Sanción pionera de la AEPD por el uso de “dark patterns”

La Agencia Española de Protección de Datos se ha pronunciado por primera vez sobre el uso de patrones oscuros, sancionando a la empresa responsable de su uso

Una empresa ha sido sancionada por utilizar patrones oscuros (dark patterns) de sobrecarga y ocultación  en el diseño de la interfaz de usuario mediante la que se configuran las opciones de privacidad de los datos del visitante de la página web, concretamente cuando el interesado se opone al tratamiento de datos (cookies) basado en el interés legítimo del responsable y de terceros.

El patrón oscuro se observa cuando se accede al apartado de “lista de proveedores”. En dicho apartado se encuentra una lista de 130 empresas que tienen marcada por defecto la casilla de “aceptar tratamiento de datos por Interés legítimo”, lo que obliga, en el caso de querer mostrar la oposición al tratamiento a marcar una a una a lo largo de toda la lista, no existiendo opción de poder rechazar todas.

Adicionalmente, la AEPD constata en su resolución que la empresa responsable del sitio web no ofreció la información mínima exigible por el artículo 13 del RGPD en su apartado de la “Política de Privacidad”.

Finalmente, la AEPD impuso una sanción a la entidad por infracción del artículo 5.1.a), 13 del RGPD y artículo 22.2 de la LSSI por una cuantía total de 12.000 euros.

Recordemos que el Comité Europeo de Protección de Datos (EDPB) clasificó los dark patterns en las siguientes categorías en sus ‘Directrices sobre patrones oscuros (dark patterns) en interfaces de redes sociales, Cómo reconocerlos y evitarlos”:

• Sobrecarga (overloading): consiste en presentar demasiadas posibilidades a la persona que tiene que tomar las decisiones, lo que termina generando fatiga sobre el usuario, que acaba compartiendo más información personal de la deseada.

• Ocultación (skipping): consiste en diseñar la interfaz o experiencia de usuario de tal manera que el usuario no piense en algunos aspectos relacionados con la protección de sus datos, o que lo olvide.   

• Emocionar (stirring): se apela a las emociones de los usuarios para influenciar en las decisiones.

• Obstaculización (hindering): pone trabas para que el usuario no pueda realizar de forma sencilla ciertas acciones. Esto se realiza a través de técnicas como poner los ajustes de privacidad en zonas a las que no se puede acceder.

• Inconsistencia (fickle): la interfaz presenta un diseño inestable e inconsistente que no permite realizar las acciones deseadas por el usuario.

• Enturbiar (left in the dark): la información o las opciones de configuración de la privacidad se esconden o se presentan de forma poco clara utilizando un lenguaje errático, información contradictoria o ambigua.

Puedes consultar la resolución completa, haciendo clic aquí.

• “TikTok: ¿Una amenaza para la seguridad nacional de EEUU?”
• La AEPD impone multas millonarias a CaixaBank e Iberdrola por una “brecha” en la protección de datos personales de sus clientes.
• Cibercriminalidad en España: aumento de las estafas informáticas
• La APDCAT avala la instalación de cámaras de videovigilancia en los taxis
• Novedades respecto a las directrices de verificación de edad
• Meta: acusada de realizar un tratamiento masivo e ilegal de datos personales