Patrones oscuros en el proceso de registro en Redes Sociales
El pasado 21 de marzo, el Comité Europeo de Protección de Datos (en adelante, CEPD) publicó el borrador Directrices 3/2022 sobre patrones oscuros en las interfaces de las plataformas de redes sociales: cómo reconocerlos y evitarlos. Las citadas directrices otorgan recomendaciones prácticas a los diseñadores y usuarios de plataformas de redes sociales sobre cómo evaluar y evitar los llamados “dark patterns” o "patrones oscuros" en las redes sociales; es decir, aquellas interfaces y experiencias de usuario diseñadas para influir, a través de manipulaciones psicológicas y de forma encubierta, en las elecciones del usuario respecto a su privacidad.
En las siguientes líneas analizaremos las directrices mencionadas, haciendo hincapié en las categorías de patrones oscuros existentes en este tipo de plataformas, los patrones oscuros detectados en la primera etapa del ciclo de vida de la cuenta del usuario (el proceso de registro), y cómo evitar la producción de estos, mediante la aplicación de buenas prácticas.
1. Categorías de patrones oscuros
El CEPD distingue seis grandes categorías de patrones oscuros en los tratamientos de datos, a través de este tipo de plataformas:
-Overloading: patrones que se presentan cuando los usuarios se enfrentan a una gran cantidad de solicitudes de información, incitándoles a compartir más datos o a permitir involuntariamente el tratamiento de éstos en contra de sus expectativas.
-Skipping: patrones oscuros que se presentan cuando una interfaz o experiencia del usuario es diseñada con el objetivo de hacer que los usuarios se olviden sobre de algún aspecto de la protección de sus datos personales.
-Stirring: conjunto de patrones que pretende afectar a la elección de los usuarios, ya sea, apelando a sus emociones o mediante la utilización de elementos visuales.
-Hindering: patrones destinados a obstruir o impedir a los usuarios informarse sobre el tratamiento de sus datos o incluso, gestionar los mismos.
-Fickle means: se producen cuando el diseño de la interfaz es poco claro, dificultando a los usuarios acceder a las herramientas de control de sus datos, y comprender las finalidades del tratamiento.
-Left in the dark: patrones que se presentan cuando la interfaz ha sido diseñada de forma que oculta información, las herramientas de control o deja a los usuarios sin saber cómo son tratados sus datos y qué tipo de control tienen sobre ellos, en relación con el ejercicio de sus derechos.
Las categorías mencionadas son desarrolladas meticulosamente, incluyendo los tipos concretos de patrones por cada categoría, en el anexo de la Guía.
A lo largo de las directrices, el CEPD identifica los diferentes patrones oscuros que pueden aparecer, en función de la etapa en que nos encontremos, dentro del ciclo de vida de la cuenta del usuario en este tipo de plataformas; estableciendo, asimismo, un catálogo de buenas prácticas a tener en cuenta por los desarrolladores para evitar que aparezcan estos en cada una de las etapas del ciclo.
En el presente artículo nos centraremos, en la primera etapa del ciclo de vida, consistente en abrir una cuenta en redes sociales y, más en concreto, en el proceso necesario para el registro de una cuenta.
2. Registro de cuenta: Patrones oscuros identificados y buenas prácticas aplicables
a. Patrones oscuros identificados
En esta primera etapa, el CEPD subraya como patrones oscuros recurrentes relacionados con el contenido de la plataforma:
-Aquellos propios del overloading, como el continuous prompting; es decir, patrones destinados a que el usuario acabe cediendo y proporcione más datos o consienta más tratamientos que los esperados, por estar los usuarios cansados de tener que expresar una elección cada vez que entran en la plataforma (Ej.: convencer al usuario en el registro para proporcionar su número de teléfono móvil a través de la aparición de pop up emergentes, aduciendo que el teléfono es necesario por motivos de seguridad).
-Patrones propios de la categoría hindering, en su vertiente misleading information. (Ej.: cuando al registrarse en una red social a través del navegador de escritorio, se invita a los usuarios a utilizar también la aplicación móvil de la plataforma, y se les solicita el teléfono para recibir un mensaje de texto con enlace a la APP).
