“Sanción histórica a LaLiga: 250.000€ por ‘espiar’ con tu móvil en busca de piratería”; “La AEPD multa con 250.000 euros a LaLiga por la app que usa el micrófono de los móviles” estos son algunos de los titulares que hace unas semanas inundaban los medios de comunicación con motivo de la sanción que la Agencia Española de Protección de Datos (AEPD) impuso a La Liga Española de Futbol (en adelante LALIGA).
Sin embargo, durante este tiempo los profesionales de la privacidad nos hemos mantenido expectantes a la espera de la publicación de la resolución sancionadora por parte de la AEPD, para poder analizar cuáles son los fundamentos de la autoridad española de protección de datos.
Pues bien, la ansiada resolución finalmente se ha hecho pública esta semana, y sin lugar a duda supondrá un punto importante en lo que a interpretación de la norma se refiere.
De la extensa resolución sancionadora, debemos extraer como punto fundamental, que la autoridad española de protección de datos considera que LALIGA ha vulnerado el artículo 5.1 del Reglamento General de Protección de Datos (en adelante RGPD), en lo que respecta al principio de transparencia:
“Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)”
Para comprender por qué la AEPD ha llegado a esta determinación, debemos analizar los siguientes puntos de controversia entre la entidad sancionada y la autoridad de protección de datos:
¿Trata la AppLiga datos personales?
Uno de los asuntos que se sitúa en el lugar principal de controversia es la determinación de si el aplicativo del que La Liga es titular, trata datos de carácter personal. Es imprescindible que sea este uno de los puntos centrales en los fundamentos de derecho, toda vez que, de no existir un tratamiento de datos personales, no tendrían cabida el resto de fundamentos que ahora componen la resolución. Para defender su postura, se argumentan las siguientes cuestiones:
LALIGA
La entidad ahora sancionada, alega que “no existe tratamiento propiamente dicho y por tanto no está sujeta a los deberes de información y transparencia que se estiman por la AEPD insuficientes o deficientes en el acuerdo de inicio”.
Asimismo, indica que en la medida en que la información obtenida a través del micrófono se convierte en una huella digital en el dispositivo que utiliza la aplicación, sin ser audible, no constituye información en sentido estricto que permita atribuirle ninguna condición, entre la que se encuentra, información concerniente a datos de carácter personal, sino que, a lo sumo, podría tratarse de datos seudonimizados de acuerdo con el art. 4.5. RGPD.
Para probar este argumento, LALIGA aporta un Informe Pericial, con el que buscaba probar, entre otras cuestiones, lo siguiente:
1. Información recabada a través del micrófono.
– No se accede a grabaciones sonoras de conversaciones por parte de LALIGA, pero se capta información que se obtiene a través del micrófono.
– El audio no se almacena en el dispositivo y es en éste donde se produce la transformación en la huella digital, de modo casi inmediato.
2. Geolocalización.
Los datos de geolocalización no son intrusivos puesto que no trata ubicación exacta del dispositivo móvil del usuario, sino que transforma dicha información en un mapa de calor, identificando las secciones del territorio en las que más fraudes se detectan, que luego se coteja con la base de datos de establecimientos públicos HORECA.
3. La IP del usuario.
LALIGA mantiene posturas contradictorias en distintas fases del procedimiento en lo que se refiere al tratamiento de la dirección IP de los usuarios: en un momento indica que el tratamiento de la dirección IP del usuario es el que lleva a cabo el balanceador del servicio de cloud computing, sin que almacene la citada dirección IP; mientras que en la inspección y en las alegaciones formuladas al acuerdo de inicio indican que la IP utilizada es la del dispositivo del usuario.
4. Identificador único que la propia aplicación le asigna al dispositivo del usuario.
El único dato vinculado a una persona, en cuanto la hace singularizarle, que no identificable a juicio de LALIGA, es el identificador aleatorio asignado por el prestador de servicios de LALIGA (user agent), en el momento en que se produce la instalación de la aplicación en el terminar del usuario.
La AEPD
Por su parte, la AEPD analiza los mismos puntos, teniendo siempre en consideración que, en todo este tratamiento de información, existen al menos, tres fases o estadios temporales claramente definidos: la recogida o captación de información, su procesamiento o transformación y, en último lugar, su envío y cotejo determinando en cada uno de ellos.
1. La huella acústica.
El sistema utilizado requiere inevitablemente la captación del audio ambiente, y en ese audio no hay duda de que pueden contenerse datos de carácter personal, propios y de terceros, simplemente cuando se capte una conversación.
Todo ello sin perjuicio de que con posterioridad se convierte el sonido en una huella digital o fingerprint, constituyendo también este proceso de conversión en huella digital, una de las fases del tratamiento global.
