La próxima vez que pulse «Aceptar todo» en una ventana emergente de cookies, deténgase un instante. Ese botón verde, prominente y atractivo que contrasta con el discreto enlace gris de «Configurar opciones» no es fruto de la casualidad. Tampoco lo son los mensajes que le recuerdan que «solo quedan 2 unidades» o las ventanas que preguntan «¿Estas seguro de que quieres irte?» cuando intenta cerrar una pagina sin comprar. Estas decisiones de diseño, aparentemente inocuas, constituyen lo que el Derecho europeo ha comenzado a denominar patrones oscuros o dark patterns: interfaces deliberadamente concebidas para influir en las decisiones de los usuarios en beneficio de la plataforma y en perjuicio de su autonomía.
La sanción de 120 millones de euros impuesta a X (antes Twitter) en diciembre de 2025 por la Comisión Europea, la primera bajo la Ley de Servicios Digitales, y la investigación coordinada contra Shein iniciada en mayo de 2025 por un catalogo de practicas manipulativas, marcan un punto de inflexión. El diseño de interfaces ha dejado de ser un asunto exclusivamente técnico o comercial para convertirse en una cuestión jurídica de primer orden, con implicaciones directas para el compliance empresarial.
Del soft law a la prohibición expresa: el articulo 25 de la DSA
Durante anos, la regulación de las practicas de diseño manipulativo opero en una suerte de limbo normativo. El RGPD contenía el principio de lealtad en su articulo 5.1.a) y la obligación de protección de datos desde el diseño en el articulo 25, pero sin referencias explicitas a los patrones oscuros. La Directiva sobre Practicas Comerciales Desleales prohibía las conductas engañosas y agresivas, aunque su aplicación al entorno digital resultaba fragmentaria e inconsistente.
El Reglamento de Servicios Digitales (DSA), en vigor desde febrero de 2024, cambio el panorama de manera sustancial. Su articulo 25.1 establece una prohibición directa: los proveedores de plataformas en linea no pueden diseñar, organizar ni operar sus interfaces de modo que engañen o manipulen a los usuarios, ni de forma que menoscaben materialmente su capacidad para tomar decisiones libres e informadas. El Considerando 67 explicita que esta prohibición abarca los dark patterns, definidos como practicas que distorsionan o perjudican, ya sea intencionadamente o de hecho, la capacidad de los destinatarios del servicio para tomar decisiones autónomas e informadas.
La relevancia de esta formulación reside en su amplitud. No se exige dolo: basta que el efecto practico sea la distorsión de la capacidad decisoria del usuario. Tampoco se limita a categorias predefinidas de conductas, sino que establece un principio general aplicable a cualquier interfaz que cumpla la función manipulativa descrita. Las sanciones previstas pueden alcanzar el 6% de la facturación global anual de la empresa infractora, un techo que la sanción a X rozo al situarse en aproximadamente el 5% de sus ingresos de 2024.
Anatomía del engaño: taxonomía de los patrones oscuros
El Comité Europeo de Protección de Datos (EDPB) publico en febrero de 2023 las Directrices 03/2022 sobre patrones de diseño engañosos en interfaces de plataformas de redes sociales, que constituyen la referencia técnica mas completa sobre esta materia en el ámbito europeo. Aunque formalmente dirigidas a redes sociales, sus criterios resultan aplicables por analogía a cualquier plataforma digital. El documento clasifica los patrones oscuros en seis categorías principales, cuya comprensión resulta esencial para identificar practicas potencialmente ilícitas.
La sobrecarga (overloading) consiste en bombardear al usuario con tal cantidad de opciones, solicitudes o información que termina aceptando configuraciones invasivas por pura fatiga. Es el banner de cookies con cientos de socios preseleccionados que habria que desmarcar uno a uno, frente al cómodo botón de aceptación global. La AEPD sanciono por primera vez esta practica en septiembre de 2023, imponiendo 5.000 euros a la empresa Chatwith.IO Worldwide por obligar a los usuarios a desmarcar individualmente la opción de tratamiento por interés legitimo de mas de 130 empresas terceras, sin ofrecer un mecanismo de rechazo global equivalente al de aceptación.
La ocultación (skipping) diseña la interfaz de forma que el usuario no repare en aspectos relacionados con la protección de sus datos o simplemente los olvide. Opciones de privacidad enterradas en menús de tercer nivel, ajustes preseleccionados que favorecen la recopilación máxima de datos, o flujos de registro que presentan la configuración de privacidad como un paso opcional que puede saltarse son manifestaciones habituales de este patron.
El pattern de emocionar (stirring) apela a los sentimientos del usuario mediante lenguaje cargado o efectos visuales para influir en sus decisiones. El confirm shaming, practica por la que la opción de rechazo se formula con lenguaje culpabilizador («No, prefiero seguir pagando de mas» o «No me interesa proteger mis datos»), constituye su manifestación mas extendida. En su denuncia contra Shein de junio de 2025, BEUC documento como la plataforma empleaba sistemáticamente esta técnica junto con mensajes de urgencia falsa del tipo «Esta oferta expira en 00:05:32» que se reiniciaban al recargar la pagina.
La obstaculización (hindering) interpone trabas para que el usuario no pueda realizar ciertas acciones de forma sencilla. El roach motel o hotel de cucarachas, que permite darse de alta con un clic pero exige un autentico laberinto para darse de baja, es su ejemplo paradigmático. Un estudio académico de 2023 publicado en Behavioural Public Policy aplico el principio de clics iguales a 14 servicios digitales, incluyendo Facebook, Amazon Prime y Spotify, y constato que en la mayoría el proceso de baja requería entre tres y cinco veces mas interacciones que el de alta.
La inconsistencia (fickle) presenta interfaces inestables donde elementos como botones o casillas cambian de posición o comportamiento, impidiendo al usuario desarrollar automatismos protectores. Finalmente, el patrón de dejar a oscuras (left in the dark) oculta información relevante mediante lenguaje confuso, ambiguo o contradictorio. Un estudio de la Comisión Europea de 2022 revelo que el 97% de los sitios web mas populares en la UE empleaban al menos un tipo de patrón oscuro, una cifra que evidencia la normalización de estas practicas en el ecosistema digital.
El caso Shein: radiografía de una investigación coordinada
La investigación contra Shein, el gigante de la moda ultra-rápida, ilustra la nueva dinámica de aplicación normativa. Designada como Plataforma en Linea de Muy Gran Tamaño (VLOP) en abril de 2024 por superar los 45 millones de usuarios mensuales en la UE, la empresa quedo sujeta a las obligaciones mas estrictas de la DSA. El 26 de mayo de 2025, la Red de Cooperación para la Protección de los Consumidores (CPC Network), coordinada por la Comisión Europea, notifico a Shein una serie de practicas que infringían el Derecho de consumo de la Unión, incluyendo descuentos falsos basados en precios de referencia inexistentes, presion mediante mensajes de urgencia y escasez artificial, y ocultación de información esencial sobre productos y comerciantes.
Una semana después, BEUC (la organización europea de consumidores) presento una denuncia formal respaldada por 25 organizaciones miembro de 21 países, entre ellas la española OCU. El documento, titulado «1 Click to Buy (More)», identificaba hasta 18 de los 20 patrones manipulativos analizados presentes en la plataforma de Shein, mas que en competidores como H&M, Zara o ASOS. Entre las técnicas documentadas destacaban los temporizadores de cuenta atrás que se reiniciaban al recargar la pagina, los mensajes de existencias limitadas sin correlación con el inventario real, el scroll infinito diseñado para maximizar el tiempo de permanencia, la gamificación agresiva mediante puntos y recompensas, y la navegación por abandono que culpabilizaba al usuario por intentar salir sin comprar.
La investigación permanece abierta y Shein dispone de un mes para responder a las alegaciones y proponer compromisos. El caso reviste interés particular porque ilustra la convergencia entre la DSA, la Directiva sobre Practicas Comerciales Desleales y la Directiva de Derechos de los Consumidores en la persecución de un mismo fenómeno. También porque apunta hacia una posible ampliación de la investigación a todo el sector de la moda rápida, como explícitamente solicitaba la denuncia de BEUC.
La frontera difusa: nudging, persuasion y manipulacion
El concepto de nudge, popularizado por Thaler y Sunstein en 2008, designa intervenciones en la arquitectura de la elección que orientan el comportamiento de las personas sin prohibir opciones ni modificar significativamente los incentivos económicos. La pregunta que inevitablemente surge es donde termina el nudge legitimo y comienza el patrón oscuro ilícito. La distinción no es puramente académica: de ella depende la licitud de numerosas practicas de diseño ampliamente extendidas.
El Reglamento de Inteligencia Artificial (RIA), en vigor desde agosto de 2024, aporta criterios relevantes. Su articulo 5 prohíbe los sistemas de IA que empleen técnicas subliminales, engañosas o manipulativas para distorsionar significativamente el comportamiento de las personas, especialmente cuando afectan a su capacidad de tomar decisiones informadas. La norma distingue así entre la influencia sobre el comportamiento, potencialmente licita, y la distorsión de la capacidad decisoria, que cruza el umbral de lo prohibido.
Un criterio operativo util es el de la transparencia y reversibilidad. El nudge ético presenta las opciones de forma clara, permite al usuario identificar que esta siendo orientado hacia una dirección y facilita el cambio de decisión sin penalización. El patrón oscuro, por el contrario, oculta su naturaleza manipulativa, dificulta que el usuario tome conciencia de la influencia ejercida y obstaculiza la rectificación. Cuando una plataforma ofrece una opción por defecto claramente identificada y fácilmente modificable, opera en el terreno del nudge; cuando esa opcion por defecto aparece camuflada, requiere múltiples pasos para modificarla o penaliza su cambio, nos encontramos ante un patrón oscuro.
El EDPB señala que la mera existencia de una configuración por defecto no es necesariamente problemática siempre que respete el principio de protección de datos por defecto del articulo 25.2 del RGPD: las opciones preseleccionadas deben ser las menos invasivas para la privacidad del usuario, no las mas convenientes para el responsable del tratamiento. Una interpretación convergente aplica la DSA: el diseño por defecto no puede favorecer sistemáticamente los intereses de la plataforma en detrimento de la autonomía del usuario.
El diseño ético como ventaja competitiva: la perspectiva del Legal Design
La regulación de los patrones oscuros no debe entenderse unicamente como una fuente de riesgos jurídicos, sino también como una oportunidad para la diferenciación competitiva. El Legal Design, disciplina que aplica metodologías de diseño centrado en el usuario a productos y servicios jurídicos, ofrece un marco conceptual para transformar el cumplimiento normativo en valor añadido.
Las políticas de privacidad, los términos de servicio y los mecanismos de consentimiento constituyen puntos de contacto criticos con el usuario. Tradicionalmente tratados como meras formalidades legales, representan en realidad momentos de verdad que condicionan la percepción de confiabilidad de la marca. Una política de cookies clara, con opciones simétricas y lenguaje comprensible, no solo cumple el Derecho vigente: comunica respeto por el usuario y genera confianza. El contraste con competidores que emplean practicas manipulativas se convierte en un elemento de diferenciación perceptible.
Estudios de comportamiento del consumidor sugieren que la transparencia en el tratamiento de datos se correlaciona positivamente con la disposición a compartir información. Paradójicamente, las empresas que facilitan el rechazo del consentimiento pueden obtener consentimientos mas cualificados y duraderos que las que intentan arrancarlo mediante manipulación. La Unión Europea ha comenzado a explorar el concepto de fairness by design, traducible como lealtad desde el diseño, como un principio horizontal que obligaría a incorporar consideraciones éticas en la arquitectura de las interfaces desde su concepción.
Implicaciones para el compliance: auditoria de UX como prevención
Para los responsables de cumplimiento, la prohibición de patrones oscuros plantea la necesidad de incorporar nuevas competencias y procesos a los programas existentes. La auditoria de experiencia de usuario (UX) desde una perspectiva de compliance emerge como herramienta esencial para identificar riesgos antes de que se materialicen en sanciones.
Una metodología practica de auditoria incluiría el mapeo completo del recorrido del usuario, desde el registro hasta la baja, identificando cada punto de decisión y evaluando si las opciones se presentan de forma equilibrada. El test de clics iguales, que compara el numero de interacciones necesarias para aceptar versus rechazar una configuración o para darse de alta versus de baja, proporciona una métrica objetiva inicial. La revisión del lenguaje utilizado en botones y mensajes permite detectar confirm shaming y otros patrones de presion emocional. El análisis de opciones por defecto verifica que cumplan el principio de privacidad por defecto.
Las herramientas de análisis de comportamiento como mapas de calor, grabaciones de sesiones y detección de rage clicks (clics repetitivos que denotan frustración) pueden revelar puntos de fricción que, aunque no constituyan necesariamente infracciones, sugieren áreas de mejora o riesgo potencial. La documentación sistemática de las decisiones de diseño y su fundamentación resulta crucial para acreditar la diligencia debida en caso de investigación.
La formación de los equipos de diseño y desarrollo en los criterios legales aplicables constituye una medida preventiva fundamental. Los patrones oscuros rara vez se implementan con intención dolosa; mas frecuentemente resultan de la optimización agresiva de métricas de conversión sin consideración de los limites legales. Incorporar las categorías del EDPB como lista de verificación negativa en los procesos de diseño reduce significativamente el riesgo de incurrir inadvertidamente en practicas prohibidas.
Perspectivas y reflexión final
El régimen sancionador de la DSA ha demostrado su operatividad con inusitada rapidez. En menos de dos anos desde su plena entrada en vigor, la Comisión Europea ha impuesto la primera multa significativa y abierto investigaciones contra varias de las principales plataformas globales. El mensaje es claro: las obligaciones de transparencia y el respeto a la autonomía del usuario no son declaraciones programáticas, sino normas dotadas de consecuencias efectivas.
Quedan, no obstante, cuestiones abiertas. La interacción entre la DSA y la Directiva sobre Practicas Comerciales Desleales genera incertidumbre sobre la autoridad competente y el régimen aplicable en casos fronterizos, como evidencio la sentencia del Tribunal Regional Superior de Bamberg en el caso Eventim. La carga de la prueba en la detección de patrones oscuros sigue siendo compleja: demostrar que una determinada configuración distorsiona la capacidad decisoria del usuario medio requiere evidencia empírica que no siempre resulta accesible. Las tensiones geopolíticas en torno a la regulación de plataformas estadounidenses añaden una dimensión extra al debate.
En julio de 2025, la Comisión Europea abrió una consulta publica sobre la propuesta de Ley de Equidad Digital (Digital Fairness Act), que podría establecer una definición horizontal de patrones oscuros aplicable mas allá de las plataformas cubiertas por la DSA. BEUC ha solicitado la inclusión de una obligación general de lealtad desde el diseño y la inversión de la carga de la prueba para determinadas practicas especialmente dañinas. Si estas propuestas prosperan, el marco normativo se endurecería considerablemente.Para las empresas que operan en el mercado digital europeo, la conclusión practica es inequívoca: el diseño de interfaces ha dejado de ser un asunto exclusivamente técnico para convertirse en una cuestión de cumplimiento normativo con riesgos significativos. La auditoria de UX desde la perspectiva del compliance, la formación de los equipos de diseño en los criterios legales aplicables y la documentación de las decisiones adoptadas constituyen medidas preventivas esenciales. Aquellas organizaciones que, ademas, logren transformar estas obligaciones en una propuesta de valor diferenciada basada en la confianza y la transparencia habrán convertido una restricción regulatoria en ventaja competitiva.
SUBSTACK