-Patrones propios del stirring, y más en concreto del emotional steering (Ej.: cuando en el proceso de registro se incentiva compartir la ubicación para que así lugares o personas a ti cercanas te contacten más fácilmente, o cuando se incentiva a rellenar un campo abierto de autodescripción con la excusa de querer conocer más sobre el usuario).
-Patrones propios del hindering, en su subtipo longer than necessary, (Ej.: cuando la plataforma al pasar diferentes etapas del registro pregunta al usuario si está seguro de querer continuar, lo que puede provocar que finalmente otorgue datos adicionales).
Relacionado con la interfaz del usuario, el CEPD destaca en esta primera etapa, los siguientes patrones oscuros:
-Patrones de la categoría stirring en su vertiente hidden in plain sight (Ej.: colocación de la política de privacidad en una esquina de la web mediante un pequeño icono).
-Patrones propios del skipping, en su subtipo deceptive snugness (Ej.: que aparezca premarcada por defecto la opción “compartir con todos los usuarios” al introducir la fecha de nacimiento, en vez de opciones menos invasivas).
-Patrones propios de la categoría hindering, en su subtipo dead end (Ej.: cuando al empezar el proceso de registro, no existe ningún link a la información sobre el tratamiento de los datos).
b. Buenas prácticas en el proceso de registro
Para diseñar interfaces de usuario que faciliten la aplicación efectiva del Reglamento General de Protección de Datos (en adelante, “RGPD”), el CEPD propone que se apliquen las siguientes buenas prácticas:
-Accesos directos: Tal y como indica el CEPD, los enlaces a la información o a las configuraciones de privacidad pueden ser de ayuda práctica para que los usuarios administren sus datos y sus ajustes en protección de datos; debiendo estar siempre disponibles (por ejemplo, enlaces que redirigen a las partes relevantes de la política de privacidad).
-Información de contacto: El CEPD recomienda que la dirección de contacto de la empresa para atender las solicitudes de derechos sea de fácil acceso, a través de una sección sobre la identidad del responsable del tratamiento, una sección relacionada con los derechos o una sección de contacto.
-Información de contacto de la autoridad de control: Se recomienda indicar la identidad específica de la autoridad de control e incluir un enlace a su sitio web o a la página web específica relacionada con la presentación de una reclamación. Esta información debería estar presente en una sección en la que los usuarios puedan esperar encontrarla, como una sección relacionada con los derechos.
-Descripción general de la política de privacidad: Al principio o parte superior de la política de privacidad, se recomienda incluir un índice (plegable) con títulos y subtítulos que muestren los diferentes apartados que contiene la misma, los cuales servirán de guía para el usuario.
-Detección y comparación de cambios: El CEPD, recomienda que cuando se introduzcan cambios en la política de privacidad, sean accesibles las versiones anteriores de la misma, con la fecha de publicación y destacando los cambios realizados.
-Redacción coherente: El CEPD recomienda que la redacción utilizada en la política de privacidad debe coincidir con la utilizada en el resto de la plataforma.
-Proporcionar definiciones: El CEPD establece que deben proporcionarse definiciones en lenguaje sencillo, pudiendo encontrarse directamente en el texto o estar disponibles en un glosario.
-Contraste de elementos de protección de datos: Se recomienda que los elementos o las acciones relacionadas con la protección de datos sean visualmente llamativos en una interfaz que no esté directamente dedicada a la materia. Por ejemplo, al publicar un mensaje en abierto en la plataforma, los controles sobre la vinculación con la geolocalización del dispositivo deben ser de fácil acceso.
-Incorporación de la protección de datos: Se recomienda que justo después de la creación de una cuenta, se incluyan puntos relativos a la protección de datos para que los usuarios descubran y establezcan sus preferencias. Por ejemplo, se recomienda invitar al usuario a establecer sus preferencias de protección de datos después de añadir a su primer amigo o compartir su primera publicación.
-Uso de ejemplos: Además de la información obligatoria que indica de forma clara y precisa la finalidad del tratamiento, se recomienda utilizar ejemplos para ilustrar un tratamiento de datos específico.
Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army