La Liga de Futbol Profesional (LFP) fue sancionada en junio de 2019 por la AEPD con 250.000 € porque su aplicación (appLALIGA) permitía la geolocalización del usuario y activar el micrófono de su teléfono móvil cuando se estaban disputando partidos de competiciones de fútbol organizados por LFP a fin de detectar emisiones fraudulentas y combatir la piratería en los bares.
En la política de privacidad de la appLALIGA se decía:
USO DEL MICRÓFONO: « (…) sólo en el caso de que aceptes la casilla habilitada al efecto, así como mediante la ventana emergente que aparece en la APP, LaLiga podrá activar el micrófono de tu dispositivo para conocer si estás viendo partidos de futbol».
USO DEL GEOPOSICIONAMIENTO: « (…) sólo en el caso de que aceptes la casilla habilitada al efecto, así como mediante la ventana emergente que aparece en la APP, LaLiga podrá conocer tu ubicación a través del geoposicionamiento de tu dispositivo móvil».
Ambas cláusulas indicaban que la finalidad era: « (…) detectar fraudes en establecimientos públicos no autorizados».
Para recoger los datos (micrófono y ubicación) no era necesario que estuviese usando la aplicación, pues existían procesos informáticos ejecutándose en segundo plano que lo permitían. A mayores, en los menús y opciones de la App no se mostraba información sobre el estado de estas activaciones. El usuario no tenía la posibilidad de ver que se había activado el micrófono de su teléfono móvil, pues no había ningún icono o marca que lo advirtiese. No obstante, sí se mostraba un icono cuando se estaba ejecutando la funcionalidad de la geolocalización, así que, técnicamente, era posible habilitar iconos en un ejercicio de transparencia para el caso de que el usuario quisiese desconectar los accesos.
La aplicación no contaba con un proceso o sistema de revocación del consentimiento para el uso de las funcionalidades referidas al micrófono y la ubicación. La solución que se ofrecía era una remisión a la configuración del sistema operativo del dispositivo móvil para desactivar permisos, vamos que no se lo ponían fácil al usuario. Recordemos la máxima de que «será tan fácil retirar el consentimiento como darlo».
En definitiva, la aplicación permitía la captación de audio, geolocalización, dirección IP, identificador único, creación y envió de la huella digital sin que el usuario se percatase de ello.
La LFP fue sancionada por falta de transparencia en el tratamiento de datos personales, por no poner a disposición de los usuarios una fórmula, como iconos, que les permitiese conocer que la aplicación estaba accediendo al micrófono de sus dispositivos, por no informarles de la posibilidad de captación en segundo plano y por no facilitarles la revocación del consentimiento.
La resolución de la AEPD, que dejo enlazada aquí, fue recurrida por la LFP a la Audiencia Nacional, que confirmó la sanción en sentencia de 11 de octubre de 2021, que dejo enlazada aquí.
La letra pequeña de la Apps
Lo anterior viene a cuento de que debemos de tener cuidado con las aplicaciones que descargamos en nuestros dispositivos móviles.
La mayoría de aplicaciones ofrecen escasa información sobre el tratamiento que hacen de los datos de los usuarios, cuando no dificultan su lectura y comprensión para que estos, por defecto, acepten todo cuanto se les plantea, como cláusulas de adhesión, que no admiten la aclaración o reserva del usuario. En términos generales, las políticas de privacidad de una gran mayoría de aplicaciones son confusas, tediosas y de difícil comprensión, de forma que difícilmente superan el control de transparencia que impone el RGPD.
Cuando descargamos determinadas aplicaciones, previa aceptación de su política de privacidad, estamos dando autorización a su responsable para acceder a nuestra agenda de contactos, a nuestra galería de fotos, a la cámara de nuestro dispositivo… y no siempre es necesario para la finalidad que persigue la aplicación.
La captación de información personal del usuario suele tener una finalidad oculta: crear perfiles de los usuarios para ofrecerles publicidad personalizada, cuando no comerciar con sus datos personales. Por ejemplo, WhatsApp se ofrece como un servicio gratuito, pero es un negocio tremendamente lucrativo, porque se comercializa con los datos personales de sus millones de usuarios. Ya se sabe que «cuando un producto es gratis, el producto eres tú».
Conclusión
El usuario de cualquier aplicación tiene el derecho a ser informado acerca del tratamiento que se dará a sus datos personales. Les remito al artículo que publiqué sobre el derecho de información, que dejo enlazado aquí, para evitar reiteraciones innecesarias.
Permítanme un consejo: no descarguen una aplicación en sus dispositivos móviles si no la necesitan realmente. Y cuidado con los asistentes virtuales de voz y sus escuchas constantes que se guardan para entrenar a la inteligencia artificial (fuente aquí).
