Tras las numerosas publicaciones en prensa de las últimas semanas, ya se ha hecho pública la resolución de la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a la Liga Nacional de Fútbol Profesional (La Liga), en relación con su aplicación para dispositivos móviles que utilizaba el micrófono del teléfono de los usuarios para detectar posibles infracciones de derechos de propiedad intelectual por parte de los establecimientos que emiten partidos sin licencia para ello.
Como parte de las actuaciones previas de investigación, iniciadas en junio de 2018, la APED procede a la instalación y análisis de la aplicación de La Liga en uno de sus dispositivos y verifica que, tras la lectura de las condiciones generales, aparecen dos casillas de verificación del consentimiento: la primera relativa a la aceptación de las condiciones generales y la segunda relativa al objeto del procedimiento sancionador, el uso del micrófono y geolocalización del dispositivo para “detectar fraudes en el consumo de fútbol en establecimientos públicos no autorizados” bajo la premisa de “¡Protege a tu equipo!”.
No es posible acceder al contenido sin aceptar las condiciones generales, pero sí lo es sin otorgar el consentimiento relativo al uso del micrófono y la geolocalización. En caso de aceptar ambas casillas, aparecen pantallas emergentes solicitando los permisos para grabar audio y acceder a la geolocalización, si bien durante el funcionamiento de la aplicación no aparece ningún icono que indique dicho uso.
Además, aunque no se requiere un registro como usuario, queda registrada la dirección IP del dispositivo al instalar la aplicación.
La aplicación de La Liga utiliza la técnica de “audio fingerprinting”, consistente en activar el micrófono en las franjas horarias en las que se emiten las competiciones para grabar el sonido ambiental (durante un máximo de dos horas), y aplicar un algoritmo hash sobre los fragmentos de audio que haya podido captar, generando así la “huella acústica” o “huella digital” de la grabación. Una vez realizado esto, la huella se envía a un proveedor de servicios de la Liga, que realiza una función de comparación de todas las huellas obtenidas con las emisiones y, en caso de haber coincidencia, se produce la geolocalización del dispositivo para verificar la existencia de licencia para la emisión del evento en la localización del usuario.
Conviene señalar que la aplicación se ejecuta automáticamente en segundo plano para realizar esa función, sin que el usuario pueda conocer dicha circunstancia claramente (sin indicadores o iconos en el teléfono). Esto quiere decir que, aunque el usuario no haya abierto la aplicación, se activará para grabar el sonido que pueda captar durante la franja horaria de cada partido (independientemente de la localización del usuario o la actividad que esté llevando a cabo en ese momento).
De las actuaciones previas de inspección, llama la atención que los informes jurídicos externos solicitados por La Liga con anterioridad a desarrollar la conducta investigada, contemplan la necesidad de realizar recordatorios frecuentes a los usuarios en lo relativo al uso de sus micrófonos y de su geolocalización mediante iconografía, además de recomendar la anonimización de toda la información y la no recogida de identificadores únicos, entre ellos la dirección IP –que, como ya se ha indicado, queda registrada-.
Las alegaciones de La Liga se circunscriben principalmente a que no existe tratamiento de datos personales ni en cuanto a las grabaciones de audio, ni en cuanto a las direcciones IP y los identificadores que se generan para su envío al proveedor del servicio de cotejo.
Sin embargo, la mera aplicación de la técnica de fingerprinting conlleva necesariamente el tratamiento de los datos (se recoge y se procesa sonido que puede contener datos de carácter personal), además del registro de la dirección IP de los usuarios.
Así, la AEPD considera vulnerado el artículo 5.1 del RGPD en relación con los Considerandos 39 y 60, en cuanto a que la aplicación de La Liga no cumple el principio de transparencia, puesto que las personas físicas deben conocer con paladina claridad que se están tratando sus datos y la medida en que están siendo tratados, ya que el tratamiento no se produce únicamente cuando se instala la aplicación sino a lo largo del tiempo, por ello se requiere información adicional que no ha sido aportada a los interesados en tiempo real. Dicha información podría haberse proveído en forma de icono o marca que advirtiese el momento en que se estaban produciendo las grabaciones.
Debe valorarse la finalidad de informar sobre el tratamiento de datos de carácter personal, esto es, la garantía de lealtad y transparencia teniendo en cuenta el contexto del tratamiento.
Resulta destacable, además, que la AEPD considera insuficiente la existencia de una política de privacidad ad hoc para la aplicación, indicando que el cumplimiento de los artículos 13 del RGPD y 11 de la LOPDGDD, en este caso, no impide que sea necesario un “recordatorio, marca o señal”, sobre la grabación. Toda vez que es La Liga quien decide en qué momento se activa el micrófono y la geolocalización.
En definitiva, el interesado no puede conocer sin ningún género de duda que la aplicación está accediendo a la información que se recoge por el micrófono de su dispositivo, no siendo posible interpretar el espacio temporal, ni físico en el que se va a ejecutar el tratamiento, ni si quiera acudiendo a la política de privacidad alojada en la página web principal.
Considerando que se trata de una infracción continuada del artículo 5.1 del RGPD, en conexión con el artículo 83.5 de la misma norma, se ordena a La Liga a cumplir con el principio de transparencia y se le impone una multa administrativa por cuantía de 250.000€, valorando su cooperación y la adopción de medidas de corrección, y la concurrencia de agravantes como la naturaleza de la infracción, la grave falta de diligencia, el plazo durante el que se produce la infracción, el número de afectados (50.000 usuarios) y la persistencia en la conducta.
También se entiende vulnerado el artículo 7.3 del RGPD en cuanto a la revocación del consentimiento puesto que, a la luz del Dictamen GT259 del Grupo de Trabajo del Artículo 29, no existía un mecanismo o interfaz que permitiese revocar el consentimiento con la misma facilidad con la que fue otorgado, si bien archiva la sanción habida cuenta de que se adoptaron las medidas oportunas.
En cualquier caso, está sanción podrá ser recurrida por La Liga.
Rahul Uttamchandani | Legal Counsel | L-A