Sanción por uso de patrones oscuros

Sanción de protección de datos personales por uso de patrones oscuros

Inicio > Blog

Sanción por uso de patrones oscuros

Un banner o una interfaz que, mediante patrones oscuros, induzca o condicione la decisión del usuario para que preste su consentimiento para la recogida de sus datos (pautas de navegación, etc.) puede ser la causa de una sanción en materia de protección de datos personales.

Las prácticas de diseño de interfaces que buscan influir en el comportamiento del usuario para que adopte decisiones en el sentido deseado por el responsable del servicio correspondiente, se conocen como «patrones oscuros».

Se les llama así porque si el responsable del servicio debe ofrecer al usuario final distintas opciones para que decida la más conveniente, la pauta de diseño tratará de desincentivar aquellas que no favorezcan los intereses del responsable.

La situación típica sería la de los paneles de cookies. Cierto tipo de cookies recaba información cuya recopilación y uso requiere del consentimiento previo del usuario. En este caso, el patrón oscuro consistiría esencialmente en facilitar mediante el diseño que el usuario consienta las cookies rápidamente.

Esto se consigue de distintas formas. Por ejemplo, poniendo el botón de aceptar a un clic de distancia y los de denegar o seleccionar a dos clics; disponiendo el botón de aceptar en un color destacado y las demás opciones en tonos que las hacen pasar desapercibidas; establecer una granularidad excesiva para seleccionar las opciones que permiten personalizar el consentimiento, etc.

La razón para esta forma de proceder se encuentra en que si los usuarios perciben la toma de datos como intrusiva, pueden acostumbrase a rechazarla y los responsables del servicio obtendrían menos datos que ceder a terceros.

Son conocidos los casos en los que las decisiones de diseño fueron equitativas, los usuarios optaron masivamente por denegar la recogida de información personal. Así, el consentimiento del panel de cookies del propio ICO (autoridad de datos británica)  cayó un 90% sin patrones oscuros.

Por su parte, desde que el iphone solicita permiso expreso a sus usuarios para recoger sus datos en nombre de otros, el porcentaje ha sido similar. Son malas noticias para modelos de negocio como Facebook sustentados en la identificación de usuarios.

Desde una perspectiva legal de protección de datos personales, el consentimiento no se obtiene válidamente si las condiciones en que se presta no cumplen también ciertas condiciones como permitir que sea inequívoco, libre, informado, comprensible, y efectivo.

Los patrones oscuros están pensados para no cumplir con todas las condiciones descritas y se convierten en un vector de riesgo de sanción ya que, además, suelen ser públicamente visibles.

Patrones oscuros

Estos son los motivos por los que el LG Rostock (Tribunal Regional de Rostock) en su resolución de 15 de septiembre de 2020, ref. 3 O 762/19 sancionó a «advocado» un servicio en línea que ayuda a las personas a encontrar un abogado, tras la denuncia que la Federación de Organizaciones de Consumidores de Alemania (vzbv) había presentado en su contra.

El tribunal consideró que la forma en que se diseñó el banner de cookies no cumplía los requisitos pertinentes para garantizar que cualquier consentimiento otorgado por los usuarios fuera inequívoco, libremente dado, informado y, por tanto, efectivo en virtud del art. 4 nº 11 y el art. 7 DEL GDPR.

La resolución valoró como casos de incumplimiento estas prácticas:

  • Ofrecer el panel de consentimiento con opciones preseleccionadas
  • Destacar en un color más vivo la opción más conveniente al responsable del servicio
  • Ofuscar las opciones que no fueran el consentimiento
  • El desvanecimiento en el fondo de las opciones que no sean «Permitir cookies», mientras que esta permanece en un color vivo producen el mismo efecto de preestablecimiento.

De esta resolución se extraen valiosas lecciones para mantener una política de obtención de consentimiento adecuada legalmente:

  • Las asociaciones de protección de los intereses de los consumidores son activas en este tipo de servicios
  • Se trata de garantizar que todas las opciones de consentimiento equivalente se presenten en igualdad de condiciones respecto a sus pautas de diseño
  • El operador de un sitio web no puede escudarse en la falta de transparencia de las tecnologías que utiliza y negar rotundamente su relevancia en el marco de la ley de protección de datos
  • No basta un diseño formal para cumplir con la norma, puesto que está pensada desde la perspectiva de la psicología del usuario

Por lo tanto, cuando el responsable del diseño, configuración y/o instalación de los sistemas de decisión sobre el consentimiento va a implementar uno en una app, una web o una interfaz de algún tipo, previamente debe contrastar legalmente la ejecución planificada para verificar su validez y prevenir el riesgo.

Para ello será conveniente consultar al responsable jurídico interno o consultar con el servicio externo especializado en asesoramiento sobre protección de datos personales a su disposición, puesto que exiten más casos a considerar que los descritos.


    Información de privacidad +

    Información básica de protección sobre datos personales: Le informamos de que el Responsable del Tratamiento de los datos que nos facilita es Ucelay Abogados, S.L.P. y se tratan con el fin de atender su consulta o petición de servicios jurídicos, por lo que la legitimación deriva de su usted como interesado. Los datos solo cederán a terceros directamente si existe amparo legal para ello o en caso de Encargados de Tratamiento; en otros casos, le solicitaríamos consentimiento previo y expreso. Tiene derecho a saber si se tratan sus datos y a acceder, rectificar, oponerse, portar, limitar su tratamiento y a no ser objeto de decisiones automatizadas, así como a suprimirlos y cancelarlos en los casos legales, y puede ejercitarlos dirigiendo su solicitud a protecciondedatos@ucelay.es. Los conservamos por los plazos legales y contractuales aplicables según cada caso. Puede acceder a información más amplia sobre privacidad en https://ucelay.es/aviso-de-privacidad/

    Artículos relacionados