Mucho se está hablando sobre la sanción  80/2023 de la AEPD . Desde Auratech analizamos con detalle lo ocurrido en el mencionado Procedimiento Sancionador sobre uso de patrones oscuros de sobrecarga y ocultación.  Con la última guía sobre cookies las empresas cada vez tienen más dudas sobre cómo  Cumplir la ley de cookies  (LSSI).

 El 30 de septiembre del 2022 entró una reclamación ante la AEPD (Agencia Española de Protección de Datos). La reclamación se dirigía contra la empresa Chat With IO Worldwide por tres presuntas vulneraciones  de la vigente normativa de protección de datos. 

Vamos a dividir el procedimiento sancionador en tres :

 

Puede ver el un resumen de la noticia  en el presente vídeo

1.-Falta de información en política de privacidad

En el formulario de contacto de la web de la empresa reclamada se pueden añadir los típicos datos personales (correo, nombre apellidos , teléfono) y antes de enviar el formulario se deben aceptar las política de privacidad y las condiciones de uso.

La política de privacidad existente que se acepta en formularios como el de contacto no cumple con el principio de información recogido en el art 13 del RGPD :

  • Ambigüedad en las finalidades de los tratamientos.

  • No se detallan de forma clara los intereses legítimos de terceros. Es necesario acceder a las más de 1000 política de privacidad que aparecen en la lista de proveedores.
  • No hacen mención de la transferencia internacional de datos a los proveedores del listado que están fuera de la UE.

2.000 euros (dos mil euros) fue la sanción impuesta por infracción del deber de informar. 

Por la infracción del artículo 13 del RGPD, tipificada en el artículo 83.5.b) del mismo Reglamento, y calificada como “leve” a efectos de prescripción en el artículo 74.a) de la LOPDGDD, una multa de 2.000 euros (dos mil euros). 

2.-Uso de patrones oscuros de sobrecarga y ocultación

Utilizan patrones oscuros de sobrecarga  (overloading) y ocultación (skipping) en el diseño de la interfaz de usuario. Se configuran las opciones de privacidad cuando el interesado muestra su oposición al tratamiento basado en interés legítimo.  Estos patrones no solo nos hacen incumplir el principio  de transparencia sino también no Cumplir la ley de cookies (LSSI).

El patrón oscuro de sobrecarga se observa cuando el usuario accede a la lista de proveedores. De los 130 proveedores, más de la mitad tienen premarcado tratar los datos por interés legítimo. Esto obliga al usuario a tener que desmarcar manualmente uno a uno a lo largo de toda la lista creando fatiga en el usuario.

En el listado de proveedores existen 1522 empresas y 338 tienen marcado por defecto el interés legítimo para el tratamiento de datos. Esta configuración obligaría al usuario a desmarcar una a una las 338 casillas . Cuanto menos debería existir un botón para rechazar todas con un click.  Además las casillas preparadas aparecen en un color grisáceo que se confunde con el blanco la finalidad es la de dificultar su localización quedando camuflado.

El Comité Europeo de Protección de Datos (EDPB)  publicó el siguiente documento sobre:  Directrices sobre patrones oscuros (dark patterns) en interfaces de redes sociales, Cómo reconocerlos y evitarlos”.

Los patrones oscuros pueden mostrarse al usuario en nuevas altas en servicios ,  sus configuraciones de privacidad, en el ejercicio de derechos , en la configuración de los banners de cookies o incluso el procesos para darse de baja de una plataforma.

Cumplir ley de cookies

De acuerdo con las Directrices del EDPB, los dark patterns pueden clasificarse en las siguientes categorías:

  1. Sobrecarga (overloading): consiste en presentar demasiadas posibilidades a la persona que tiene que tomar las decisiones, lo que termina generando fatiga sobre el usuario, que acaba compartiendo más información personal de la deseada. Las técnicas más habituales para producir esa fatiga por sobrecarga son mostrar preguntas de forma reiterada, crear laberintos de privacidad y mostrar demasiadas opciones.

  2. Ocultación (skipping): consiste en diseñar la interfaz o experiencia de usuario de tal manera que el usuario no piense en algunos aspectos relacionados con la protección de sus datos, o que lo olvide.

  3. Emocionar (stirring): se apela a las emociones de los usuarios o se utilizan empujones visuales en forma de efectos para influenciar en las decisiones.

  4. Obstaculización (hindering): trata de poner trabas para que el usuario no pueda realizar de forma sencilla ciertas acciones. Esto se realiza a través de técnicas como poner los ajustes de privacidad en zonas a las que no se puede acceder, que sea muy complicado llegar hasta ellas o proporcionando información engañosa sobre los efectos de algunas acciones.

  5. Inconsistencia (fickle): la interfaz presenta un diseño inestable e inconsistente que no permite realizar las acciones deseadas por el usuario.

  6. Enturbiar (left in the dark): la información o las opciones de configuración de la privacidad se esconden o se presentan de forma poco clara utilizando un lenguaje errático, información contradictoria o ambigua.

 

 

  • En el caso que nos ocupa puede ser considerado como patrón oscuro de sobrecarga (overloading) la existencia de un botón para aceptar todo pero no para su rechazo.

5.000 euros (cinco mil euros) fue la sanción impuesta por constituir patrones oscuros de sobrecarga y ocultación . 

Por la infracción del artículo 5.1.a) del RGPD, es de 5.000 euros (cinco mil euros).

 

3.-Inexistencia del Segundo Nivel Informativo cookies

 

Al acceder a la web por primera vez se  instalan cookies que no son técnicas ni necesarias  (exentas de cumplir ) antes de que el usuario genere alguna acción sobre la página web (aceptarlas, rechazarlas o configurarlas).

En el panel de control sobre cookies se ha detectado que, los grupos de cookies están divididos en dos opciones, aceptar las cookies por “Consentimiento” que están premarcadas en la opción “no aceptadas” y aceptar las cookies por “Interés Legítimo” que están premarcadas en la opción de “aceptadas”. No obstante, si se desmarcan todas las opciones marcadas “aceptadas” se comprueba que siguen utilizando las mismas cookies detectadas al entrar en la web sin haber prestado el consentimiento.

No existe ninguna página o enlace en el banner que redirija al usuario a la política de cookies versión extendida ,  solo existe la información del banner.  Para Cumplir ley de cookies debemos añadir en el footer la política de cookies.

Cumplir ley de cookies

Ejemplo enlace correcto política de cookies

5.000 euros (cinco mil euros) fue la sanción impuesta por la falta de política de cookies

Por el incumplimiento del artículo 22.2 de la LSSI, calificada como “leve” a efectos de prescripción en el artículo 38.4.g) de la citada norma, una multa de 5.000 euros (cinco mil euros).

 

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *