Choice architecture y dark patterns: Desafíos para el consentimiento informado en la protección de datos

Por Nina Isabella Pérez Cepeda
Miembro semillero Privatech.

Introducción

La obligación consistente en que el usuario otorgue su consentimiento para el tratamiento de sus datos personales no es un requisito formal vacío. En el entorno digital, resulta cada vez más problemático tanto el otorgamiento de autorizaciones para el tratamiento de datos personales como lo que efectivamente se termina haciendo con ellos después. Las plataformas no solo informan, también diseñan la forma en que esa información se muestra, se oculta o se jerarquiza. Lejos de ser neutral, este diseño puede facilitar la comprensión o, por el contrario, inducir a aceptar tratamientos de datos que el titular difícilmente habría consentido en condiciones transparentes. En ese punto aparece la arquitectura de la elección o choice architecture. A partir de este contexto, se examina hasta qué punto el ordenamiento colombiano ofrece herramientas suficientes para enfrentar estas prácticas y se sostiene que, aunque la Ley 1581 de 2012 ofrece una base sólida, su eficacia depende también de cómo se controle el diseño de las interfaces y de qué exigencias adicionales se impongan para garantizar un consentimiento verdaderamente informado.

I. Asimetría de la información, choise architecture y dark patterns

La arquitectura de la elección o choice architecture se refiere a un modo de exponer las opciones de forma que impacten en la decisión que se tome. Las categorías que recogen las formas más habituales de la choice architecture son las siguientes (Münscher, Vetter y Scheuerle, 2016):

i) Información para la toma de la decisión, así como cambiar el formato de presentación de la información sin cambiar el contenido, hacer visible la información o dar un punto social de referencia;
ii) estructura de la decisión, por ejemplo, con opciones preseleccionadas que se pueden cambiar libremente, cambiar el esfuerzo relacionado con la decisión, cambiar composición de las opciones o cambiar las consecuencias de las opciones y;
iii) asistencia para la decisión, como recordatorios o facilitar el compromiso con la decisión.

La choice architecture no elimina la información ni la facultad de consentir las políticas de tratamiento de datos, sino que se materializa en la forma en cómo las aplicaciones y páginas web diseñan la manera en la que el usuario decide sobre su privacidad, y en como la política de datos se presenta, se lee, se entiende y se acepta. Esto se vuelve especialmente relevante en una era de dependencia tecnológica en la que se hace necesario otorgar a distintas plataformas el acceso a datos sensibles por motivos de salud, trabajo, relaciones interpersonales, educación, entre otros. En el entorno digital, se podría decir que la choice architecture provoca una nueva dimensión en la asimetría de la información, que ya no se trata únicamente de insuficiencia de contenido, sino de la manera en la que esta se presenta: compleja, extensa, técnica y, sobre todo, exhibida para incitar a la aceptación de las condiciones para el tratamiento de los datos.

En este contexto, los dark patterns aparecen como una manifestación de la choice architecture. Los dark patterns utilizan dark nudging^[1]  ydigital sludging^[2] para aplicar técnicas de manipulación (como otorgar información completa, pero aprovecharse de vulnerabilidades psicológicas) o directamente de engaño u omisiones intencionadas (Kollmer & Eckhardt, 2023). Otros ejemplos son los contadores de tiempo para aplicar descuentos, insistencia y obstáculos para la cancelación (European Comission, 2022). Los usos secundarios de los datos se vuelven difíciles de prever para el usuario que acepta una política comprometiendo su esfera más privada sin saberlo. El éxito de la técnica está en ser sutiles o difíciles de detectar (OCDE, 2022), y por eso se hace necesario dejar de culpar a quien consiente y “poner la lupa” sobre quienes influyen en las decisiones que toman los usuarios.

1.1. El caso de Flo Health

La realidad ha demostrado que no se trata de un problema teórico sobre posibles nuevas dificultades para la autonomía de la voluntad privada y la protección de datos. El caso de la aplicación Flo Health, relativamente reciente, sirve para ilustrar esto.

