¿Qué son los dark patterns en el consentimiento de cookies?

Los dark patterns —o patrones de diseño engañosos— son técnicas de diseño de interfaz que manipulan al usuario para que tome decisiones que no reflejan su preferencia real, en beneficio del responsable del sitio web. En el contexto de las cookies y el consentimiento, estos patrones se utilizan para inducir al usuario a aceptar categorías de cookies que, en una interfaz neutral, probablemente rechazaría.

El Comité Europeo de Protección de Datos (CEPD/EDPB) aprobó en marzo de 2022 las Directrices 3/2022 sobre los dark patterns en plataformas de redes sociales, que establecen un marco taxonómico aplicable con carácter general a cualquier interfaz de consentimiento. El EDPB identifica seis categorías principales: sobrecarga de información, ocultación de opciones, señalización asimétrica, obstaculización, disfraz y presión temporal.

En España, la Agencia Española de Protección de Datos (AEPD) publicó en 2023 su Guía sobre el uso de las cookies, que traduce estos principios al contexto nacional y establece requisitos concretos de diseño del banner de consentimiento. El artículo 7 del RGPD exige que el consentimiento sea libre, específico, informado e inequívoco. Cualquier elemento de diseño que menoscabe alguno de estos cuatro atributos puede constituir una infracción directa del Reglamento, con independencia de que el usuario haya pulsado técnicamente el botón de aceptación.

La AEPD ha subrayado en varias resoluciones que la prominencia visual equivalente entre las opciones de aceptar y rechazar no es una recomendación de buenas prácticas, sino un requisito jurídico. Las sanciones por el uso de dark patterns en banners de cookies pueden alcanzar los importes máximos del artículo 83 del RGPD: 20.000.000 € o el 4 % del volumen de negocio anual global.

Dark pattern #1: Casillas premarcadas

El uso de casillas de verificación marcadas por defecto para obtener el consentimiento a cookies analíticas, de marketing o de perfilado es una de las infracciones más antiguas y mejor documentadas en materia de consentimiento digital. El artículo 7.2 del RGPD establece expresamente que el consentimiento prestado "junto con otras declaraciones o contratos" solo es válido si se presenta "de forma que se distinga claramente de los demás asuntos", y que debe realizarse "mediante una acción positiva e inequívoca".

El Tribunal de Justicia de la Unión Europea zanjó esta cuestión de forma definitiva en la sentencia Planet49 de 1 de octubre de 2019 (asunto C-673/17): una casilla premarcada no constituye un consentimiento válido a efectos de la Directiva de privacidad electrónica ni del RGPD. El TJUE indicó que el responsable del tratamiento debe demostrar que el interesado realizó una acción activa para prestar su consentimiento, lo que excluye cualquier mecanismo de opt-out o de consentimiento por defecto.

La AEPD ha aplicado este criterio en varias resoluciones sancionadoras. Para detectar esta infracción en un sitio web, es necesario inspeccionar el estado inicial del banner de cookies antes de cualquier interacción del usuario, verificando si alguna categoría de cookies no necesarias aparece marcada por defecto. Las herramientas de auditoría automática pueden realizar esta comprobación de forma sistemática, capturando el estado inicial del banner en el primer acceso simulado al sitio.

Dark pattern #2: Botón «Rechazar» ausente o escondido

Uno de los dark patterns más extendidos en los banners de cookies españoles es la asimetría entre las opciones de aceptar y rechazar: el botón "Aceptar todas" ocupa un lugar destacado, con un color de alta visibilidad, mientras que la opción de rechazar está ausente del primer nivel del banner, oculta en un menú de "Configuración de cookies" o presentada como un enlace de texto de menor tamaño en lugar de un botón equivalente.

La Guía de cookies de la AEPD de 2023 es explícita en este punto: si el responsable ofrece la posibilidad de aceptar todas las cookies en el primer nivel del banner, debe ofrecer también la opción de rechazarlas todas en ese mismo nivel, con la misma prominencia visual. Esta posición es coherente con las sanciones impuestas por otras autoridades europeas de protección de datos, que sirven como referencia aplicable en España: la CNIL francesa impuso en enero de 2022 multas de 150.000.000 € a Google y 60.000.000 € a Facebook por no ofrecer un mecanismo de rechazo de cookies tan sencillo como el de aceptación. El regulador alemán (Datenschutzkonferenz) ha adoptado posiciones similares.

