La Liga, sancionada con 250.000 euros por la AEPD por no informar de manera clara a los usuarios sobre el uso del micrófono en su App.

Tras las numerosas publicaciones enprensa de las últimas semanas, ya se ha hecho pública la resolución de lasanción impuesta por la Agencia Española de Protección de Datos (AEPD) a la LigaNacional de Fútbol Profesional (La Liga), en relación con su aplicación paradispositivos móviles que utilizaba el micrófono del teléfono de los usuarios paradetectar posibles infracciones de derechos de propiedad intelectual por partede los establecimientos que emiten partidos sin licencia para ello.

Como parte de las actuaciones previasde investigación, iniciadas en junio de 2018, la APED procede a la instalación yanálisis de la aplicación de La Liga en uno de sus dispositivos y verifica que,tras la lectura de las condiciones generales, aparecen dos casillas deverificación del consentimiento: la primera relativa a la aceptación de las condicionesgenerales y la segunda relativa al objeto del procedimiento sancionador, el usodel micrófono y geolocalización del dispositivo para “detectar fraudes en el consumo de fútbol en establecimientos públicosno autorizados” bajo la premisa de “¡Protegea tu equipo!”.  

No es posible acceder al contenido sinaceptar las condiciones generales, pero sí lo es sin otorgar el consentimientorelativo al uso del micrófono y la geolocalización. En caso de aceptar ambascasillas, aparecen pantallas emergentes solicitando los permisos para grabaraudio y acceder a la geolocalización, si bien durante el funcionamiento de laaplicación no aparece ningún icono que indique dicho uso.

Además, aunque no se requiere unregistro como usuario, queda registrada la dirección IP del dispositivo alinstalar la aplicación.

La aplicación de La Liga utiliza latécnica de “audio fingerprinting”,consistente en activar el micrófono en las franjas horarias en las que seemiten las competiciones para grabar el sonido ambiental (durante un máximo dedos horas), y aplicar un algoritmo hashsobre los fragmentos de audio que haya podido captar, generando así la “huellaacústica” o “huella digital” de la grabación. Una vez realizado esto, la huellase envía a un proveedor de servicios de la Liga, que realiza una función de comparaciónde todas las huellas obtenidas con las emisiones y, en caso de habercoincidencia, se produce la geolocalización del dispositivo para verificar laexistencia de licencia para la emisión del evento en la localización delusuario.

Conviene señalar que la aplicación seejecuta automáticamente en segundo plano para realizar esa función, sin que elusuario pueda conocer dicha circunstancia claramente (sin indicadores o iconosen el teléfono). Esto quiere decir que, aunque el usuario no haya abierto laaplicación, se activará para grabar el sonido que pueda captar durante lafranja horaria de cada partido (independientemente de la localización delusuario o la actividad que esté llevando a cabo en ese momento).   

De las actuaciones previas deinspección, llama la atención que los informes jurídicos externos solicitadospor La Liga con anterioridad a desarrollar la conducta investigada, contemplanla necesidad de realizar recordatorios frecuentes a los usuarios en lo relativoal uso de sus micrófonos y de su geolocalización mediante iconografía, ademásde recomendar la anonimización de toda la información y la no recogida deidentificadores únicos, entre ellos la dirección IP –que, como ya se haindicado, queda registrada-.

Las alegaciones de La Liga secircunscriben principalmente a que no existe tratamiento de datos personales nien cuanto a las grabaciones de audio, ni en cuanto a las direcciones IP y losidentificadores que se generan para su envío al proveedor del servicio decotejo.

Sin embargo, la mera aplicación de latécnica de fingerprinting conlleva necesariamente el tratamiento de los datos(se recoge y se procesa sonido que puede contener datos de carácter personal),además del registro de la dirección IP de los usuarios.

Así, la AEPD considera vulnerado elartículo 5.1 del RGPD en relación con los Considerandos 39 y 60, en cuanto aque la aplicación de La Liga no cumple el principio de transparencia, puestoque las personas físicas deben conocer con paladina claridad que se estántratando sus datos y la medida en que están siendo tratados, ya que eltratamiento no se produce únicamente cuando se instala la aplicación sino a lolargo del tiempo, por ello se requiere información adicional que no ha sido aportadaa los interesados en tiempo real. Dicha información podría haberse proveído enforma de icono o marca que advirtiese el momento en que se estaban produciendolas grabaciones.

Debe valorarse la finalidad deinformar sobre el tratamiento de datos de carácter personal, esto es, lagarantía de lealtad y transparencia teniendo en cuenta el contexto deltratamiento.

Resulta destacable, además, que laAEPD considera insuficiente la existencia de una política de privacidad ad hoc para la aplicación, indicando queel cumplimiento de los artículos 13 del RGPD y 11 de la LOPDGDD, en este caso,no impide que sea necesario un “recordatorio,marca o señal”, sobre la grabación. Toda vez que es La Liga quien decide enqué momento se activa el micrófono y la geolocalización.

En definitiva, el interesado no puedeconocer sin ningún género de duda que la aplicación está accediendo a lainformación que se recoge por el micrófono de su dispositivo, no siendo posibleinterpretar el espacio temporal, ni físico en el que se va a ejecutar eltratamiento, ni si quiera acudiendo a la política de privacidad alojada en lapágina web principal.

Considerando que se trata de unainfracción continuada del artículo 5.1 del RGPD, en conexión con el artículo83.5 de la misma norma, se ordena a La Liga a cumplir con el principio detransparencia y se le impone una multa administrativa por cuantía de 250.000€,valorando su cooperación y la adopción de medidas de corrección, y laconcurrencia de agravantes como la naturaleza de la infracción, la grave faltade diligencia, el plazo durante el que se produce la infracción, el número deafectados (50.000 usuarios) y la persistencia en la conducta.

También se entiende vulnerado elartículo 7.3 del RGPD en cuanto a la revocación del consentimiento puesto que,a la luz del Dictamen GT259 del Grupo de Trabajo del Artículo 29, no existía unmecanismo o interfaz que permitiese revocar el consentimiento con la mismafacilidad con la que fue otorgado, si bien archiva la sanción habida cuenta deque se adoptaron las medidas oportunas.

En cualquier caso, está sanción podráser recurrida por La Liga.

RahulUttamchandani | Legal Counsel | L-A

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias