En realidad, no son nada nuevo, porque utilizan viejas y cuestionables tácticas comerciales para obtener del consumidor o usuario lo que se desea. Pero los dark patterns, gracias al internet y haciendo uso de la psicología del consumidor, están en todas partes actualmente.
Y es que suelen obtener los resultados deseados a corto plazo, aunque en el largo las consecuencias de su uso no sean precisamente las mejores. Porque pueden erosionar la confianza de los usuarios o clientes y afectar la reputación de una marca o empresa y, como consecuencia, sus ingresos.
¿Por qué el RGPD prohíbe los patrones oscuros en el tratamiento de datos personales?
Pero, más allá de eso, lo que no se tiene en cuenta es que los dark patterns también pueden tener repercusiones legales. Porque uno de sus más evidentes efectos es en contra de la privacidad de las personas en internet, algo que normativas como el RGPD buscan proteger.
En este artículo te explicamos qué son las dark patterns para que puedas evitar su uso, de manera que no tengas que enfrentarte a consecuencias legales por ello.
Qué son las dark patterns o patrones oscuros
Se llaman patrones oscuros, dark o deceptive patterns a los diseños o interfaces en internet que buscan manipular el comportamiento del usuario de forma solapada. Como decíamos, para ello hacen uso del conocimiento que se tiene del comportamiento del consumidor para inducirlo a realizar acciones que no le benefician o no deseaban inicialmente.
Algunos de los objetivos al usarlas suelen ser:
- Obtener datos personales
- Aumentar o apresurar las ventas
- Incrementar el valor de la factura
- Mantener al usuario más tiempo en el sitio web o la aplicación móvil
- Impedir el ejercicio de sus derechos como consumidor o usuario
Regulaciones en torno a los dark patterns en materia de privacidad
Como puedes ver, los dark patterns aprovechan la fatiga o los sesgos del usuario para llevarlo a tomar decisiones que no lo benefician. Esto también es muy usual en el mundo offline y la legislación española ha dictado normas para proteger a los consumidores y al mercado.
Pero, dado que los dark patterns suelen ser utilizadas para obtener los datos personales de los usuarios de forma truculenta, infringen directamente muchas de las provisiones de privacidad establecidas por normas como el RGPD o LOPD. Algunos de ellos son los siguientes:
- La limitación a la finalidad
- Un consentimiento informado, libre e inequívoco
- El principio de transparencia
- El principio de equidad
- El fácil acceso a la información
- La facilidad para el ejercicio de los derechos de usuario
- Protección por defecto y desde el diseño
- La claridad de la información
Por este motivo, organismos como la Agencia Española de Protección de Datos o el Comité Europeo de Protección de Datos han publicado guías y artículos informativos acerca de esta práctica.
Categorías de dark patterns según la normativa de privacidad europea
De esta manera, se han establecido 6 categorías de patrones oscuros que afectan a la privacidad de los usuarios:
Sobrecarga:
Con este tipo de dark pattern se les ofrece demasiada información u opciones a los usuarios, dificultando su protección. Puede realizarse mediante tres técnicas:
- Solicitudes repetitivas de datos personales en el mismo sitio o desde diversos dispositivos. Por ejemplo, cuando solicitan tu número telefónico continuamente en distintas páginas del sitio.
- Laberintos de privacidad con demasiada información difícil de navegar.
- Demasiadas opciones de privacidad que le impiden elegir una sola.
Ocultación:
Se usa el diseño del sitio o la web para que el usuario se olvide de configurar la protección de sus datos. Existen dos tipos de patrones oscuros dentro de esta categoría:
- Comodidad engañosa. Se le muestra al usuario una interfaz cómoda con las configuraciones de privacidad por defecto menos restrictivas. Un ejemplo es cuando se muestra un diálogo que informa del tratamiento de datos, con la opción del consentimiento activada por defecto.
- Mira hacia allá. Se utilizan elementos relacionados o no con la privacidad para competir con los controles de privacidad por la atención del usuario.
Emocionar:
Apelan a las emociones de los usuarios mediante el uso de elementos visuales o textuales, de manera que manipulan sus elecciones. Pueden ser de dos tipos:
- Dirección emocional. Se utiliza vocabulario o elementos visuales que hacen sentir al usuario emociones negativas o positivas para que decida en contra de la protección de su privacidad.
- Oculto a plena vista. Se utiliza el diseño para mostrar la información y configuración de privacidad de manera que se destaquen las opciones menos restrictivas. Por ejemplo, cuando en el aviso de cookies, por el color o la tipografía, la opción de rechazarlas no se puede ver fácilmente.
Obstaculización:
Se le impide o se le hace muy difícil al usuario acceder a los controles o información de privacidad. Esto se logra de tres formas:
- Un camino sin salida, con links a la información o configuraciones de privacidad que no funcionan. Un ejemplo es cuando el link en el correo electrónico para darse de baja de una newsletter no funciona.
- Hacer la ruta para acceder a los controles de privacidad más larga de lo necesario. Como cuando se presentan continuamente formularios para una misma acción que ya realizaste.
