implementación de la normativa por las empresas en el medio digital está siendo bastante discutible. Muchas de ellas se han limitado a “parecer que cumplen” dificultando a los usuarios el ejercicio de sus derechos en su propio beneficio, constituyendo claros ejemplos de patrones oscuros.

Uno de los casos más notorios es el de los molestos banners de cookies, cuyo diseño tiende a dificultar clicar algo que no sea “Aceptar las cookies”, aunque este no sea el deseo del usuario. De esta forma, las empresas intentan guardar apariencia de cumplimiento de la normativa sin que se vea mermado el número de usuarios que rastrean con sus cookies.

De esta frustración surge NOYB (Non Of Your Business) – European Center for Digital Rights, una ONG establecida en Viena en 2017 por el abogado y activista en privacidad Max Schrems. Para hacer frente al problema de los patrones oscuros usados en los banners de cookies, han desarrollado un sistema que revisa páginas web, identifica varios tipos de infracciones y genera automáticamente una reclamación con base en el RGPD. Las empresas afectadas reciben un proyecto de reclamación informal y una guía explicativa sobre cómo pueden cumplir la normativa. Si estas empresas no cambian su configuración en el plazo de un mes, NOYB presenta una reclamación a la autoridad competente.

Según su estudio, la mayoría de páginas web revisadas no cumplen con el RGPD y se han identificado el uso de más de 15 tipos de patrones oscuros distintos relativos a los banners de cookies. El más común (el 81% de las páginas revisadas) es que ni siquiera ofrecía la opción de rechazar las cookies en su página inicial, sino que se encontraba oculta, exigiendo al usuario navegar a través de pop-ups y submenús. El 73% utilizaba técnicas visuales como el uso colores y contrastes engañosos para forzar al usuario a aceptar las cookies.

Según Max Schrems, presidente de NOYB: «Toda una industria de consultores y diseñadores desarrolla infames laberintos de clics para garantizar unos índices de consentimiento que son irreales. Frustrar a la gente para que haga clic en el «sí» es una clara violación de los principios del RGPD (…) Casi todas las situaciones en las que los usuarios se enfrentan a la protección de datos han sido diseñadas por las empresas. A menudo, éstas hacen deliberadamente que los diseños de las configuraciones de privacidad sean una pesadilla (…)” [5]

Esto no es una sorpresa para los usuarios ni para las empresas, pero está claro que la acción de las autoridades competentes no estaba siendo suficientemente disuasoria para los responsables de estas plataformas digitales.

Conclusión

Como conclusión, el uso de patrones oscuros en las configuraciones de privacidad de las plataformas digitales son una realidad mayoritaria y, a pesar de lo que algunas compañías pueden pensar, son contrarias al RGPD y pueden ser constitutivas de infracción. Por ahora, parece que es demasiado optimista esperar que las empresas diseñen la privacidad de sus productos de forma honesta con los usuarios si no tienen una presión externa. Por suerte, los usuarios cada vez son más conscientes de sus derechos y las instituciones no están dispuestas a hacer la vista gorda a las grandes plataformas digitales. Ojalá estos acontecimientos constituyan un paso más para construir un entorno digital más accesible, claro y justo con la privacidad de los usuarios, por defecto y desde el diseño.

María Fernández Romero

7 de septiembre de 2021


Referencias:

  1. Informe: Deceived by Design – Norwegian Consumer Council (https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf)
  2. Modificación de la regulación. CCPA Final Regulation Text. 15 de marzo de 2020 (https://oag.ca.gov/system/files/attachments/press-docs/CCPA%20March%2015%20Regs.pdf)
  3. Ficha del proyecto de ley. S. 1084 (116th): Deceptive Experiences To Online Users Reduction Act (https://www.govtrack.us/congress/bills/116/s1084)
  4. Nota de prensa de la CNIL sobre la multa impuesta a Google en 2019. https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc
  5. Información y declaraciones de NOYB

http://www.noyb.eu

https://noyb.eu/es/noyb-inicia-una-campana-para-acabar-con-el-terror-de-los-banners-de-cookies-y-emite-mas-de-500


María Fernández Romero

Tras varios años ejerciendo como abogada especializada en protección de datos y Tecnologías de la Información (IT), actualmente trabaja como diseñadora de experiencia de usuario (UX) en BBVA y asesora legalmente a empresas en la creación de productos digitales de forma independiente.

Deja un comentario

A %d blogueros les gusta esto: