En junio de 2019, la Agencia Española de Protección de Datos (en adelante AEPD) impuso a Liga Nacional de Fútbol Profesional (en adelante La Liga) una multa de 250.000 euros por la infracción del artículo 5.1.a) del Reglamento General de Protección de Datos (en adelante RGPD). Ahora, el Tribunal Supremo ha anulado dicha sanción por considerarla desproporcionada y excesiva, teniendo en cuenta que la exigencia de informar cada vez que se procedía a la activación del micrófono no estaba prevista como tal en la normativa aplicable.
Para entender esta situación, debemos recapitular y analizar los motivos por los que la AEPD sancionó a la La Liga en 2019:
- La Liga Nacional de Fútbol Profesional fue denunciada ante la Agencia por FACUA (Asociación de Consumidores y Usuarios) con motivo de la creación por parte de esa entidad de una aplicación móvil que podía captar de forma indiscriminada sonidos ambientes del lugar donde se encontraba el usuario. Pincha aquí para leer la resolución.
- Así, FACUA indica que recoger sonido ambiente en establecimientos de restauración puede implicar la captación de conversaciones que se puedan desvelar datos personales de terceras personas que no han prestado su consentimiento para el tratamiento de dichos datos por ningún medio, lo que resultaría especialmente gravoso si dichas conversaciones pudieran albergar datos especialmente protegidos.
Como apunte, la Agencia considera que FACUA no tiene legitimación para interponer la reclamación por lo que señalan que el procedimiento se inicia pues de oficio por la AEPD.
Una vez conocidos los hechos que han generado la interposición de la reclamación, nos vamos a centrar únicamente en las consideraciones y argumentos por los que finalmente nuestra autoridad de control llega a la decisión de la imposición de la multa a La Liga:
- De la instrucción practicada la AEPD desprende que no se informa al usuario, en el momento de la activación del uso del micrófono desde el inicio del uso de la aplicación en el mes de junio de 2018 hasta el momento de interposición de la resolución.
- Consideran igualmente que existen carencias informativas puestas de manifiesto, tanto al instalar la aplicación, como durante la ejecución de la funcionalidad, las cuales, además de ser subsanadas, se deben completar con la muestra de un icono o seña, de modo que el usuario conozca que se está captando audio con su dispositivo, de acuerdo con el artículo 5 del RGPD y la interpretación que realiza el Considerando 60.
- Se manifiesta también que ante un tratamiento de datos que requiere especial refuerzo del principio de transparencia y a la vista de la instrucción practicada se desprende que la entidad nada ha realizado para dar efectivo cumplimiento en lo referente al uso de la información a la que se accede a través del micrófono del dispositivo.
- En definitiva, consideran que el titular de los datos personales objeto de tratamiento, no tiene a su disposición un mecanismo sencillo ni proporcionado por el responsable que le permita conocer sin ningún género de duda que la aplicación LALIGA está accediendo a la información que se recoge por el micrófono de su dispositivo.
- La Agencia manifiesta que tampoco se ha informado al usuario de la posibilidad de captación en segundo plano. Ni tampoco puede servir a ese propósito la leyenda informativa utilizada con carácter previo a la marcación de la casilla para la prestación del consentimiento, ya que de la misma no es posible interpretar el espacio temporal, ni físico que puede ser privado de cuándo se va a ejecutar el tratamiento, ni si quiera acudiendo a la política de privacidad alojada en la página web principal.
Finalmente, nuestra autoridad de control dictamina que ha resultado probado que el tratamiento de datos que se realiza a través de la aplicación LALIGA, en los dispositivos de usuarios, derivado de la funcionalidad del micrófono, vulneran el principio de transparencia previsto en el artículo 5.1 del RGPD, en relación con las especiales características de este tratamiento:
- Se producen determinados tratamientos como la captación de audio, geolocalización, dirección IP del usuario, identificador único, creación y envió de la huella digital, en un momento distinto a la manifestación del consentimiento, y dado las características de estos tratamientos (…) se hace necesario un recordatorio, marca o señal que indique sin ningún género de duda al usuario, efectivamente se están produciendo.
- No consta en la leyenda informativa que se muestra en la instalación de la aplicación en el dispositivo móvil, el momento concreto en que se activaran las funcionalidades, ni tampoco se puede deducir de la política de privacidad alojada en la página web principal.
- No se muestra icono u otra señal indicativa de que se están utilizando las citadas funcionalidades.
- Existe la posibilidad de que la aplicación se ejecute en segundo plano y por tanto sin conocimiento del usuario.
Así las cosas, La Liga decide recurrir dicha resolución ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional de 11 de octubre de 2021 (rec. 1410/2019), el cual resultó desestimado.
No obstante, La Liga vuelve a recurrir, esta vez en casación, Sentencia del Tribunal Supremo 3986/2024, declarando que la cuestión presenta interés casacional objetivo para la formación de la jurisprudencia y que consiste en interpretar el artículo 5.1 a) del RGPD, a fin de determinar si cabe considerar suficientemente cumplido y adecuado el principio de transparencia formulado en el artículo referido en la instalación y funcionamiento de la App de La Liga, o si las autoridades de control pueden imponer requisitos adicionales más allá de lo establecido en la propia normativa aplicable.
Por tanto, veamos que se señala sobre la interpretación del artículo 5.1 a) del RGPD efectuada por la Sentencia Recurrida:
- La Sentencia considera que el principio de transparencia exige no sólo informar al interesado en el momento de inicio del ciclo del tratamiento, sino también de forma continuada y constante a lo largo del mismo en cada momento en que tenga lugar una recogida material de los datos personales.
“En el supuesto analizado, ello se materializaría en la obligación de que el dispositivo móvil del usuario en que se haya instalado la App de La Liga informe al interesado, mediante un icono, acerca de la activación del micrófono. Entiende la Sentencia Recurrida que sólo así se asegura que el interesado tiene efectivo conocimiento del tratamiento efectuado.
No se discute que La Liga dé pleno cumplimiento a lo exigido, en este caso, por el artículo 13 del RGPD, que se considera cumplido, sino que se indica que esta información es insuficiente y debe completarse con un aviso específico en cada concreta recogida de datos personales.
Y ello, pese a que la información facilitada por La Liga, y cuyo acceso es continuo a través de un enlace incluido en la propia App, no sólo incorpora la información exigida por el RGPD, sino que ofrece información adicional y detallada acerca (i) del momento concreto en que se produciría la recogida de los datos -la celebración de encuentros relativos a competiciones gestionadas por La Liga-; (ii) del modo en que se realiza el tratamiento; (iii) de las medidas adoptadas para la conversión de los sonidos en una huella que no permita identificar al interesado; o (iv) de las restantes medidas técnicas adoptadas para preservar el derecho del usuario a la protección de sus datos personales.
A juicio de La Liga, la AEPD ha realizado una interpretación de la normativa reguladora del derecho a la protección de datos que excede el contenido de la misma y supone la exigencia a aquélla de obligaciones que no se prevén ni en el RGPD ni en la LOPDGDD, sobre la base de un criterio, el carácter «extraordinario» del tratamiento, no regulado en ningún precepto de tales normas, imponiendo a La Liga una sanción por el incumplimiento de esas obligaciones no contempladas en el RGPD.”
Por este motivo, La Liga solicita que se fije la siguiente doctrina casacional:
1. En los supuestos en que se proceda a la recogida de datos personales de los usuarios de Apps instaladas en teléfonos móviles y dispositivos similares, el principio de transparencia, consagrado por el artículo 5.1 a) del RGPD, debe considerarse cumplido en caso de que el responsable del tratamiento haya facilitado a los usuarios en el momento en que se produce la descarga de la App la información establecida en el artículo 13 del RGPD, sin que el citado Reglamento imponga la exigencia de informar a aquéllos de determinados aspectos del tratamiento en cada momento en que se produzca efectivamente la recogida de datos personales.
