El Comité Europeo de Protección de Datos (CEPD) publicó hace una semanas las Directrices 3/2022 sobre patrones oscuros en las redes sociales, abiertas a consulta pública hasta el 2 de mayo, uniéndose a la larga lista de Organismos e Instituciones europeas en pronunciarse acerca de estas prácticas.
De hecho, varias de las enmiendas a la futura Ley de Servicios Digitales (cuyos trílogos finalizaron hace diez días con el acuerdo provisional entre el Parlamento Europeo y el Consejo) pretenden poner coto al uso de cualquier técnica que menoscabe la toma libre y autónoma de decisiones del usuario, impidiendo a los prestadores de servicios intermediarios romper la neutralidad a través del diseño, el contenido o la configuración de la interfaz.
Pero esta batalla, ni se disputa sólo en la Unión Europea, (ejemplo de ello es la californiana Consumer Privacy Rights Act (CPRA), que entrará en vigencia el próximo 1 de enero de 2023, y que señala explícitamente que no se entiende prestado el consentimiento si este se obtuvo como consecuencia del uso de patrones oscuros), ni afecta exclusivamente al ámbito de la protección de datos, como manifiestan la Autoridad Australiana de Competencia y Consumo, que no sólo alude a la incidencia en materia de consumo, sino también al uso de dichas prácticas como barreras de entradas o expansión de los competidores, y la propia Comisión Europea, que pretende abordar el abuso de los sesgos del comportamiento de los consumidores en las prácticas comerciales, aunque el motivo que nos trae hoy aquí son las Directrices del CEPD, que pasamos a analizar.
¿Qué son los patrones oscuros en este contexto?
Se definen como aquellas técnicas que influyen en el comportamiento de los usuarios de las redes sociales, llevándolos a tomar decisiones involuntarias y potencialmente perjudiciales en relación con el tratamiento de sus datos personales, confluyendo la ética, la economía y el derecho con la psicología cognitiva y la interacción humano-computadora.
Un punto importante a tener en cuenta, es que el CEPD no alude como partes de la ecuación la mala fe del responsable ni el beneficio que sustrae de su uso, de modo que en principio sólo sería necesario demostrar que el diseño, el contenido (o la falta de este) o la experiencia del usuario conlleva a una manipulación que incide en el ámbito de aplicación del Reglamento.
¿Cómo se clasifican?
A pesar de las diversas clasificaciones que se han realizado a lo largo de estos diez últimos años (principalmente, la aportada por quien acuñó dicha denominación), el CEPD propone englobarlos en tres grandes categorías:
- Patrones oscuros en la interfaz, como el modo en que se muestra la información o la forma de interactuar con ella.
- Patrones oscuros de contenido, como la redacción o el contexto.
- Los efectos que produce el patrón en el usuario, que se concretan en:
- Overloading: Es la sobrecarga de información y opciones con el objetivo de que el usuario comparta más datos o permita inconscientemente el procesamiento de sus datos personales en contra de sus expectativas, aludiendo en muchas ocasiones a una falsa necesidad de recopilar ciertos tipos de datos basándose en el buen funcionamiento del sistema o en una mejor experiencia, lo que incide en los principios de minimización de datos, transparencia, equidad y responsabilidad proactiva.
Ejemplos de ello los encontramos cuando nos solicitan concurrentemente un dato (como la agenda de contactos o nuestro número de teléfono) cada vez que avanzamos de pantalla a pesar de habernos negado en todas las ocasiones, con la única finalidad de ejercer presión sobre nosotros para que lo terminemos entregando. También hay quien enmascara la recogida de datos bajo legitimaciones erróneas, abusando del uso del consentimiento, en contra de lo dispuesto en el artículo 6 RGPD.
Otro ejemplo también lo observamos cuando se nos enfrentan demasiadas opciones para elegir, aspecto que difiere de la especificidad que requiere el consentimiento, porque en este caso las mismas son irrelevantes, pues lo que se busca es provocar que nos “perdamos” manteniendo la opción por defecto, lo que en cierto modo conecta con el siguiente patrón.
- Skipping: Buscan lograr que nos “olvidemos” de la protección de nuestros datos. Esto se encuentra estrechamente vinculado a los principios de protección de datos por defecto y por diseño, porque en ciertos casos, cuando nos disponemos a configurar nuestra cuenta, además de no encontrarnos con la opción menos restrictiva por defecto, el menú desplegable no es visible, teniendo que colocarnos en el papel de Houdini para adivinar qué hacer.
