Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Jurisprudencia sobre el principio de transparencia

Hace tiempo publiqué un artículo en el que hablaba de la sanción impuesta por la AEPD a la Liga Nacional de Fútbol Profesional (LFP) a causa de su «AppLaLiga». Para comprender este artículo, recomiendo la lectura de aquel.

Recurso tras recurso, el caso terminó en el Tribunal Supremo, cuya sentencia crea jurisprudencia relevante sobre el principio de transparencia del RGPD.

Antecedentes de hecho

La aplicación AppLaLiga de la LFP permitía captar sonidos ambientes del lugar donde se encontraba el usuario, utilizando el micrófono del dispositivo móvil. Además, geolocalizaba al usuario a través de la señal GPS del dispositivo. El objetivo era identificar establecimiento de restauración (bares) que retransmitían partidos de la LFP sin licencia, lo que se conoce comúnmente como «piratear la señal».

El problema radicaba en que, al activar el micrófono, podían captarse conversaciones privadas, aunque la LFP aseguraba que no accedía al contenido de esos fragmentos de audio, ya que se convertían automáticamente en fragmentos codificados o anonimizados.

Durante la instalación de AppLaLiga aparecían dos casillas:

En la primera, el usuario debía manifestar que había leído y aceptaba las condiciones legales y la política de privacidad, con un enlace al sitio web que las contenía.

En la segunda, se incluía la siguiente leyenda: «Haciendo clic aquí, aceptas que LaLiga trate tus datos personales, incluyendo los obtenidos por medio del micrófono de tu dispositivo móvil y el geoposicionamiento, para detectar fraudes en el consumo de fútbol en establecimientos públicos no autorizados».

En la política de privacidad y condiciones generales se informaba al usuario: «3. USO DEL MICRÓFONO: […] solo en el caso de que aceptes la casilla habilitada al efecto, así como mediante la ventana emergente que aparece en la APP, LaLiga podrá activar el micrófono de tu dispositivo para conocer si estás viendo partidos de futbol. […]». También se le advertía sobre la posibilidad de desactivar el micrófono en la pestaña de «Ajustes» del dispositivo móvil.

Avisar, avisaban. El problema era que, para descargar la aplicación, el usuario tenía que aceptar las condiciones impuestas, y normalmente lo hacía sin leerlas. Lo sabían y se aprovechaban, como tantos otros. Fin de la historia (o casi).

Jurisprudencia

La AEPD sancionó a la LFP con 250.000 € por infracción del artículo 5.1.a) del RGPD (PS/00326/2018).

La AEPD consideraba necesaria la existencia de un icono visible o aviso específico que indicara la activación del micrófono y la localización, para que el usuario supiera en tiempo real cuándo estaba siendo grabado y geolocalizado. 

La LFP recurrió la resolución ante la Audiencia Nacional, que desestimó el recurso en la sentencia de 11 de octubre de 2021 (rec. 1410/2019). Posteriormente, esta fue recurrida en casación ante el Tribunal Supremo.

El Tribunal Supremo, mediante Auto de 11 de mayo de 2023, declaró el interés casacional del recurso para la formación de jurisprudencia consistente en la interpretación del artículo 5.1.a) del RGPD para determinar si cabía considerar suficientemente cumplido y adecuado el principio de transparencia en la instalación y funcionamiento de la aplicación de La Liga y si las autoridades de control pueden imponer requisitos adicionales, más allá de lo establecido en la propia normativa aplicable.

En la sentencia de 15 de julio de 2024 (Rec. 5039/2022), el Alto Tribunal anula la sentencia de la Audiencia Nacional y la sanción de 250.000 €. 

El artículo 5.1.a) del RGPD establece que «los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia)».

El «principio de transparencia» exige que toda información y comunicación relativa al tratamiento de datos personales sea accesible y fácil de entender, utilizando un lenguaje sencillo y claro para que las personas puedan tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de sus datos personales, así como del modo de hacer valer sus derechos en relación con el tratamiento. 

En la sentencia, el Tribunal dispone que «la Agencia de Protección de Datos estaba facultada para establecer medidas adicionales que refuercen la transparencia en el tratamiento de los datos con la finalidad de salvaguardar los derechos de los usuarios. Y, coincidiendo con lo afirmado en la sentencia de la Audiencia Nacional impugnada, la existencia de un aviso específico en su móvil cada vez que se activaba el micrófono puede considerarse una medida adecuada y proporcionada al fin que se persigue, consistente en que el usuario tenga un control efectivo sobre sus datos personales. Ahora bien, «aunque la medida pueda considerarse adecuada y proporcional no olvidemos que el ejercicio de la potestad sancionadora se rige por el principio de previsibilidad, en cuya virtud no es posible sancionar una conducta si previamente no es previsible utilizando una diligencia media», para acto seguido decir: «atendiendo a los datos de que disponía la LFP cuando desarrolló y comercializó esta aplicación, no era razonable dar por sentado que el principio de transparencia exigía que apareciese un aviso cada vez que la aplicación activase el micrófono del móvil». 

Conclusión 

La sentencia del Tribunal Supremo anuló la sanción de 250.000 € impuesta a la LFP y fija doctrina jurisprudencial en los siguientes términos:

  1. La AEPD está facultada para establecer medidas que refuercen la transparencia en el tratamiento de datos personales con la finalidad de salvaguardar los derechos de los usuarios.
  2. El principio de transparencia no puede agotarse en una enumeración genérica y descriptiva de la información que ha de proporcionarse al afectado, sino que habrá de modularse en virtud de las circunstancias concretas del tratamiento de que se trate y corresponde a la autoridad establecer cómo ha de aplicarse y ajustarse ese principio ante un determinado supuesto.
  3. La obligación de actuar con transparencia no solo es exigible en el momento inicial de la instalación de una aplicación, sino también durante su funcionamiento, especialmente cuando se sigan recopilando datos personales del usuario a lo largo del tiempo.
  4. Aunque no se modifique la información sobre transparencia inicialmente proporcionada en el aviso de privacidad, es probable que los interesados que utilizan la aplicación durante un periodo prolongado no recuerden la información que se les facilitó inicialmente o hayan olvidado el alcance para su privacidad del consentimiento inicialmente prestado. En estos casos, puede resultar necesario exigir a los responsables del tratamiento mecanismos adicionales que permitan recordar a los interesados cuando sus datos están siendo captados y su información está siendo tratada.
  5. La AEPD puede precisar el alcance del principio de transparencia e incluso requerir mecanismos adicionales de garantía atendiendo a las circunstancias concurrentes, ello no permite sancionar directamente una conducta por el incumplimiento de garantías que se concretaron a posteriori y que no eran previsibles en el momento en que se realizaron las conductas sancionadas.

Moraleja: leamos las políticas de privacidad con detenimiento porque aceptarlas, sin más, tiene consecuencias. 

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es