Skip to main content

Patrones oscuros en el consentimiento de cookies

Un patrón oscuro es un diseño de interfaz de usuario que manipula a los usuarios para que tomen decisiones que de otro modo no tomarían. En el contexto del consentimiento de cookies, los patrones oscuros empujan a los usuarios a aceptar todas las cookies, no mediante información clara y una elección genuina, sino a través de la manipulación visual, un lenguaje confuso y fricciones deliberadas.

Los patrones oscuros en el consentimiento de cookies no son solo un mal diseño, sino una responsabilidad legal. Las autoridades de protección de datos de toda la UE han impuesto multas cuantiosas específicamente por interfaces de consentimiento manipuladoras, y el escrutinio regulatorio se intensifica cada vez más.

Por qué los patrones oscuros invalidan el consentimiento

Según el GDPR, el consentimiento debe ser:

  • Libremente otorgado (Artículo 4(11)): el usuario debe tener una elección genuina, sin presiones ni manipulación.
  • Específico: el consentimiento debe otorgarse para cada finalidad concreta.
  • Informado: el usuario debe comprender a qué está dando su consentimiento.
  • Inequívoco: otorgado mediante una acción afirmativa clara.

Los patrones oscuros socavan por diseño las condiciones de «libremente otorgado» e «informado». Si la opción de rechazar está oculta, minimizada visualmente o enterrada tras varios clics, el consentimiento del usuario no se otorgó libremente. Si el lenguaje es confuso o engañoso, el usuario no fue informado. En cualquiera de los casos, el consentimiento es legalmente inválido, y cada cookie establecida sobre la base de ese consentimiento constituye una infracción.

El Compromiso de Cookies de la UE

En noviembre de 2023, la Comisión Europea lanzó el Compromiso de Cookies (Cookie Pledge), un compromiso voluntario para que las empresas adopten prácticas justas en materia de cookies. Aunque no es jurídicamente vinculante, el Compromiso de Cookies refleja las expectativas de la Comisión y anticipa la dirección regulatoria.

Principios clave del Compromiso de Cookies:

  • Rechazar las cookies debe ser tan fácil como aceptarlas, en cuanto al número de clics, la presentación visual y el esfuerzo cognitivo.
  • No debe haber elementos de diseño manipuladores que empujen a los usuarios a aceptar.
  • Un lenguaje claro y sencillo que los usuarios puedan comprender a simple vista.
  • No debe haber muros de cookies que bloqueen el acceso al contenido.
  • Retirada sencilla del consentimiento en cualquier momento.

Entre las empresas que firmaron el Compromiso de Cookies figuran varias marcas importantes. Aunque la iniciativa es voluntaria, las autoridades de protección de datos han hecho referencia explícita a los principios del Compromiso en sus resoluciones sancionadoras.

Directrices del EDPB sobre patrones oscuros

El Comité Europeo de Protección de Datos (EDPB) publicó las Directrices 03/2022 sobre patrones oscuros en las interfaces de plataformas de redes sociales, que se han aplicado ampliamente también a las interfaces de consentimiento de cookies. Las directrices identifican seis categorías de patrones oscuros:

  1. Sobrecarga: bombardear a los usuarios con información o solicitudes excesivas, provocando fatiga en la toma de decisiones.
  2. Omisión: diseñar interfaces que omiten o preseleccionan opciones sin la participación activa del usuario.
  3. Incitación emocional: usar lenguaje emocional o señales visuales para dirigir a los usuarios hacia una elección concreta.
  4. Obstaculización: dificultar el ejercicio de derechos (por ejemplo, encontrar el botón de rechazar, acceder a la configuración o retirar el consentimiento).
  5. Inconsistencia: un diseño incoherente que confunde a los usuarios sobre dónde se encuentran y qué significan sus elecciones.
  6. Ocultación: esconder información, usar lenguaje ambiguo o proporcionar un contexto incompleto.

Las autoridades nacionales de protección de datos han utilizado estas categorías como marco de referencia al evaluar los banners de cookies durante los procedimientos sancionadores.

Patrones oscuros comunes con ejemplos

Casillas premarcadas

Presentar casillas de categorías de cookies que ya están marcadas, obligando al usuario a desmarcarlas activamente para rechazar el consentimiento. Esta práctica fue declarada explícitamente inválida por el Tribunal de Justicia de la Unión Europea en el caso Planet49 (C-673/17, octubre de 2019). El Tribunal sostuvo que las casillas premarcadas no constituyen una «indicación activa» del consentimiento.

A pesar de esta resolución inequívoca, muchos sitios web siguen utilizando paneles de preferencias premarcados, especialmente para las categorías de «analítica» o «funcionales». Cada una de estas implementaciones produce un consentimiento inválido.

Sin botón de rechazar

Mostrar únicamente «Aceptar todo» y «Gestionar preferencias» en la primera capa, sin opción para rechazar. El usuario debe hacer clic en «Gestionar preferencias», navegar por un panel secundario, deseleccionar todas las categorías y luego hacer clic en «Guardar»: normalmente entre tres y cinco clics para rechazar, frente a un solo clic para aceptar.

La CNIL (la autoridad de protección de datos de Francia) ha sido especialmente contundente en la aplicación de sanciones contra este patrón. En sus acciones sancionadoras de enero de 2022 contra Google (150 millones de euros) y Facebook (60 millones de euros), la CNIL citó específicamente la ausencia de un mecanismo directo de rechazo en la primera capa como una infracción.

Manipulación visual

Hacer que el botón «Aceptar» sea visualmente dominante mientras se minimiza la opción «Rechazar». Entre las técnicas habituales se incluyen:

  • Un botón «Aceptar todo» grande y de colores llamativos junto a una opción «Rechazar» pequeña, gris o transparente.
  • «Aceptar» como un botón sólido y de alto contraste, mientras que «Rechazar» es un enlace de texto o un botón fantasma.
  • «Aceptar» situado en el recorrido de atención visual del usuario (centro, alineado a la derecha o posición principal), mientras que «Rechazar» se coloca en una posición menos destacada.
  • Usar el verde para «Aceptar» (que sugiere seguridad/avanzar) y el rojo o gris para «Rechazar» (que sugiere peligro/detenerse/desactivado).

El principio es sencillo: si un usuario razonable percibiría la opción de aceptar como la acción «predeterminada» o «recomendada» basándose únicamente en el diseño visual, el banner está utilizando un patrón oscuro.

Lenguaje confuso e «interés legítimo»

Algunas interfaces de consentimiento presentan ciertas finalidades de seguimiento como basadas en el «interés legítimo» en lugar de en el consentimiento, con estas finalidades habilitadas previamente y que requieren una exclusión (opt-out) en lugar de una aceptación (opt-in). Esto está técnicamente permitido bajo el GDPR para intereses legítimos genuinos, pero se abusa de ello ampliamente.

Cuando un banner de cookies enumera decenas de proveedores publicitarios bajo el «interés legítimo» con diminutos interruptores, el efecto práctico es que la mayoría de los usuarios no entienden lo que están viendo y no actúan, lo que da lugar a un seguimiento por defecto. Varias autoridades de protección de datos, incluida la APD belga, han cuestionado esta práctica, argumentando que el interés legítimo no puede ser la base jurídica para el seguimiento publicitario.

Clics excesivos para rechazar

La asimetría de esfuerzo es quizá el patrón oscuro más extendido:

Acción Clics necesarios
Aceptar todas las cookies 1 clic
Rechazar todas las cookies (patrón oscuro) 3-7 clics (abrir configuración, deseleccionar cada categoría, guardar y, posiblemente, confirmar)
Rechazar todas las cookies (conforme) 1 clic (botón «Rechazar todo» en la primera capa)

Las directrices sobre consentimiento del EDPB son explícitas: «Retirar el consentimiento debe ser tan fácil como otorgarlo». Por extensión, rechazar el consentimiento no debería requerir más esfuerzo que concederlo.

Muros de cookies

Un muro de cookies bloquea por completo el acceso al sitio web a menos que el usuario acepte las cookies. El contenido de la página queda oculto tras una superposición, y la única forma de continuar es hacer clic en «Aceptar».

El EDPB ha declarado en sus Directrices 05/2020 que los muros de cookies generalmente no proporcionan un consentimiento libremente otorgado, porque no se ofrece al usuario una elección genuina: es «consentir o marcharse». Algunas jurisdicciones permiten una versión matizada (la autoridad de protección de datos neerlandesa, por ejemplo, ha indicado que los muros de cookies pueden ser aceptables si el usuario dispone de una alternativa equivalente genuina), pero la posición más segura es evitarlos por completo.

Sobrecarga de información

Algunos banners presentan páginas de texto legal denso, decenas de interruptores de proveedores y jerarquías de categorías complejas, no para informar, sino para abrumar. Ante un muro de texto y 150 interruptores individuales de proveedores, la mayoría de los usuarios simplemente hace clic en «Aceptar todo» por fatiga. Este es el patrón oscuro de «sobrecarga» identificado por el EDPB: usar información exhaustiva para impedir una interacción significativa.

La solución es un enfoque por capas: información breve y clara en la primera capa, con información detallada disponible pero sin que sea obligatorio consultarla.

Manipulación emocional

Usar un lenguaje que induzca culpa o cargado emocionalmente para dirigir las decisiones de consentimiento:

  • «No, gracias, no me importa una experiencia personalizada»
  • «Prefiero ver anuncios irrelevantes»
  • «Continuar con una experiencia degradada»
  • Usar emojis tristes o imágenes de desaprobación cuando el usuario se orienta hacia el rechazo

Estas técnicas de «confirmshaming» hacen que el usuario sienta que rechazar las cookies es una elección mala o antisocial. El lenguaje debe ser neutral e informativo, no emocional.