En febrero de 2019, se reveló que los desarrolladores de esta aplicación, para hacer seguimiento al periodo y la fertilidad femenina, compartían datos sensibles sobre la salud de sus usuarias (como cuando se encontraban en embarazo) a pesar de prometer que la información se mantendría privada aún sin limitar (FTC, 2021a). En enero de 2021, la Federal Trade Commission (FTC)^[3] anunció que presentó una demanda administrativa^[4] porque Flo Health limitó el uso de los datos por terceros y permitió que se utilizaran para fines publicitarios desde el año 2016 (FTC, 2021b).

En junio de 2021, Flo Healthy la FTC llegaron a un acuerdo en virtud del cual Flo, entre otras, debía obtener el consentimiento afirmativo de las usuarias antes de compartir su información de salud, notificar a las afectadas sobre la divulgación de sus datos y no realizar declaraciones engañosas sobre los fines del tratamiento de datos y el control que tienen los usuarios sobre su información (FTC, 2021b).

Las acciones en contra de Flo Health no terminaron allí. En California, Estados Unidos se presentó una demanda colectiva en 2021 contra Flo, Google, Meta y Flurry (porque Flo tenía integrados en su aplicación los SDK (Software Development Kits)^[5]  de esas empresas), cuya certificación de clase se otorgó en 2025 (Frasco v. Flo Health, Inc., 2025). Google y Flurry llegaron a acuerdos antes del juicio, mientras que Flo llegó a un acuerdo durante el propio juicio el 31 de julio de 2025, que se formalizó en septiembre de ese mismo año. En cuanto a Meta, el 1 de agosto de 2025, el jurado la declaró responsable por su papel en la recopilación no autorizada y el uso comercial de datos de salud altamente personales (Labaton Keller Sucharow, 2025).

1.2. El caso de Better Help

Otro ejemplo emblemático es el caso de Better Help, un servicio de terapia en línea, el cual había también prometido mantener la privacidad de la información, pero reveló datos a Facebook, Snapchat, Pinterest y Criteo con fines publicitarios (FTC, 2024).

En el 2020, la FTC, tras quejas de varios usuarios, inició una investigación en su contra. Better Help exhibía en su sitio web sellos de cumplimiento de HIPAA engañosos^[6]. La FTC emitió una orden y Better Help fue condenada a pagar 7.8 millones de dólares (FTC, 2023). La orden se volvió definitiva en julio de 2023 (FTC, 2023). La sanción a esta empresa refuerza la responsabilidad de las empresas digitales de salud en proteger datos sensibles.

II: ¿Qué protección existe actualmente en Colombia?

La Ley 1581 de 2012, estatuto de protección de datos en Colombia, establece la transparencia como principio rector en su artículo 4, así como las obligaciones derivadas de la exigencia  de que el tratamiento de datos sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Esto implicaría una prohibición de los dark patterns si se interpreta en armonía con el  artículo 9 del mismo estatuto que establece que el tratamiento de datos requiere la autorización previa e informada del titular, obtenida por cualquier medio que pueda ser objeto de consulta posterior.La protección se consolida aún más con el artículo 11°, el cual añade que la información deberá ser «de fácil lectura, sin barreras técnicas que impidan su acceso», lo que podría interpretarse como una base legal para cuestionar interfaces deliberadamente complejas.

La cuestión central radica en establecer si la regulación contenida en la Ley 1581 de 2012 basta para enfrentar estas prácticas o si resulta necesario que el estatuto contemple expresamente las prohibiciones referentes al diseño de interfaces, el ocultamiento deliberado de información y las estructuras digitales que permiten integrar mecanismos manipulativos en la formación del consentimiento contractual.