2. Las autoridades de protección de datos no pueden establecer exigencias adicionales a las establecidas en el citado Reglamento ni efectuar una interpretación de sus disposiciones que exceda de lo exigido por el mismo, ejerciendo la potestad sancionadora como consecuencia de dicha interpretación, sin perjuicio de la potestad de emitir recomendaciones y buenas prácticas encaminadas a reforzar las garantías del derecho a la protección de datos.
3. Que no puede iniciarse un procedimiento sancionador y resolverse sin que el afectado conozca el criterio que conforma el tipo y que la sanción impuesta conforme a este criterio es nula de pleno derecho. Y suplica de este Tribunal se dicte Sentencia por la que estime el Recurso de Casación y case la Sentencia Recurrida, anulándola y dejándola sin efecto, con condena en costas a la parte demandada.
En los fundamentos de derecho de la Sentencia, se manifiesta que la Agencia de Protección de Datos estaba facultada para establecer medidas adicionales que refuercen la transparencia en el tratamiento de los datos con la finalidad de salvaguardar los derechos de los usuarios. Y, coincidiendo con lo afirmado en la sentencia de la Audiencia Nacional impugnada, la existencia de un aviso específico en su móvil cada vez que se activaba el micrófono puede considerarse una medida adecuada y proporcionada al fin que se persigue, consistente en que el usuario tenga un control efectivo sobre sus datos personales.
Ahora bien, esta exigencia no está expresamente contemplada entre las obligaciones de información enumeradas en los artículos 12, 13 y 14 del RGPD, ni se desprende del artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre. Se trata, en definitiva, de una medida adicional impuesta por la Agencia de Protección de Datos para integrar el principio de transparencia en atención a las circunstancias concretas de la aplicación de que se trata.
Por tanto, y en el mismo sentido, el Tribunal, en su fundamento de derecho CUARTO, argumenta la doctrina jurisprudencial que se establece en respuesta a las cuestiones planteadas en el auto de admisión del recurso de casación:
“En respuesta a la cuestión de interés casacional planteada debe afirmarse que la Agencia de Protección de Datos está facultada para establecer medidas que refuercen la transparencia en el tratamiento de los datos con la finalidad de salvaguardar los derechos de los usuarios.
(…)
La obligación de actuar con transparencia no solo es exigible en el momento inicial de la instalación de una aplicación sino también durante su funcionamiento, especialmente cuando se sigan recopilando datos personales del usuario a lo largo del tiempo. Por otra parte, aunque no se modifique la información sobre transparencia inicialmente proporcionada en el aviso de privacidad, es probable que los interesados que utilizan la aplicación durante un periodo prolongado no recuerden la información que se les facilitó inicialmente o hayan olvidado el alcance para su privacidad del consentimiento inicialmente prestado. En estos casos, puede resultar necesario exigir a los responsables del tratamiento mecanismos adicionales que permitan recordar a los interesados cuando sus datos están siendo captados y su información está siendo tratada.
Si bien a la Agencia de Protección de Datos puede precisar el alcance del principio de transparencia e incluso requerir mecanismos adicionales de garantía atendiendo a las circunstancias concurrentes, ello no permite sancionar directamente una conducta por el incumplimiento de garantías que se concretaron a posteriori y que no eran previsibles en el momento en que se realizaron las conductas sancionadas. La Agencia en uso de estas facultades debería de haber dirigido un requerimiento previo al operador para que acomodase su conducta a las exigencias que se consideraban necesarias.” En conclusión, aunque la AEPD pueda valorar e indicar el alcance del principio de transparencia e imponer llevar a cabo medidas de refuerzo adicionales de garantía, esa facultad no le avala a la sanción por una conducta imprevisible en el momento de realización de conductas sancionadas
