Para instalar una aplicación en su móvil, Sofía tuvo que aceptar sus términos y condiciones, su política de privacidad y su política de cookies: una extensa documentación en formato digital con botones de aceptación diferenciados visualmente. Sofía aceptó sin examinar el contenido de dichos documentos. Recientemente, descubrió que la aplicación ha tratado sus datos de ubicación, búsqueda de fotografías e historial de uso, transfiriéndolos a empresas publicitarias. Adicionalmente, mediante técnicas de inferencia algorítmica basadas en sus búsquedas, la plataforma la ha clasificado como usuaria en categorías de consumo sensibles (específicamente, el estado de embarazo), generando perfiles predictivos para fines comerciales. Sofía no consintió explícitamente la transferencia de sus datos personales con terceros ni en el procesamiento de datos sensibles. Sin embargo, la perspectiva jurídica formal de la Ley N.º 29733, Ley de Protección de Datos Personales (“Ley”), establece que la aceptación inicial constituye un consentimiento válido. Este caso ilustra una contradicción fundamental en el marco regulatorio actual: aunque Sofía cumple formalmente con los requisitos de consentimiento legal, carece materialmente de autonomía informada. Esta realidad plantea interrogantes críticas sobre si el consentimiento, bajo las condiciones actuales de operación digital, continúa siendo un mecanismo efectivo de protección de derechos fundamentales o se ha convertido en una ficción jurídica que favorece al responsable del tratamiento.

El consentimiento como base normativa cuestionada

La Ley establece que el consentimiento debe ser “libre, previo, informado, expreso e inequívoco” para legitimar el tratamiento de datos personales. Esta formulación responde a una conceptualización clásica del sujeto de derecho: un individuo racional, con capacidad de comprensión y autonomía para decidir respecto del uso de su información. Sin embargo, la investigación empírica demuestra una desconexión profunda entre este modelo normativo y la conducta real de usuarios. El estudio de Bakos, Marotta-Wurgler y Trossen (2014) documentó que únicamente el 5% de usuarios lee íntegramente los términos y condiciones antes de su aceptación. Adicionalmente, estos investigadores incorporaron cláusulas deliberadamente abusivas en documentos de adhesión extensa, constatando que los usuarios las aceptaban sin cuestionamiento cuando estaban integradas en acuerdos complejos y rutinarios. Este fenómeno indica que el consentimiento, en la práctica, deja de ser una decisión reflexiva y deliberada para transformarse en un acto automático y sistemático, sin las características de libertad e información que la normativa presupone. Consecuentemente, existe una brecha sustancial entre la validez formal del consentimiento y su legitimidad material.

La arquitectura de decisión y la manipulación de interfaces

Un factor determinante en esta transformación del consentimiento es el rol de la arquitectura de decisión en interfaces digitales. Desde la perspectiva de la economía conductual, las decisiones humanas no son puramente racionales, sino que resultan influenciadas por sesgos cognitivos y por el contexto de cómo se presentan las opciones (Thaler & Sunstein, 2008). Las interfaces de usuario no son neutrales desde el punto de vista de efectos comportamentales; están diseñadas para influir en el comportamiento mediante variables como la disposición visual de opciones, la magnitud y coloración de botones interactivos, la complejidad relativa de aceptación versus rechazo, y la ubicación jerárquica de los campos de selección. Un ejemplo es el tratamiento diferenciado de botones de aceptación (usualmente de mayor tamaño, colores vibrantes, mayor contraste) versus botones de rechazo o información (de menor tamaño, colores neutros, ubicación menos prominente). Algunos estudios de la Comisión Federal de Comercio (FTC) han documentado patrones sistemáticos denominados “dark patterns” o “deceptive design”, mediante los cuales responsables del tratamiento estructuran interfaces específicamente para dificultar y desincentivar el rechazo de consentimiento. Cuando la arquitectura de decisión está diseñada para condicionar comportamientos, el consentimiento no refleja una verdadera autonomía del titular de datos. Un ejemplo es Facebook, donde para rechazar cookies se requieren cinco pasos y para aceptarlas únicamente un botón.

Asimetría informativa y desigualdad de poder

El consentimiento presupone una relación de igualdad informativa entre el titular y el responsable del tratamiento. En la práctica, tal relación no existe. El responsable del tratamiento accede a información sobre fines, medios y alcances del tratamiento que permanece oculta al titular. En el caso introductorio, Sofía desconocía que sus búsquedas serían objeto de inferencia algorítmica y que sus datos de ubicación serían comercializados; pero la aplicación sí lo sabía desde la concepción del modelo de negocio. Esta asimetría informativa es estructural: el usuario accede únicamente a información que el responsable decide revelar, frecuentemente en formato que dificulta su comprensión. Adicionalmente, existe desigualdad de poder contractual. A diferencia de contratos negociables, los términos de adhesión digital no ofrecen oportunidad de negociación; operan bajo el régimen “tómalo o déjalo”. Si el usuario los rechaza, su única alternativa es no acceder al servicio. Para aplicaciones que cumplen funciones esenciales (comunicación, información, comercio), la no aceptación constituye una exclusión práctica del acceso a servicios digitales. Bajo condiciones de asimetría informativa y desigualdad de poder, el consentimiento pierde su carácter genuinamente protector. David Solove lo denomina “el modelo de aviso y consentimiento” (notice and choice) que fracasa en proteger la privacidad de los usuarios, no porque esté mal en teoría, sino porque asume un mundo donde el responsable del tratamiento informe adecuadamente todas las prácticas posibles en materia de protección de datos personales, el usuario tenga tiempo de leer, poder de negociar y cuente con alternativas reales (Solove, 2013). No obstante, ese mundo es irreal.

El consentimiento como mecanismo de exoneración de responsabilidad

Desde una perspectiva funcional, el consentimiento ha sido instrumentalizado por responsables del tratamiento como mecanismo de traslado de responsabilidad jurídica. La aceptación formal de términos y condiciones genera una presunción de licitud que coloca la carga probatoria sobre el titular de los datos personales. Si el usuario cuestiona el tratamiento, el responsable responde indicando la aceptación previa. Esta dinámica invierte el principio de protección: en lugar que el responsable del tratamiento demuestre la licitud de sus operaciones, el titular debe demostrar que su consentimiento fue viciado. Tal asimetría en la carga de la prueba es problemática considerando que el titular carece de acceso a información sobre mecanismos de manipulación de interfaz, perfiles de inferencia algorítmica, y prácticas de transferencia de datos. El Tribunal Constitucional peruano reconoce el derecho a la protección de datos como un derecho fundamental (Expediente Nº 04739-2007-PHD/TC). Sin embargo, cuando el consentimiento se obtiene bajo circunstancias que limitan la comprensión, condicionan la decisión o inducen comportamientos, su función de garantía de autonomía se ve comprometida y se transforma  en un instrumento de limitación de responsabilidad del responsable del tratamiento.

Hacia un modelo alternativo: responsabilidad proactiva y privacidad por diseño

Frente a las limitaciones del modelo de consentimiento, resulta necesario replantear su rol dentro del sistema de protección de datos, no puede continuar siendo la única base de legitimación en todos los contextos, pues para garantizar la privacidad en Internet debe existir una combinación de transparencia y posibilidad de elección (Nissenbaum, H, 2011). El Reglamento General de Protección de Datos (GDPR) de la Unión Europea introduce principios complementarios como accountability (responsabilidad proactiva) y privacy by design (protección de datos por diseño). Accountability exige que el responsable del tratamiento demuestre de manera proactiva y verificable que sus operaciones cumplen con estándares de protección. Privacy by design requiere que la protección de datos sea integrada desde la concepción misma de los sistemas digitales, no como función adicional posterior. Estos enfoques desplazan la carga de responsabilidad: del titular (que debe demostrar consentimiento válido) al responsable (que debe demostrar prácticas protectoras). Adicionalmente, implican regulación de arquitecturas de decisión para evitar dark patterns, transparencia sobre uso de algoritmos de inferencia y consentimiento específico por propósito (en vez de consentimiento genérico que abarca múltiples usos). Para Sofía, esto significaría: transparencia clara sobre inferencia de datos sensibles, rechazo efectivo a la transferencia de datos personales y capacidad de opción.

Conclusión

En el tráfico jurídico digital, el consentimiento ha experimentado una degradación de su función como máxima expresión de la autonomía privada. Si bien se cumple formalmente los requisitos de exteriorización de la voluntad y carácter inequívoco, el acto carece de eficacia material al haberse fracturado los presupuestos que sostienen su validez: el discernimiento basado en una información íntegra, la libertad de configuración contractual y la indispensable igualdad entre el predisponente y el adherente. Si el consentimiento se obtiene bajo arquitecturas de decisión manipuladoras, asimetrías informativas estructurales y desigualdad de poder, su valor jurídico como instrumento de protección se debilita, transformándose en ficción jurídica que favorece principalmente al responsable del tratamiento. Para Perú, esta realidad tiene implicaciones legislativas inmediatas. La Ley, siendo anterior a la jurisprudencia europea sobre Derecho al Olvido (2014) y al GDPR (2018), carece de disposiciones sobre arquitecturas de decisión, responsabilidad algorítmica, consentimiento específico, y accountability del responsable. Argentina (Ley 27.706, 2023) y Chile (Ley 21.096, 2023) han incorporado estas disposiciones. Resulta imprescindible transitar desde un modelo centrado en el consentimiento como aceptación formal hacia uno que enfatice la responsabilidad proactiva del responsable del tratamiento. La protección de datos personales no puede basarse exclusivamente en decisiones individuales condicionadas, sino que debe garantizarse mediante estándares estructurales de diseño, transparencia verificable sobre operaciones de tratamiento y restricciones del tratamiento vinculadas a los principios de la Ley. Solo bajo estas condiciones el consentimiento recupera su función de instrumento de protección de la autonomía informativa de titulares de datos personales. Superar esta ilusión del consentimiento no implica eliminarlo, sino redefinir su alcance y reconocer sus límites dentro de un modelo que priorice, los derechos del titular de los datos personales.

Referencias

• Nissenbaum, H. (2011). A contextual approach to privacy online. Daedalus, 140(4), 32–48.
• Solove, D. J. (2013). Privacy self-management and the consent dilemma. Harvard Law Review, 126(7), 1880–1903.
• Tribunal Constitucional del Perú. (2011). Sentencia recaída en el Expediente Nº 04739-2007-PHD/TC.