2.1. Fortalezas en el régimen de protección de datos

Para los datos sensibles, el artículo 6° del estatuto exige una «autorización explícita» diferenciada, y el artículo 12° establece que el titular debe ser informado del carácter facultativo de responder preguntas sobre esta categoría de datos. La consecuencia jurídica por el tratamiento indebido de datos sensibles (artículo 23) llega al cierre inmediato y definitivo de operaciones que involucren tratamiento indebido de datos sensibles. Desde el diseño de experiencia de usuario, se impone una choice architecture que garantice que el acceso a datos sensibles no se otorgue por inadvertencia o de forma inevitable.

El régimen de protección de datos aplica aún para empresas que no tengan domicilio físico en Colombia como indicó la SIC en las resoluciones 1292 de 2020^[7] y 15342 de 2022^[8] cuando los datos son recolectados en el territorio. Por lo tanto, sin importar el lugar de origen de la plataforma, el tratamiento de datos sólo podría ejercerse con el consentimiento del titular. Además, la SIC ha aclarado que las casillas marcadas por defecto no constituyen consentimiento (SIC, 2019 ).

El esquema colombiano es adecuado en materia de protección de datos teniendo en consideración que, al momento de creación del estatuto, el legislador probablemente no previó el nivel de impacto que tendrían los dark patterns. Los principios de la Ley 1581 pueden aplicarse fácilmente a la choice architecture, así como las reglas para el tratamiento de datos sensibles. Además, la SIC ha tomado decisiones relevantes en las cuales ha establecido con claridad que nuestro régimen de protección de datos no solo aplica a plataformas creadas en territorio nacional, sino que el foco está en el lugar donde se recolecten los datos.

2.2. Debilidades y propuesta de mejora

El problema está en las estrategias que utilizan las empresas para intentar desbordar el modelo normativo y se trata más bien de un tema de capacidad institucional. La detección sistemática de dark patterns requiere capacidades técnicas que desbordan el modelo tradicional de supervisión reactiva. Las autoridades normalmente actúan a partir de denuncias individuales o investigaciones posteriores al daño y toman decisiones que únicamente obligan a la plataforma implicada.

Frente a este déficit, una medida concreta y técnicamente viable consistiría en establecer, como condición de validez del consentimiento para el tratamiento de datos sensibles un resumen de cómo se utilizarían los datos. El resumen no podría sustituirse por un hipervínculo que remita a un documento externo, debería desplegarse en la misma interfaz en que se solicita el consentimiento.

Asimismo, la legislación debería imponer obligaciones concretas desde el diseño. Estas obligaciones implicarían prohibir diseños que oculten opciones de rechazo, utilicen colores o jerarquías visuales engañosas, introduzcan obstáculos para retirar el consentimiento, entre otros. 

Conclusión

La autonomía de la voluntad privada se ve gravemente vulnerada no necesariamente por la falta de información, sino por la manipulación intencionada de la forma en que esta se presenta. A pesar de que no es posible evidenciar una omisión manifiesta a la omisión del deber de información, cabe preguntarse si el diseño que privilegia u oculta cierta información con el fin de influir o desviar una decisión podría configurar un vicio del consentimiento, ya que el usuario acepta condiciones o tratamientos de datos bajo una percepción distorsionada de sus verdaderas opciones.

Desde una perspectiva jurídica, el régimen colombiano, establecido en la Ley 1581 de 2012, ofrece un buen comienzo para combatir estas prácticas al exigir transparencia y eliminar barreras técnicas. Sin embargo, la norma debe ser acompañada por un compromiso del sector privado, así como de normas que impongan obligaciones de presentación de la información desde el diseño.

La protección de la esfera privada sólo será efectiva cuando la tecnología deje de tratar al usuario como un activo a explotar y comience a respetarlo como un individuo. En última instancia, un consentimiento obtenido mediante engaños, directos o no, no es consentimiento.  Los casos como el de Health Flo y Better Help ponen en evidencia escenarios claros de usurpación de la autonomía individual y el riesgo directo a la intimidad, amenazas que los reguladores y diseñadores deben detener con firmeza. Mediante la choice architecture y los dark patterns, el derecho a decidir sobre los datos se transforma en una ilusión.

Fuentes

Espantaleón R. (2024). Los nudges, elemento clave en la publicidad digital [Nudges, a key

element in digital advertising]. European Public & Social Innovation Review, 9, 1-21.

European Commission. (2022). Behavioural study on unfair commercial practices in the digital environment: Dark patterns and manipulative personalisation. Final report. Publications Office of the European Union. https://op.europa.eu/en/publication-detail/-/publication/0b9b6c2e-3c4b-11ed-9c68-01aa75ed71a1

Federal Trade Commission (FTC). (2021a). Developer of popular women’s fertility-tracking app settles FTC allegations that it misled consumers about the disclosure of their health data. https://www.ftc.gov/news-events/news/press-releases/2021/01/developer-popular-womens-fertility-tracking-app-settles-ftc-allegations-it-misled-consumers-about

Federal Trade Commission (FTC). (2021b). In the matter of Flo Health, Inc.: Complaint (FTC File No. 1923133). https://www.ftc.gov/system/files/documents/cases/flo_health_complaint.pdf

Federal Trade Commission (FTC). (2024). Reembolsos de BetterHelp. https://www.ftc.gov/es/reembolsos/reembolsos-de-betterhelp

Federal Trade Commission (FTC). (2023). FTC to ban BetterHelp from revealing consumers’ data, including sensitive mental health information, to Facebook and others for targeted advertising. https://www.ftc.gov/news-events/news/press-releases/2023/03/ftc-ban-betterhelp-revealing-consumers-data-including-sensitive-mental-health-information-facebook

Frasco v. Flo Health, Inc., No. 21-cv-00757-JD (N.D. Cal. May 19, 2025).

Kollmer, T., & Eckhardt, A. (2023). Dark patterns. Business & information systems engineering, 65(2), 201-208.

Labaton Keller Sucharow. (2025). Frasco v. Flo Health Inc. https://www.labaton.com/cases/frasco-v-flo-health-inc

Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales. Octubre 17 de 2012. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981

Münscher, R.,  Vetter, M., and  Scheuerle, T. (2016)  A Review and Taxonomy of Choice Architecture Techniques. J. Behav. Dec. Making,  29:  511–524. doi: 10.1002/bdm.1897

OECD (2022), “Dark commercial patterns”, OECD Digital Economy Papers, No. 336, OECD Publishing, Paris, https://doi.org/10.1787/44f5e846-en.

Organización para la Cooperación y el Desarrollo Económicos (OCDE). (2024, septiembre). Six dark patterns used to manipulate you when shopping online. OECD Blogs. https://www.oecd.org/en/blogs/2024/09/six-dark-patterns-used-to-manipulate-you-when-shopping-online.html

Superintendencia de Industria y Comercio (SIC). Resolución 76538 de 2019. https://sedeelectronica.sic.gov.co/sites/default/files/boletin-juridico/boletin/docs/Res%2076538%20del%2027XII2019%20Aseg%C3%BArate%20F%C3%A1cil%20Ltda.pdf

Superintendencia de Industria y Comercio (SIC). Resolución 12192 de 2020. https://sedeelectronica.sic.gov.co/sites/default/files/boletin-juridico/boletin/docs/Resoluci%C3%B3n%20n%C3%BAmero%201292%20de%202020.pdf

Superintendencia de Industria y Comercio (SIC). Resolución 15342 de 2022. https://sedeelectronica.sic.gov.co/sites/default/files/estados/072022/RE15342-2022.pdf

Valero, D., & Laurent, D. (2025). Sludge: el laberinto burocrático en la interacción ciudadanía-Estado. Aplicaciones, desafíos y oportunidades para la mejora de la experiencia ciudadana. ICE, Revista De Economía, (940). https://doi.org/10.32796/ice.2025.940.7943