Dark patterns en banners de cookies: qué es ilegal, qué es arriesgado y cómo mantenerse en cumplimiento
Los reguladores europeos ya no solo verifican si tienes un banner de cookies — verifican cómo se comporta. Los dark patterns — elecciones de diseño engañosas que manipulan a los usuarios para que den un consentimiento que no pretendían otorgar — se han convertido en el objetivo de aplicación número uno para las autoridades de protección de datos en 2025-2026. Las multas son reales, están creciendo y afectan a empresas de todos los tamaños.
¿Qué son los dark patterns en el consentimiento de cookies?
Un dark pattern es cualquier elección de diseño que empuja a los usuarios hacia el consentimiento cuando un diseño neutral los llevaría a rechazar o a tomar una decisión genuinamente libre. El Comité Europeo de Protección de Datos (EDPB) emitió directrices vinculantes en 2023 que definen categorías específicas de dark patterns. No son sugerencias — tienen fuerza de ley en todos los estados miembros de la UE.
Los 7 dark patterns más comunes (y por qué son ilegales)
1. Botón de rechazo oculto
"Aceptar todo" es un botón verde prominente mientras que "Rechazar" es un pequeño enlace de texto gris enterrado en una segunda capa. Varias autoridades DPA han declarado esto inválido. CNIL multó a una gran empresa tecnológica con €60 millones en parte por esta práctica.
2. Casillas preseleccionadas
El banner de consentimiento se carga con todas las categorías de cookies ya marcadas. El CJEU dictaminó en el caso Planet49 (2019) que las casillas preseleccionadas no constituyen un consentimiento válido. Esto es derecho consolidado.
3. Cookie walls
Bloquear completamente el acceso al sitio web hasta que el usuario dé su consentimiento. Las directrices del EDPB establecen que el consentimiento no se otorga libremente si el acceso al servicio está condicionado a él. La mayoría de las DPA de la UE han confirmado esta posición.
4. Lenguaje confuso
Usar jerga legal, dobles negaciones o redacciones intencionalmente complejas para confundir a los usuarios. "Al no optar por no recibir cookies no esenciales, aceptas..." es un dark pattern. Se requiere un lenguaje claro y sencillo.
5. Manipulación emocional
Hacer que los usuarios se sientan culpables con frases como "No me importa mi experiencia" para la opción de rechazo, o usar iconos tristes y colores de advertencia en el botón de rechazo. Los reguladores han señalado esto específicamente.
6. Esfuerzo asimétrico
Un clic para aceptar, cinco clics para rechazar. Si rechazar el consentimiento requiere navegar a través de múltiples pantallas, interruptores y cuadros de diálogo de confirmación mientras que aceptar es un solo botón, esto es un dark pattern.
7. Solicitudes repetidas
Mostrar el banner de consentimiento nuevamente a usuarios que ya rechazaron, esperando que eventualmente hagan clic en aceptar por fatiga. Una vez que un usuario hace una elección, esa elección debe ser respetada hasta que la cambie activamente.
Multas reales por dark patterns
- CNIL (Francia): multas de €60M y €40M contra grandes empresas tecnológicas por banners de consentimiento donde rechazar era más difícil que aceptar
- DPA italiana: multa de €20M por casillas de consentimiento preseleccionadas y cookie walls
- AEPD española: multa de €2,5M por diseño manipulador de banner de cookies
- DPA belga: dictaminó que la implementación original del TCF de IAB Europe involucraba dark patterns
- DSB austriaca: múltiples resoluciones contra diseños de consentimiento asimétricos
Cómo auditar tu banner para detectar dark patterns
Aplica esta lista de verificación a tu banner de consentimiento actual:
- Los botones Aceptar y Rechazar tienen el mismo tamaño, prominencia de color y número de clics
- Ninguna casilla está preseleccionada — todas las categorías de consentimiento comienzan como desactivadas
- El sitio web es accesible sin dar consentimiento (sin cookie wall)
- El lenguaje es sencillo, claro y en el idioma del visitante
- Sin texto que genere culpa ni manipulación emocional en la opción de rechazo
- Las elecciones anteriores se recuerdan — el banner no reaparece para usuarios que rechazaron
- Existe una opción "Gestionar preferencias" junto a Aceptar y Rechazar
- Retirar el consentimiento es tan fácil como otorgarlo
FlexyConsent: libre de dark patterns por diseño
FlexyConsent está construido con el cumplimiento normativo como valor predeterminado. Botones iguales, sin casillas preseleccionadas, sin cookie walls, lenguaje sencillo en más de 43 idiomas y respeto automático por las elecciones anteriores. Como Google Certified CMP registrado en IAB Europe, FlexyConsent sigue la interpretación más estricta de las directrices del EDPB — para que nunca tengas que preocuparte por la aplicación de dark patterns.