La clave jurídica es el atributo de libertad del consentimiento (art. 7 RGPD): si rechazar implica significativamente más clics, más tiempo o más esfuerzo cognitivo que aceptar, el consentimiento no puede considerarse libremente prestado. El responsable del tratamiento que diseña el banner de forma asimétrica está, en la práctica, coaccionando al usuario hacia la aceptación a través del diseño de la interfaz.

Dark pattern #3: Cookie wall (acceso condicionado al consentimiento)

El cookie wall consiste en denegar el acceso al contenido del sitio web a los usuarios que no consientan la instalación de cookies no necesarias. En su modalidad pura, el responsable bloquea el acceso completo al sitio salvo que el usuario acepte todas las categorías de cookies. En su modalidad "pay or consent" (consentir o pagar), el responsable ofrece como alternativa al consentimiento el pago de una suscripción para acceder al contenido sin publicidad personalizada.

El considerando 42 del RGPD señala que el consentimiento no debe considerarse libremente prestado cuando "el acceso a los servicios está condicionado a dicho consentimiento". La posición de la AEPD sobre los cookie walls ha evolucionado: en su Guía de 2023, la Agencia admite que un cookie wall puede ser lícito si se ofrece una alternativa real y proporcional de acceso al servicio que no exija el consentimiento de cookies, pero mantiene que un cookie wall sin alternativa alguna es contrario al requisito de consentimiento libre.

El modelo "consentir o pagar" ha sido objeto de pronunciamientos recientes del EDPB. En su Opinión 08/2024 sobre dicho modelo, el Comité concluyó que, en la mayoría de los casos, las grandes plataformas que implanten este modelo no cumplirán el requisito de consentimiento libre conforme al RGPD, dado el desequilibrio de poder entre la plataforma y el usuario. Para las organizaciones de menor tamaño, la licitud depende de factores como la proporción de la cuota alternativa respecto al coste real del servicio y la disponibilidad real de servicios equivalentes en el mercado.

Dark pattern #4: Formulaciones engañosas

Algunos banners de cookies utilizan etiquetas de botón que inducen al usuario a aceptar todas las cookies sin que sea consciente de ello. Los ejemplos más comunes son: botones etiquetados "Continuar navegando", "Entendido", "Aceptar política", "De acuerdo" o "Cerrar", que en realidad ejecutan la función técnica de aceptar todas las categorías de cookies, incluyendo las analíticas y de marketing.

El EDPB clasifica este tipo de práctica dentro de la categoría de disfraz(disguising) y engaño (misleading): el usuario cree que simplemente está cerrando un aviso informativo o aceptando una política de uso, cuando en realidad está prestando consentimiento para el tratamiento de sus datos con fines publicitarios o de perfilado. La Guía de la AEPD sobre el uso de cookies establece que el lenguaje del banner debe ser claro e inequívoco: el usuario debe entender con exactitud qué está aceptando cuando pulsa cada botón, sin necesidad de leer el texto explicativo secundario.

Desde el punto de vista de la detección, este dark pattern requiere tanto análisis técnico (¿qué cookies se instalan cuando el usuario pulsa el botón "Continuar"?) como análisis semántico del texto del banner. La combinación de ambos enfoques permite identificar casos en los que el etiquetado visual y el comportamiento técnico son incongruentes.

Dark pattern #5: Manipulación visual de la interfaz

La manipulación visual de la interfaz del banner de cookies constituye lo que el EDPB denominainterferencia de interfaz (interface interference): el uso de elementos visuales para orientar la atención y la decisión del usuario hacia una opción determinada sin una justificación de diseño neutral.

Los mecanismos más habituales son:

• Contraste de color asimétrico: el botón "Aceptar todas" se presenta en un color de alta saturación (verde brillante, azul corporativo) mientras que el botón "Rechazar" o "Solo necesarias" utiliza un gris neutro o un tono que lo hace visualmente menos llamativo. Estudios de seguimiento ocular demuestran que esta asimetría cromática tiene un impacto directo y medible en la tasa de aceptación.
• Diferencia de tamaño de fuente o botón: el texto o el botón de aceptación tiene un tamaño visual superior al de la opción de rechazo, aprovechando el sesgo cognitivo que asocia mayor tamaño con mayor relevancia o importancia de la acción.
• Nudging psicológico en el texto: formulaciones como "Ayúdenos a mejorar aceptando todas las cookies" o "Continúe con la mejor experiencia" crean un sesgo de reciprocidad y un marco positivo que presiona psicológicamente hacia la aceptación, sin que ello constituya una declaración técnicamente falsa.
• Jerarquía visual desequilibrada: posicionar el botón de aceptación en la parte superior derecha del banner —donde la atención visual suele recaer de forma natural en culturas de escritura izquierda-derecha— y el de rechazo en la inferior izquierda.

La AEPD no exige un diseño visual idéntico para ambas opciones, pero sí que ningún elemento de diseño introduzca un sesgo significativo hacia la aceptación. El criterio de referencia es si un usuario que dedica un esfuerzo cognitivo razonable puede identificar y utilizar la opción de rechazo con la misma facilidad que la de aceptación.

Dark pattern #6: Consentimiento agrupado (bundling)

El bundling o agrupamiento de consentimientos consiste en solicitar el consentimiento del usuario para múltiples finalidades de tratamiento mediante una única casilla o acción, sin posibilidad de seleccionar o deseleccionar finalidades de forma independiente. El artículo 7.4 del RGPD establece que, cuando el consentimiento se presta en el contexto de una declaración escrita que también se refiere a otros asuntos, la solicitud debe presentarse "de forma que se distinga claramente de los demás asuntos". El RGPD prohíbe expresamente condicionar la prestación de un servicio al consentimiento a un tratamiento de datos que no sea necesario para la ejecución de ese contrato.

En la práctica del banner de cookies, el bundling se manifiesta típicamente como una casilla única "Aceptar todas las cookies" que engloba sin distinción cookies analíticas, de marketing, de perfilado y de redes sociales. Aunque existe un botón genérico de aceptación global por razones de usabilidad, el incumplimiento surge cuando no se ofrece al usuario la posibilidad de configurar sus preferencias de forma granular, aceptando algunas categorías y rechazando otras.

La AEPD exige que el banner permita al usuario gestionar su consentimiento por categorías de cookies: necesarias (no requieren consentimiento), analíticas, de preferencias y de marketing deben poder activarse y desactivarse de forma independiente. Un banner que solo ofrece "Aceptar todo" y "Rechazar todo" puede ser conforme si ambas opciones son igualmente accesibles, pero si adicionalmente existe una opción de configuración granular, esta debe ser funcionalmente efectiva y no meramente cosmética.

Detección automática de dark patterns

La detección manual de dark patterns en un banner de cookies requiere una inspección que combine análisis técnico y análisis de diseño: verificar qué cookies se instalan en el primer acceso, inspeccionar el estado inicial del banner (casillas premarcadas), comprobar la jerarquía visual de los botones, analizar el texto de cada opción y confirmar que la granularidad de la configuración es funcionalmente operativa. Esta inspección, realizada de forma manual, consume entre una y dos horas por dominio, y sus resultados pueden quedar desactualizados tan pronto como el responsable actualice su CMP (Consent Management Platform).

Juralex Audit detecta automáticamente los seis tipos de dark patterns descritos en este artículo, ejecutando una secuencia de verificaciones que incluye:

• Análisis de las cookies instaladas antes de cualquier interacción del usuario, identificando cookies de terceros (analíticas, de marketing) que se carguen en el primer acceso sin consentimiento previo.
• Verificación del estado inicial del banner: detección de casillas de verificación marcadas por defecto en las categorías de cookies no necesarias.
• Comprobación de la presencia y equivalencia del botón de rechazo en el primer nivel del banner, evaluando si existe o si solo está disponible en un nivel secundario de configuración.
• Análisis semántico del texto del banner y las etiquetas de los botones para identificar formulaciones potencialmente engañosas.
• Detección de cookie wall: verificación de si el acceso al contenido del sitio está condicionado a la aceptación de cookies no necesarias.
• Comprobación de la granularidad de configuración: verificación de que las categorías de cookies pueden configurarse de forma independiente cuando existe una opción de ajuste avanzado.

Cada análisis genera un informe PDF con evidencias específicas de cada dark pattern detectado: capturas de pantalla del estado del banner, listado de cookies instaladas antes del consentimiento con su dominio origen y categoría, y referencia al artículo del RGPD o a la disposición de la Guía AEPD 2023 que resulta de aplicación. Este informe constituye documentación directamente utilizable en procedimientos ante la AEPD —tanto para demostrar la diligencia debida del responsable o del DPD como para acreditar la subsanación de las incidencias detectadas.

Dado que los gestores de consentimiento (OneTrust, Cookiebot, Axeptio, Usercentrics y otros) son actualizados con frecuencia y pueden modificar el comportamiento del banner sin intervención directa del equipo de desarrollo, la auditoría puntual resulta insuficiente. Solo la monitorización continua y automatizada garantiza que cualquier cambio que introduzca un dark pattern sea detectado de forma inmediata, antes de que suponga un período prolongado de incumplimiento potencialmente sancionable.