El pasado mes de marzo, el Comité Europeo de Protección de Datos (CEPD) publicó unas Directrices sobre “dark partners”, con la intención de que las empresas se abstuvieran de emplear interfaces engañosas en las web, app y redes sociales que perjudican la protección de los datos personales de los usuarios. En el artículo de hoy, explicamos que son los “dark partners” y en qué incumplimientos se puede incurrir al utilizarlos.
*Puede acceder al contenido completo de las Directrices, en el siguiente link (versión en inglés): https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf. Actualmente, estas directrices se encuentran en fase de consulta pública.
¿Qué son los “dark partners”?
Son métodos, interfaces o implementaciones en redes sociales, app y página web diseñados para engañar a los usuarios y que tomen decisiones potencialmente perjudiciales contra la protección de sus datos.
Pongamos los siguientes ejemplos reales para un mayor entendimiento:
Diseño de un onboarding engañoso
”Linkedin fue demandada en el año 2013 por el uso de un diseño engañoso en su proceso de onboarding. Este informaba a los usuarios con un texto circundante situado bajo el botón principal de que importaría sus libretas de direcciones y enviaban correo automáticamente a sus contactos de correo electrónico solicitudes para conectarse en LinkedIn.
Después de eso, LinkedIn fue condenado a pagar 13 millones de dólares en compensaciones a los usuarios por utilizar este patrón oscuro o también conocido Dark Pattern.”
Fuente:
https://medium.com/@pildorasux/qu%C3%A9-son-los-dark-patterns-f170438a98c4
La continuidad forzada
”Dime si te has encontrado alguna vez un servicio que te gusta y en el que te has inscrito, algunos de ellos te piden la información de tu tarjeta de crédito, en principio puedes pensar que no es un problema ya que es una “prueba gratuita” de 15 días y das por hecho que no te harán ningún cargo a tu tarjeta sin antes avisarte.
Pasado ese tiempo, te encuentras con que la compañía ha deducido una cuota una vez acabado el tiempo de esa prueba gratuita en tu tarjeta de crédito.
Te sorprendes y sientes que te han engañado porque no recibiste ninguna notificación de antemano. Este patrón oscuro ocurre cuando tu prueba gratuita con un servicio termina, y te cobran sin previo aviso, es decir sin enviarte una notificación o un email unos días antes de que finalice el tiempo de ese Free trial que es lo éticamente correcto ¿no crees?”
Fuente:
https://medium.com/@pildorasux/qu%C3%A9-son-los-dark-patterns-f170438a98c4
¿Cómo se clasifican?
De conformidad con las Directrices del CEPD, los “dark partners” se pueden clasificar de la siguiente manera:
- Sobrecarga (overloading): consiste en presentar demasiadas posibilidades a la persona que tiene que tomar las decisiones, lo que termina generando fatiga sobre el usuario, que acaba compartiendo más información personal de la deseada. Las técnicas más habituales para producir esa fatiga por sobrecarga son mostrar preguntas de forma reiterada, crear laberintos de privacidad y mostrar demasiadas opciones.
- Ocultación (skipping): consiste en diseñar la interfaz o experiencia de usuario de tal manera que el usuario no piense en algunos aspectos relacionados con la protección de sus datos, o que lo olvide.
- Emocionar (stirring): se apela a las emociones de los usuarios o se utilizan empujones visuales en forma de efectos para influenciar en las decisiones.
- Obstaculización (hindering): trata de poner trabas para que el usuario no pueda realizar de forma sencilla ciertas acciones. Esto se realiza a través de técnicas como poner los ajustes de privacidad en zonas a las que no se puede acceder, que sea muy complicado llegar hasta ellas o proporcionando información engañosa sobre los efectos de algunas acciones.
- Inconsistencia (fickle): la interfaz presenta un diseño inestable e inconsistente que no permite realizar las acciones deseadas por el usuario.
- Enturbiar (left in the dark): la información o las opciones de configuración de la privacidad se esconden o se presentan de forma poco clara utilizando un lenguaje errático, información contradictoria o ambigua.
¿En qué incumplimientos podemos incurrir?
En caso de que la empresa opte por la utilización de “dark partner” estaría incumpliendo la normativa sobre protección de datos y, en concreto, los siguientes principios, que se aplicarán dependiendo el caso en particular:
- Principio de licitud, lealtad y transparencia (artículo 5.1º a) RGPD): Los datos personales deben ser tratados de manera lícita, leal y transparente.
- Principio de limitación de la finalidad (artículo 5.1º b) RGPD): Los datos personales deberán ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
- Principio de minimización (artículo 5.1ºc) RGPD): Los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Principio de responsabilidad proactiva (artículo 5.2º RGPD) en relación con la privacidad desde el diseño y por defecto (artículo 25 RGPD): la empresa debe ser capaz de garantizar la protección de datos tanto en el momento de la concepción de las interfaces y experiencias de usuarios (es decir, antes del lanzamiento) como durante el tratamiento; y estar en condiciones de probar que cumple con la normativa.
- Condiciones de obtención del consentimiento (artículo 7 RGPD):
- La empresa debe ser capaz de demostrar que el usuario consintió el tratamiento de sus datos personales.
- La solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
- El interesado tendrá derecho a retirar su consentimiento en cualquier momento.
- Antes de dar su consentimiento, el interesado debe ser informado de ello.
- Debe ser tan fácil retirar el consentimiento como darlo.
El incumplimiento de los anteriores principios puede acarrear una multa de hasta 20 millones de euros o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.