La Agencia de Protección de Datos (AEPD) ha emitido una resolución de procedimiento sancionador en la que, por primera vez, sanciona a una empresa por considerar que existe una vulneración en el tratamiento de los datos personales de los visitantes que acceden a su sitio web cuando se obtiene el consentimiento de los interesados, a través de las técnicas de persuasión conocidas como patrones oscuros.
Los patrones oscuros (o dark patterns, en inglés) consisten en interfaces e implementaciones de experiencia de usuario que persiguen influenciar el comportamiento y las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que tomen decisiones potencialmente perjudiciales para la protección de sus datos personales.
Como pudo comprobarse en la investigación, esta entidad utilizaba en su sitio web los patrones oscuros de sobrecarga (overloading) y ocultación (skipping) en el diseño de la interfaz de usuario mediante la que se configuran las opciones de privacidad.
Las técnicas más habituales de overloading -aquella que presentar demasiadas posibilidades a la persona que tiene que tomar las decisiones para producir fatiga por sobrecarga-, son mostrar preguntas de forma reiterada, crear laberintos de privacidad y mostrar demasiadas opciones para que el interesado comparta más datos de los deseados.
De este modo, al acceder al apartado “Lista de proveedores”, los visitantes de la web se encontraban con una con una lista de unas 130 empresas), de las cuales, más de la mitad tenían marcada por defecto la casilla de “aceptar tratamiento de datos por Interés legítimo”, sin que existiese la opción de poder oponerse al tratamiento indicándolo una sola vez o un número de veces que resultase razonable.
Asimismo, en la página web analizada, se ocultaba en un apartado del menú de privacidad el listado de empresas a las que se cedían los datos personales (skipping).
Dado que el incumplimiento de la obligación de han de garantizar que no se emplean patrones oscuros, al menos, con relación a las decisiones respecto del tratamiento de sus datos personales, se sumó a otras infracciones del RGPD, la sanción impuesta ascendió a 12.000 euros.