- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
Menú
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 5.000 euros a una empresa por la utilización de patrones oscuros (dark patterns) de sobrecarga (overloading) y de ocultación (skipping), para la gestión de la política de privacidad de una página web de la que es titular.
Es decir, estos patrones se refieren a aquellos interfaces o implementaciones de experiencia de usuario destinadas a influenciar en el comportamiento y en las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que dichas personas tomen decisiones potencialmente perjudiciales para la protección de sus datos personales.
En concreto, se considera acreditado que estos patrones oscuros de sobrecarga (overloading) y de ocultación (skipping), se observan cuando se accede al apartado “Lista de proveedores” de la sección “Política de privacidad” de la página web de la que es titular la sancionada. Una vez allí, el interesado se encuentra con una lista de unas 130 empresas (proveedores), de las cuales, más de la mitad tienen marcada por defecto la casilla de “aceptar tratamiento de datos por Interés legítimo”, lo que obliga, en el caso de querer mostrar la oposición al tratamiento a marcar una a una a lo largo de toda la lista, sin que exista la opción de poder oponerse indicándolo una sola vez o un número de veces que resulte razonable y no genere fatiga en el afectado.
La Agencia considera que esta conducta constituye una infracción del artículo 5.1.a) del RGPD (LA LEY 6637/2016), tipificada en el artículo 83.5.a) del mismo Reglamento, y calificada como “muy grave” a efectos de prescripción en el artículo 72.1.a) de la LOPDGDD (LA LEY 19303/2018). Por ello, en virtud de las circunstancias concurrentes en el presente caso, en particular, en calidad de agravantes (artículo 76.2 de la LOPDGDD (LA LEY 19303/2018), la vinculación de la actividad del infractor con la realización de tratamientos de datos personales, y que en la actividad que se desarrolla se ven implicados los datos personales de los clientes de ésta, se considera procedente imponer una multa de 5.000 euros (cinco mil euros).
Podría interesarle: Spam telefónico: Protección de Datos (España) ya permite grabar las llamadas comerciales para denunciarlas
Además, se ordena a la empresa titular de la página web en cuestión, que en el plazo de un mes contado desde la notificación de la sanción, adopte las medidas necesarias para adecuar su actuación a la normativa de protección de datos personales y, en concreto a lo estipulado en el artículo 5.1.a) del RGPD (LA LEY 6637/2016).
Tal como explica la Agencia en la resolución del expediente N.º: EXP202211953 (PS/00080/2023), el término “patrones oscuros” hace referencia a los interfaces o implementaciones de experiencia de usuario destinadas a influenciar en el comportamiento y en las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que tomen decisiones potencialmente perjudiciales para la protección de sus datos personales.
En este sentido, en mayo de 2022 el Comité Europeo de Protección de Datos (EDPB) adoptó unas ‘Directrices sobre patrones oscuros (dark patterns) en interfaces de redes sociales, Cómo reconocerlos y evitarlos”.
Estas directrices, al igual que los apartados VI y VIII de la “Guía de protección de datos por defecto” de la AEPD, toman como punto de partida el artículo 5.1.a del RGPD para evaluar cuando un patrón de diseño en una interfaz de usuario corresponde con un patrón oscuro. Dicho artículo recoge, entre los «Principios relativos al tratamiento», que los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado «licitud, lealtad y transparencia». Y, en aplicación de ese principio de lealtad, “los responsables del tratamiento han de garantizar que no se emplean patrones oscuros, al menos, con relación a las decisiones respecto del tratamiento de sus datos personales”.
Los dark patterns pueden presentarse al usuario en operaciones de tratamiento de diversa índole, como durante el proceso de registro o alta en una red social, al iniciar sesión o también en otros escenarios como en la configuración de las opciones de privacidad, en los banners de cookies, durante el proceso de ejercicio de derechos, en el contenido de una comunicación informando sobre una brecha de datos personales o incluso al intentar darse de baja de la plataforma.
– Sobrecarga (overloading): consiste en presentar demasiadas posibilidades a la persona que tiene que tomar las decisiones, lo que termina generando fatiga sobre el usuario, que acaba compartiendo más información personal de la deseada. Las técnicas más habituales para producir esa fatiga por sobrecarga son mostrar preguntas de forma reiterada, crear laberintos de privacidad y mostrar demasiadas opciones.
– Ocultación (skipping): consiste en diseñar la interfaz o experiencia de usuario de tal manera que el usuario no piense en algunos aspectos relacionados con la protección de sus datos, o que lo olvide.
– Emoción (stirring): se apela a las emociones de los usuarios o se utilizan empujones visuales en forma de efectos para influenciar en las decisiones.
– Obstaculización (hindering): trata de poner trabas para que el usuario no pueda realizar de forma sencilla ciertas acciones. Esto se realiza a través de técnicas como poner los ajustes de privacidad en zonas a las que no se puede acceder, que sea muy complicado llegar hasta ellas o proporcionando información engañosa sobre los efectos de algunas acciones.
– Inconsistencia (fickle): la interfaz presenta un diseño inestable e inconsistente que no permite realizar las acciones deseadas por el usuario.
– Enturbiación (left in the dark): la información o las opciones de configuración de la privacidad se esconden o se presentan de forma poco clara utilizando un lenguaje errático, información contradictoria o ambigua.
De acuerdo a una nota remitida por el servicio de defensa de usuarios «Membrana de datos» de “Somos Conexión”, una cooperativa de telecomunicaciones española sin ánimo de lucro que ha actuado como denunciante en este caso, se trata de la primera sanción impuesta por la AEPD por la utilización de «patrones oscuros».
Concorde con lo mencionado por el consejero delegado de esta cooperativa, Manuel Manceras, estas prácticas de dark patterns son comunes en empresas que obtienen ingresos a través de la venta de datos en línea. Por ello, considera que “la sanción impuesta en este caso establece un nuevo estándar en el diseño de menús de privacidad e interfaces de usuario en la web”. Una circunstancia, explica Manceras, que afectará a la gran mayoría de páginas web en Internet y supone un golpe significativo “para las empresas que ofrecen servicios gratuitos, pero cuya verdadera actividad se centra en la subasta automatizada de datos con fines publicitarios”.
FUENTE: Fernández B, Carlos. »LA AEPD impone la primera sanción por la utilización de patrones oscuros en el diseño de la interfaz de usuario de una página web para configurar las opciones de privacidad» Diariolaley.laleynext.es. 19/10/2023. (https://diariolaley.laleynext.es/dll/2023/10/20/la-aepd-impone-la-primera-sancion-por-la-utilizacion-de-patrones-oscuros-en-el-diseno-de-la-interfaz-de-usuario-de-una-pagina-web-para-configurar-las-opciones-de-privacidad).
