Hace tiempo publiqué un artículo –que dejaré enlazado al final– en el que les hablaba de la sanción impuesta por la AEPD a la Liga Nacional de Fútbol Profesional (LFP) a causa de su «AppLaLiga». Para entender este artículo recomiendo la lectura de aquel.
Recurso tras recurso, el caso terminó en el Tribunal Supremo, cuya sentencia crea jurisprudencia.
Antecedentes de hecho
La aplicación (AppLaLiga) de la LFP permitía captar sonidos ambientes del lugar donde se encontraba el usuario, haciendo uso del micrófono del dispositivo móvil. Además, el usuario era geolocalizado a través de la señal GPS que emitía dicho dispositivo. La finalidad era recoger el sonido ambiente en establecimientos de restauración que no tenían licencia para visionar los partidos, lo que se conoce, popularmente, como «piratear la señal».
El problema es que al accionar el micrófono del dispositivo se podían captar conversaciones privadas, aunque la LFP aseguraba que no accedía a los fragmentos de audio captados, pues estos se convertían automáticamente en fragmentos de audio codificados o anonimizados.
En el momento de la instalación de AppLaLiga se incorporaban dos casillas. En la primera, el usuario debía manifestar que había leído y aceptaba las condiciones legales y la política de privacidad, con un enlace al sitio web en que se encontraba la misma, y en la segunda se incluía la siguiente leyenda: «Haciendo clic aquí, aceptas que LaLiga trate tus datos personales, incluyendo los obtenidos por medio del micrófono de tu dispositivo móvil y el geoposicionamiento, para detectar fraudes en el consumo de fútbol en establecimientos públicos no autorizados».
En la política de privacidad y condiciones generales se informaba al usuario: «3. USO DEL MICRÓFONO: […] solo en el caso de que aceptes la casilla habilitada al efecto, así como mediante la ventana emergente que aparece en la APP, LaLiga podrá activar el micrófono de tu dispositivo para conocer si estás viendo partidos de futbol. […]». También se le advertía sobre la posibilidad de desactivar el micrófono en la pestaña de «Ajustes» del dispositivo móvil.
Avisar, avisaban. El problema es que el usuario, si quería descargarse la aplicación, tenía que aceptar las condiciones que le imponían y las aceptaba sin leerlas. Lo sabían y se aprovechaban, como tantos otros. Fin de la historia.
Jurisprudencia
La AEPD sancionó a la LFP con 250.000 €. Dejo enlazada aquí la resolución.
La AEPD encontraba necesaria la existencia de un icono que mostrara la activación del micrófono y la localización para que el usuario supiera que, en ese preciso momento, era grabado y geolocalizado.
La LFP recurrió la resolución de la AEPD ante la Audiencia Nacional que desestimó dicho recurso en sentencia de 11 de octubre de 2021 (rec. 1410/2019). Dejo enlazada aquí la sentencia que, más tarde, fue recurrida en casación ante el Tribunal Supremo.
El Tribunal Supremo, mediante Auto de 11 de mayo de 2023, declaró el interés casacional del recurso para la formación de jurisprudencia consistente en la interpretación del artículo 5.1.a) del RGPD para determinar si cabía considerar suficientemente cumplido y adecuado el principio de transparencia en la instalación y funcionamiento de la App de La Liga y si las autoridades de control pueden imponer requisitos adicionales, más allá de lo establecido en la propia normativa aplicable. Dejo enlazada aquí la sentencia.
El artículo 5 del RGPD establece: «1. Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”)».
El «principio de transparencia» exige que toda información y comunicación relativa al tratamiento de datos personales sea accesible y fácil de entender, utilizando un lenguaje sencillo y claro para que las personas puedan tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de sus datos personales, así como del modo de hacer valer sus derechos en relación con el tratamiento.
En la sentencia, el Alto Tribunal dispone que «la Agencia de Protección de Datos estaba facultada para establecer medidas adicionales que refuercen la transparencia en el tratamiento de los datos con la finalidad de salvaguardar los derechos de los usuarios. Y, coincidiendo con lo afirmado en la sentencia de la Audiencia Nacional impugnada, la existencia de un aviso específico en su móvil cada vez que se activaba el micrófono puede considerarse una medida adecuada y proporcionada al fin que se persigue, consistente en que el usuario tenga un control efectivo sobre sus datos personales. Ahora bien, «aunque la medida pueda considerarse adecuada y proporcional no olvidemos que el ejercicio de la potestad sancionadora se rige por el principio de previsibilidad, en cuya virtud no es posible sancionar una conducta si previamente no es previsible utilizando una diligencia media», para acto seguido decir: «atendiendo a los datos de que disponía la LFP cuando desarrolló y comercializó esta aplicación, no era razonable dar por sentado que el principio de transparencia exigía que apareciese un aviso cada vez que la aplicación activase el micrófono del móvil».
Conclusión
La sentencia del Alto Tribunal anuló la sanción de 250.000 € impuesta a la LFP y fija «doctrina jurisprudencial» en los siguientes términos:
- La AEPD está facultada para establecer medidas que refuercen la transparencia en el tratamiento de los datos con la finalidad de salvaguardar los derechos de los usuarios.
- La transparencia, como principio inspirador de la actividad de tratamiento de datos personales, no puede agotarse en una enumeración genérica y descriptiva de la información que ha de proporcionarse al afectado, sino que, habrá de modularse en virtud de las circunstancias concretas del tratamiento de que se trate y corresponde a la autoridad establecer cómo ha de aplicarse y ajustarse ese principio ante un determinado supuesto.
- La obligación de actuar con transparencia no solo es exigible en el momento inicial de la instalación de una aplicación sino también durante su funcionamiento, especialmente cuando se sigan recopilando datos personales del usuario a lo largo del tiempo.
- Aunque no se modifique la información sobre transparencia inicialmente proporcionada en el aviso de privacidad, es probable que los interesados que utilizan la aplicación durante un periodo prolongado no recuerden la información que se les facilitó inicialmente o hayan olvidado el alcance para su privacidad del consentimiento inicialmente prestado. En estos casos, puede resultar necesario exigir a los responsables del tratamiento mecanismos adicionales que permitan recordar a los interesados cuando sus datos están siendo captados y su información está siendo tratada.
- La AEPD puede precisar el alcance del principio de transparencia e incluso requerir mecanismos adicionales de garantía atendiendo a las circunstancias concurrentes, ello no permite sancionar directamente una conducta por el incumplimiento de garantías que se concretaron a posteriori y que no eran previsibles en el momento en que se realizaron las conductas sancionadas.
Moraleja: leamos las políticas de privacidad con detenimiento porque aceptarlas, sin más, tiene consecuencias.