La Liga Nacional de Fútbol Profesional (LFP) fue sancionada por la AEPD con 250.000 € porque su aplicación (appLALIGA) permitía la geolocalización del usuario y activar el micrófono de su teléfono móvil cuando se estaban disputando partidos de competiciones de fútbol organizados por LFP a fin de detectar emisiones fraudulentas y combatir la piratería en los bares.
En la política de privacidad de la appLALIGA se decía:
USO DEL MICRÓFONO: « (…) sólo en el caso de que aceptes la casilla habilitada al efecto, así como mediante la ventana emergente que aparece en la APP, LaLiga podrá activar el micrófono de tu dispositivo para conocer si estás viendo partidos de futbol».
USO DEL GEOPOSICIONAMIENTO: « (…) sólo en el caso de que aceptes la casilla habilitada al efecto, así como mediante la ventana emergente que aparece en la APP, LaLiga podrá conocer tu ubicación a través del geoposicionamiento de tu dispositivo móvil».
Ambas cláusulas indicaban que la finalidad era: « (…) detectar fraudes en establecimientos públicos no autorizados».
Para recoger los datos (micrófono y ubicación) no era necesario que el usuario estuviese usando la aplicación, pues existían procesos informáticos ejecutándose en segundo plano que lo permitían. A mayores, en los menús y opciones de la aplicación no se mostraba información sobre el estado de estas activaciones. El usuario no tenía la posibilidad de ver que se había activado el micrófono de su teléfono móvil, pues no había ningún icono o marca que lo advirtiese. No obstante, sí se mostraba un icono cuando se estaba ejecutando la funcionalidad de la geolocalización, así que, técnicamente, era posible habilitar iconos en un ejercicio de transparencia para el caso de que el usuario quisiese desconectar los accesos.
La aplicación carecía de un mecanismo para revocar el consentimiento para estas funcionalidades; en su lugar, se remitía al usuario a la configuración del sistema operativo del dispositivo para desactivar los permisos, lo que complicaba el proceso. Esto contraviene el principio del RGPD de que «será tan fácil retirar el consentimiento como darlo» (artículo 7.3 del RGPD).
En definitiva, la aplicación permitía la captación de audio, geolocalización, dirección IP, identificador único, creación y envió de la huella digital sin que el usuario se percatase de ello.
La AEPD sancionó a LaLiga por infracción del principio de transparencia en el tratamiento de datos personales (artículo 5.1.a del RGPD), específicamente por no implementar indicadores visibles (como iconos) para el acceso al micrófono, no informar adecuadamente sobre la captación en segundo plano y no facilitar la revocación del consentimiento.
Recursos judiciales
La resolución de la AEPD fue recurrida por la LFP a la Audiencia Nacional, que confirmó la sanción en sentencia de 11 de octubre de 2021.
La LFP interpuso recurso de casación ante el Tribunal Supremo, que anuló la sanción en la sentencia 1263/2024, de 15 de julio de 2024 (RC 5029/2022). Esta sentencia representa un hito en la interpretación del principio de transparencia, enfatizando que las autoridades de control no pueden imponer requisitos no explícitos en la ley sin advertencia previa.
El Tribunal Supremo argumentó que LaLiga había cumplido suficientemente con el principio de transparencia al informar en el momento de la descarga y mediante ventanas emergentes, y que la exigencia de un icono visible cada vez que se activaba el micrófono no estaba explícitamente prevista en la normativa aplicable. Además, criticó la falta de proporcionalidad y previsibilidad en la sanción, ya que la AEPD no había emitido un requerimiento previo para implementar medidas adicionales antes de imponer la multa.
Al final, les dejo enlazado un estudio detallado de la sentencia del Tribunal Supremo.
La letra pequeña de la Apps
Lo anterior viene a cuento de que debemos tener cuidado con las aplicaciones que descargamos en nuestros dispositivos móviles.
La mayoría de las aplicaciones ofrecen escasa información sobre el tratamiento que hacen de los datos de los usuarios, cuando no dificultan su lectura y comprensión para que estos, por defecto, acepten todo cuanto se les plantea, como cláusulas de adhesión, que no admiten la aclaración o reserva del usuario. En términos generales, las políticas de privacidad de una gran mayoría de aplicaciones son confusas, tediosas y de difícil comprensión, lo que dificulta su cumplimiento con el principio de transparencia del RGPD (artículos 5 y 12).
Cuando descargamos determinadas aplicaciones, previa aceptación de su política de privacidad, podemos estar autorizando a su responsable a acceder a nuestra agenda de contactos, galería de fotos, cámara o micrófono, aunque no siempre sea necesario para la finalidad que persigue la aplicación. Esta captación de datos suele tener una finalidad oculta: crear perfiles de los usuarios para ofrecerles publicidad personalizada o, incluso, comerciar con su información personal. Por ejemplo, servicios “gratuitos” como WhatsApp (propiedad de Meta) generan ingresos mediante el análisis y la compartición de los datos de los usuarios. Recuerden: «Si el producto es gratis, el producto eres tú».
Conclusión
Todo usuario de una aplicación tiene derecho a ser informado de manera clara y accesible sobre el tratamiento de sus datos personales, conforme a los artículos 13 y 14 del RGPD. Les remito al artículo que publiqué sobre el derecho de información, que dejo enlazado aquí, para evitar reiteraciones innecesarias.
Permítanme un consejo: no descarguen aplicaciones en sus dispositivos móviles si no las necesitan realmente. Y cuidado con los asistentes virtuales de voz (como Siri, Alexa o Google Assistant) que realizan escuchas constantes que guardan para entrenar a la inteligencia artificial.
