Sanción por uso de patrones oscuros

Un banner o una interfaz que induzca o condicione la decisión del usuario para que preste su consentimiento para la recogida de sus datos (patrones de navegación, etc.) puede ser la causa de una sanción en materia de protección de datos personales. Las prácticas de diseño de interfaces que buscan influir en el comportamiento del usuario para que adopte decisiones en el sentido deseado por el responsable del servicio correspondiente, se conocen como «patrones oscuros». Se les llama así porque si el responsable del servicio debe ofrecer al usuario final distintas opciones para que decida la más conveniente, la pauta de diseño tratará de desincentivar aquellas que no favorezcan los intereses del responsable. La situación típica sería la de los paneles de cookies. Cierto tipo de cookies recaba información cuya recopilación y uso requiere del consentimiento previo del usuario. En este caso, el patrón oscuro consistiría esencialmente en facilitar mediante el diseño que el usuario consienta las cookies rápidamente. Esto se consigue de distintas formas. Por ejemplo, poniendo el botón de aceptar a un clic de distancia y los de denegar o seleccionar a dos clics; disponiendo el botón de aceptar en un color destacado y las demás opciones en tonos que las hacen pasar desapercibidas; establecer una granularidad excesiva para seleccionar las opciones que permiten personalizar el consentimiento, etc. La razón para esta forma de proceder se encuentra en que si los usuarios perciben la toma de datos como intrusiva, pueden acostumbrase a rechazarla y los responsables del servicio obtendrían menos datos que ceder a terceros. Son conocidos los casos en los que las decisiones de diseño fueron equitativas, los usuarios optaron masivamente por denegar la recogida de información personal. Así, el consentimiento del panel de cookies del propio ICO (autoridad de datos británica)  cayó un 90% sin patrones oscuros. Por su parte, desde que el iphone solicita permiso expreso a sus usuarios para recoger sus datos en nombre de otros, el porcentaje ha sido similar. Son malas noticias para modelos de negocio como Facebook sustentados en la identificación de usuarios. La Unión Europea también está tomando cartas en el asunto desde una perspectiva de derecho del consumidor y, a través de la Comisión Europea junto a otras 23 autoridades nacionales, ha llevado a cabo una campaña de control de sitios web de comercio minorista que abarcó 399 tiendas en línea. Entre las prácticas de patrones oscuros, se encontraron casos de temporizadores de cuenta atrás falsos; interfaces web diseñadas para inducir a los consumidores a realizar compras, suscripciones u otras elecciones; e información oculta. La investigación demostró que 148 sitios contenían al menos uno de estos tres patrones oscuros. Desde una perspectiva legal de protección de datos personales, los patrones oscuros cobran importancia porque el consentimiento no se obtiene válidamente si las condiciones en que se presta no cumplen también ciertas condiciones como permitir que sea inequívoco, libre, informado, comprensible, y efectivo. En este sentido, los llamados patrones oscuros están pensados para no cumplir con todas las condiciones descritas y se convierten en un vector de riesgo de sanción ya que, además, suelen ser públicamente visibles. Estos son los motivos por los que el LG Rostock (Tribunal Regional de Rostock) en su resolución de 15 de septiembre de 2020, ref. 3 O 762/19 sancionó a «advocado» un servicio en línea que ayuda a las personas a encontrar un abogado, tras la denuncia que la Federación de Organizaciones de Consumidores de Alemania (vzbv) había presentado en su contra. El tribunal consideró que la forma en que se diseñó el banner de cookies no cumplía los requisitos pertinentes para garantizar que cualquier consentimiento otorgado por los usuarios fuera inequívoco, libremente dado, informado y, por tanto, efectivo en virtud del art. 4 nº 11 y el art. 7 DEL GDPR. La resolución valoró como casos de incumplimiento estas prácticas:

• Ofrecer el panel de consentimiento con opciones preseleccionadas
• Destacar en un color más vivo la opción más conveniente al responsable del servicio
• Ofuscar las opciones que no fueran el consentimiento
• El desvanecimiento en el fondo de las opciones que no sean «Permitir cookies», mientras que esta permanece en un color vivo producen el mismo efecto de preestablecimiento.

Por su parte, de esta resolución se extraen valiosas lecciones para mantener una política de obtención de consentimiento adecuada legalmente:

• Las asociaciones de protección de los intereses de los consumidores son activas en este tipo de servicios
• Se trata de garantizar que todas las opciones de consentimiento equivalente se presenten en igualdad de condiciones respecto a sus pautas de diseño
• El operador de un sitio web no puede escudarse en la falta de transparencia de las tecnologías que utiliza y negar rotundamente su relevancia en el marco de la ley de protección de datos
• No basta un diseño formal para cumplir con la norma, puesto que está pensada desde la perspectiva de la psicología del usuario

Por lo tanto, cuando el responsable del diseño, configuración y/o instalación de los sistemas de decisión sobre el consentimiento va a implementar uno en una app, una web o una interfaz de algún tipo, previamente debe contrastar legalmente la ejecución planificada para verificar su validez y prevenir el riesgo. Para ello será conveniente consultar al responsable jurídico interno o consultar con el servicio externo especializado en asesoramiento sobre protección de datos personales a su disposición, puesto que existen más casos a considerar que los descritos.