- Con acciones engañosas, que tienen resultados distintos a la información provista, desalentando a los usuarios a continuar intentando.
Inconsistencia:
Se dificulta al usuario acceder a los controles e información de privacidad con una interfaz inconsistente e inestable. Puede hacerse de cuatro maneras:
- Sin jerarquías. La información de privacidad del sitio o app no se encuentra ordenada o es redundante, lo que dificulta que el usuario la comprenda adecuadamente.
- Descontextualizar. Se colocan uno o más controles de privacidad en una ruta no relacionada, como, por ejemplo, en “Seguridad”, haciéndola difícil de encontrar.
- Interfaz inconsistente. Se presenta una interfaz que no se relaciona con las expectativas del usuario relacionadas al tratamiento de los datos o con el diseño conocido previamente del sitio.
- Discontinuidad del idioma: El idioma o el lenguaje utilizado en la información de privacidad no es el mismo que se utiliza en otras secciones del sitio, lo que hace difícil su comprensión por todos los usuarios. Esto solía pasar habitualmente en algunas webs de origen anglosajón, que tenían los avisos legales en inglés.
Enturbiar:
Los controles e información de privacidad no se presenta claramente a los usuarios. Se realiza de dos formas:
- Información contradictoria sobre privacidad, dejando inseguros a los usuarios acerca de qué acciones debe realizar.
- Vocabulario o información ambigua. Se usan términos que son vagos o ambiguos, haciendo que el usuario pueda interpretarlas de manera incorrecta.
Sanciones a empresas por el uso de dark patterns
Dada la gravedad que en algunos casos supone el uso de dark patterns en internet, las autoridades de protección de datos europeas y españolas ya han emitido sanciones y multas al respecto.
Por ejemplo, en 2022 se sancionó con una multa de 150 millones de euros a Google en Francia por dificultar el rechazo de las cookies en su sitio web. También en ese mismo país y por las mismas razones Facebook fue multada con 60 millones de euros.
Por su parte, el año pasado, la DPC irlandesa le interpuso una multa a Tiktok de 345 millones de euros. Entre otras razones, por implementar deceptive patterns que empujaban al usuario a aceptar una configuración intrusiva con su privacidad.
En España, también en 2023, se le impuso una multa de 12 mil euros a Iuris Marketing por el uso de patrones oscuros que forzaban a los usuarios a aceptar opciones de privacidad invasivas.
Buenas prácticas para evitar el uso de dark patterns
Para evitar que tu empresa sea multada y además vea afectada su reputación por el uso de dark patterns es recomendable seguir algunas buenas prácticas en el diseño de tu sitio web o aplicación.
Aquí algunas recomendaciones del Comité Europeo de Protección de Datos para evitarlo:
- Implementa atajos mediante links, tablas de contenido que permitan la navegación fija y botones que permitan regresar al inicio del texto.
- Presenta opciones de configuración en bloque que tengan el mismo propósito y también permite cambios pequeños y específicos en los controles de privacidad.
- Entrega la información de contacto de la empresa y señala cómo contactar a la autoridad de supervisión.
- Incluye una descripción general de la política de privacidad.
- Cuando se requiera, muestra los cambios en la política de privacidad y haz comparaciones con la versión anterior.
- Usa una redacción coherente para toda la información de privacidad que se coloque en el sitio o la aplicación. Y provee definiciones, ejemplos e información contextual para que el usuario pueda entender los términos técnicos.
- Destaca las configuraciones de privacidad. Hazlo mediante el uso de colores o elementos que contrasten con el diseño de la página para que sea fácil de encontrar.
- Introduce a la protección de datos desde el ingreso a la app o al sitio web, para que los usuarios puedan familiarizarse con los términos.
- Establece notificaciones para alertar al usuario sobre los cambios o riesgos de privacidad existentes, como brechas de seguridad. También es una buena idea explicarles las consecuencias de realizar dichos cambios.
- Haz que haya consistencia en el diseño de tu sitio web entre los distintos dispositivos. Así, el usuario podrá encontrar fácilmente las configuraciones de privacidad.
- Dedica una página de tu sitio a contener toda la información y ajustes de protección de datos. Esta debe tener una URL descriptiva que permita encontrarla fácilmente.
- Provee un formulario para el ejercicio de los derechos del usuario de manera fácil.
A continuación te dejamos un vídeo con los errores más comunes en la gestión de la privacidad si eres creador de contenidos:
Conclusión
Estamos tan habituados a los dark patterns en nuestro día a día que puedes implementarlo en tu sitio web o aplicaciones sin darte cuenta. Sin embargo, esta práctica engañosa afecta la confianza entre tus clientes, porque se infringen sus derechos a la privacidad y como consumidor. Esto, termina afectando también a la empresa porque se daña la reputación y como consecuencia disminuyen sus ingresos.
Para evitarlo, es importante aprender a identificarlos e implementar buenas prácticas en el diseño y configuración de tu plataforma. Nuestros abogados especializados en privacidad pueden ayudarte a evaluar si estás cumpliendo con todos los parámetros de protección de datos impuestos por la normativa. Pide una cita.
Foto de Ron Whitaker en Unsplash