- Stirring: Es el uso de nuestras emociones contra nuestros propios intereses. En estos casos, y a pesar de que al inicio de las Directrices ya el CEPD muestra sus preocupaciones respecto al uso de patrones oscuros en menores, el impacto que producen este tipo concreto de tácticas se ven acentuadas por la plasticidad y la falta de comprensión a estas edades, elevando el riesgo para sus derechos y libertades, lo que podría derivar en daños físicos o psicológicos.
Ejemplos de ello los encontramos en el uso de frases e imágenes que acentúan la necesidad de terminar cuanto antes para empezar a utilizar la plataforma o servicio.
- Hindering: Buscan torpedear nuestros intentos a la hora de encontrar información sobre el procesamiento de nuestros datos o administrar los controles una vez activados. Un caso típico es cuando hacemos clic sobre el botón “omitir” y nos preguntan si estamos seguros, mientras que cuando aceptamos no se nos hace reconsiderar la elección, lo que implica un desequilibrio en el tratamiento, pues sólo se nos pide confirmación en uno de los casos.
- Fickle: Es el uso del diseño de la interfaz para impedirnos acceder a las herramientas de configuración, bien porque no hay un enlace de redirección disponible o porque este no funcione. También suelen valerse del tamaño de la fuente de las letras o el uso de colores que no contrastan lo suficiente con el fondo como para ofrecer una legibilidad.
Todo ello resulta incompatible con los principios de transparencia e información, pues los interesados deben recibir información de manera clara y perceptible para que puedan comprender cómo se procesan y controlan sus datos.
- Left in the dark: La interfaz está diseñada para ocultar información haciendo uso de términos ambiguos, la extensión de la redacción o la aportación de información contradictoria que nos deja desorientados sobre lo que debemos hacer, así como de las consecuencias de nuestras acciones, por lo que tendemos a no tomar ninguna opción, manteniendo la configuración predeterminada.
Dentro de esta categoría también se encuentra la discontinuidad del idioma, que puede confundir a los usuarios incluso cuando estos confirman su capacidad para utilizar una lengua extranjera. Respecto a este punto, la AEPD ya ha tenido ocasión de pronunciarse, señalando que “El artículo 12.1 del RGPD requiere que se proporcione cualquier información a la que se refieren el artículo 13 y el artículo 14 del RGPD de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo”.
Otro ejemplo de ello son los avisos de privacidad por capas, de modo que no pueden valerse del uso de esta técnica para dificultar innecesariamente el acceso a la información (o al ejercicio de los derechos), troceando la misma a lo largo de las capas, pues nunca se tendría una imagen completa. Además, en el caso de que un responsable haya diversificado el acceso a su plataforma a través de diferentes productos (principalmente web y app), la información debe proporcionarse en todo ellos en términos similares, no entorpeciendo su alcance a uno sólo de los instrumentos.
Vinculado a esto último, el Comité hace referencia a las dificultades que encontramos los usuarios a la hora de borrar nuestra cuenta, lo que incluiría el derecho de supresión del Artículo 17.1.a) RGPD y la retirada del consentimiento del Artículo 7.3 RGPD. Entre las vicisitudes nos encontramos con la reafirmación de nuestras intenciones a lo largo de múltiples pantallas o la imperiosa necesidad de alegar motivos al cierre de la cuenta, obligándonos a escribir un número mínimo de palabras con la “finalidad” de mejorar la plataforma.
Pero el CEPD no sólo señala los problemas, sino que también enlista una serie de buenas prácticas, como son el uso de accesos directos a la información, índices o desplegables en las políticas de privacidad, jerarquizar las opciones de forma homogénea o proporcionar definiciones cuando se utilice lenguaje técnico. También respecto al momento de borrado de la cuenta, apunta que sería interesante que las plataformas ofrecieran en ese momento un medio para descargar nuestros datos.
En definitiva, si tenemos en cuenta que nuestro modelo de sociedad se fundamenta en la confianza y que nuestra racionalidad ya de por sí es limitada, la aplicación de las teorías psicocognitivas a los modelos económicos terminan por explotar nuestros sesgos (bajo los que tenemos poco o ningún control) en el proceso de toma de decisiones, lo que nos coloca en una posición de vulnerabilidad frente a los responsables que, a falta de motivaciones éticas, debemos acudir al amparo legal para su freno. En este sentido, es cierto que el Reglamento no alude directamente a estas prácticas, pero como han señalado el CEPD, así como diferentes Autoridades de Control a través de sus resoluciones (como las de principios de año de la CNIL), pueden reconducirse al cumplimiento de los deberes legales contenidos en la normativa.