Ejemplos reales de aplicación

Las autoridades de protección de datos han pasado de las directrices a la aplicación de sanciones. Estos son casos notables en los que los patrones oscuros en el consentimiento de cookies dieron lugar a multas significativas:

CNIL contra Google (150 millones de euros) — enero de 2022

La CNIL determinó que google.fr no ofrecía un mecanismo para rechazar las cookies tan fácilmente como para aceptarlas. Aceptar las cookies requería un solo clic; rechazarlas requería navegar por varias pantallas. La multa vino acompañada de una orden para incluir un botón de «Rechazar todo» en la primera capa en un plazo de tres meses.

CNIL contra Facebook (60 millones de euros) — enero de 2022

La misma acción sancionadora. El banner de cookies de Facebook en facebook.com carecía de una opción de rechazo en la primera capa. Los usuarios tenían que navegar por la configuración para rechazar las cookies. La CNIL impuso la multa y ordenó su subsanación.

CNIL contra Microsoft (60 millones de euros) — diciembre de 2022

La CNIL determinó que bing.com depositaba cookies publicitarias sin el consentimiento adecuado y que el banner de cookies no proporcionaba una forma igualmente sencilla de rechazar las cookies.

CNIL contra TikTok (5 millones de euros) — diciembre de 2022

El banner de cookies de TikTok requería múltiples acciones para rechazar las cookies. La CNIL determinó que esto vulneraba el requisito de disponer de mecanismos igualmente accesibles de consentimiento y rechazo.

El Garante italiano contra varias empresas — 2023

La autoridad italiana de protección de datos realizó inspecciones dirigidas a los patrones oscuros en los banners de cookies, emitiendo advertencias y multas a múltiples empresas por utilizar diseños manipuladores en los botones de aceptar/rechazar.

Cómo diseñar interfaces de consentimiento éticas

Diseñar una interfaz de consentimiento de cookies ética no consiste solo en evitar multas, sino en respetar a los usuarios y generar confianza. Estos son los principios:

  1. Igual prominencia. Las opciones de aceptar y rechazar deben ser visualmente idénticas en tamaño, peso cromático y ubicación. Si «Aceptar» es un botón azul sólido, «Rechazar» también debe ser un botón sólido del mismo tamaño.
  2. Igual esfuerzo. Rechazar las cookies debe requerir el mismo número de clics que aceptarlas. Si aceptar requiere un clic, rechazar también debe requerir un clic.
  3. Lenguaje claro. Utiliza un lenguaje sencillo y neutral. «Aceptar todo» y «Rechazar todo», no «Aceptar» y «Más información».
  4. Sin valores predeterminados. Todas las categorías de cookies no esenciales deben estar desactivadas por defecto. Sin casillas premarcadas ni intereses legítimos habilitados previamente.
  5. Información honesta. Describe lo que hacen las cookies en términos objetivos. Sin eufemismos, sin tácticas de miedo, sin manipulación emocional.
  6. Configuración accesible. El panel de preferencias debe ser fácil de navegar, con categorías claras y descripciones concisas.
  7. Retirada sencilla. Debe haber un icono o enlace de configuración persistente en todas las páginas para que los usuarios puedan cambiar sus preferencias en cualquier momento.

Lista de verificación: ¿Está mi banner libre de patrones oscuros?

Utiliza esta lista de verificación para auditar tu banner de cookies actual:

  1. ¿Hay un botón de «Rechazar todo» en la primera capa del banner?
  2. ¿El botón de rechazar tiene el mismo tamaño que el botón de aceptar?
  3. ¿El botón de rechazar tiene el mismo estilo visual que el botón de aceptar (ambos sólidos, ambos con contorno, etc.)?
  4. ¿Rechazar las cookies requiere el mismo número de clics que aceptarlas?
  5. ¿Todas las categorías de cookies no esenciales están desactivadas por defecto en el panel de preferencias?
  6. ¿El lenguaje es neutral y objetivo (sin inducir culpa, sin manipulación emocional)?
  7. ¿Puede el usuario acceder al contenido del sitio sin aceptar las cookies (sin muro de cookies)?
  8. ¿Puede el usuario cambiar sus preferencias en cualquier momento a través de un enlace o icono visible?
  9. ¿La descripción de la finalidad es específica (no solo «mejorar tu experiencia»)?
  10. ¿No se establece ninguna cookie antes de que el usuario tome una decisión?

Si respondiste «no» a alguna de estas preguntas, es posible que tu banner contenga patrones oscuros que te exponen a un riesgo regulatorio.

El banner de consentimiento de Passiro está diseñado desde cero para estar libre de patrones oscuros, cumpliendo por defecto todos los criterios de esta lista de verificación. Descubre cómo Passiro puede ayudarte a implementar un consentimiento de cookies ético y conforme.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis