EPIC documenta los trucos de diseño que bloquean el opt-out de datos personales

Un informe publicado por la Electronic Privacy Information Center examina cómo 38 grandes compañías, entre corredores de datos, plataformas de redes sociales, aplicaciones de citas y firmas de inteligencia artificial, diseñan sus procesos de opt-out para que nadie los complete. No como hipótesis. Como política.

El análisis, firmado por Caroline Kraczon, abogada de EPIC y co-autora del informe, documenta una serie de tácticas de diseño que en la industria llaman dark patterns: patrones que explotan la psicología humana para llevar al usuario al camino que la empresa prefiere, no al que el usuario quiere.

"Cuando los procesos de opt-out usan patrones de diseño manipuladores, solo dan la ilusión de elección en lugar de otorgar a las personas verdadera autonomía sobre su información personal", dijo Kraczon. La observación suena razonable. También describe con bastante precisión el estado del negocio de los datos personales en este momento.

El panorama legal no ayuda a que esto mejore. Veintiún estados de Estados Unidos han promulgado leyes de privacidad que otorgan a los consumidores el derecho a impedir que se vendan o compartan sus datos. La existencia de esas leyes es un avance. Lo que EPIC documenta es lo que pasa entre el momento en que alguien quiere ejercer ese derecho y el momento en que lo logra, si es que lo logra.

Las tácticas son variadas. Lenguaje confuso o deliberadamente ambiguo en los formularios. Casillas de verificación preseleccionadas que explotan el sesgo de opción predeterminada: si la gente tiende a dejar las cosas como están, conviene dejarlas preseleccionadas y listo. Colores o diseños que dificultan entender si un control está activado o desactivado. El catálogo es extenso y, según el informe, no es accidental.

Más de una docena de plataformas ni siquiera vincula claramente a sus formularios de opt-out desde la página de inicio. O sea, antes de llegar a los trucos del proceso en sí, el primer obstáculo es encontrar la puerta.

EPIC señala a Grindr y Bumble como ejemplos de aplicaciones de citas cuyos procesos de opt-out incluían casillas preseleccionadas. No son casos menores: son plataformas que manejan datos que los usuarios tienen razones particulares para querer mantener bajo control, incluyendo orientación sexual e identidad de género. Que el proceso de salida esté diseñado para fallar no es un detalle técnico menor.

El informe subraya que esto no es un problema abstracto de usabilidad. Las consecuencias son concretas: doxxing, acoso, represalias dirigidas. EPIC cita el asesinato de Melissa Hortman, legisladora estatal de Minnesota, y de su esposo. Según el informe, datos de agencias de búsqueda de personas fueron utilizados para investigar a las víctimas antes del ataque. Eso es lo que ocurre cuando los datos personales circulan sin control real de quien los genera. No es una historia de privacidad. Es una historia de seguridad.

El problema de fondo es que las leyes de privacidad funcionan bajo un modelo de consentimiento que asume que el proceso de opt-out es accesible y comprensible. EPIC argumenta que ese supuesto es falso en la mayoría de los casos. Las empresas cumplen formalmente con la ley, en el sentido de que ofrecen un mecanismo de opt-out. Lo que no hacen es diseñarlo para que funcione.

Las plataformas de redes sociales, los corredores de datos y las firmas de IA tienen incentivos financieros directos para que nadie complete el proceso. Los datos son el activo. Facilitar que los usuarios retiren su consentimiento es, desde la perspectiva del negocio, un problema a gestionar, no un derecho a respetar.

Hay algo casi didáctico en verlo documentado así, empresa por empresa, táctica por táctica. EPIC no plantea soluciones concretas en el informe. Lo que sí construye es un registro de las tácticas que permite nombrarlas, y es difícil regular lo que no tiene nombre.

La pregunta que queda abierta es si los estados que ya tienen leyes de privacidad están dispuestos a darles dientes reales, o si el próximo paso es seguir esperando a que la industria se autorregule. Esa segunda opción tiene un historial conocido.