2. La IP del usuario, el Identificador único que le asigna al dispositivo del usuario por la propia aplicación y la geolocalización.
Es por todos conocido el criterio fijado por la AEPD en lo que respecta a la consideración de la IP de los usuarios como un dato de carácter personal, toda vez que a su juicio sí se puede obtener información adicional de los usuarios a través de la IP por medios razonables, por ejemplo a través de los proveedores de acceso a Internet, administradores de redes locales, o utilizando medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único.
En lo que respecta a la geolocalización, si bien es cierto que la AEPD no lo expone en esta resolución, ha sido clara en otras ocasiones a este respecto, al indicar que los datos de localización se refieren siempre a una persona física identificada o identificable, consecuentemente, podremos considerarlos como datos de carácter personal, quedando su tratamiento sujeto a las disposiciones contenidas en la normativa vigente en materia de protección de datos. Así lo refleja en varias de sus resoluciones (por ejemplo E/00827/2018 y E/00868/2018).
La AEPD concluye que, sin lugar a duda la AppLiga trata los siguientes datos de sus usuarios:
- La huella acústica.
- IP del usuario.
- Identificador único que le asigna al dispositivo del usuario por la propia aplicación.
- La geolocalización.
Toda esta información vinculada a un usuario permite considerarse dato de carácter personal, por ser idónea para identificar “directa o indirectamente” a los usuarios.
Frente a la posición de LALIGA al considerar que no se produce una identificación del usuario, a lo sumo una singularización, la AEPD sostiene que la singularización no es sino una modalidad de identificación.
Para fundamentar este criterio, la AEPD recuerda la interpretación realizada por el antiguo Grupo de Trabajo del Art. 29 en su Dictamen 4/2007 “Sobre el concepto de datos personales”:
(…) En los casos en que, a primera vista, los identificadores disponibles no permiten singularizar a una persona determinada, ésta aún puede ser «identificable», porque esa información combinada con otros datos (tanto si responsable de su tratamiento tiene conocimiento de ellos como si no) permitirá distinguir a esa persona de otras.
(…) si bien la identificación a través del nombre y apellidos es en la práctica lo más habitual, esa información puede no ser necesaria en todos los casos para identificar a una persona. Así puede suceder cuando se utilizan otros «identificadores» para singularizar a alguien. Efectivamente, los ficheros informatizados de datos personales suelen asignar un identificador único a las personas registradas para evitar toda confusión entre dos personas incluidas en el fichero. Así pues, se unen las diferentes piezas que componen la personalidad del individuo con el fin de atribuirle determinadas decisiones (…).
¿Por qué se ha vulnerado el principio de transparencia?
La AEPD indica que el tratamiento de datos que se realiza a través de la aplicación LALIGA, en los dispositivos de los usuarios, derivado de la funcionalidad del micrófono y la geolocalización, vulnera el artículo 5.1. del RGPD.
Para fundamentar este criterio, acude a los considerandos 39 y 60 del RGPD. En concreto, del contenido del considerando 39, se observa que los interesados deben tener claro qué datos se están recogiendo, utilizando, consultando o tratando, cuestión que no sucede en este caso, ya que la captación de la información por el micrófono y la geolocalización no sucede cuando se instala la aplicación y se aceptan los tratamientos, sino en momentos posteriores.
A criterio de la AEPD, esto produce una incertidumbre temporal en el usuario.
Por ello, teniendo en cuenta que se producen determinados tratamientos como la captación de audio, geolocalización, dirección IP del usuario, identificador único, creación y envío de huella digital, en un momento distinto a la manifestación del consentimiento, la autoridad de control considera necesario una información adicional, como podría ser un aviso en forma de icono o marca, que permitiera al usuario conocer ese tratamiento a “tiempo real”, que serviría para complementar la información que se recibió inicialmente.
Todo ello, debido a que hablamos de tratamientos intrusivos, a criterio de la AEPD, se requiere así un especial refuerzo del principio de transparencia en todas sus manifestaciones y con garantías adecuadas en relación con el tipo de tratamiento.
La AEPD indica que una forma posible de proporcionar información de transparencia es mediante el uso de avisos push y pull. Los avisos push implican la provisión de avisos de información de transparencia ad hoc, mientras que los avisos pull facilitan el acceso a la información mediante métodos tales como administracion de permisos, paneles de privacidad y tutoriales de «más información». Estos permiten una experiencia de transparencia más centrada en el usuario para el interesado.
A este respecto, LALIGA alega que la información que se ofrece a los interesados es totalmente conforme a la prevista en el art. 13 RGPD y concordantes en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y que el momento temporal al que se refiere el Considerando 39 del RGPD en relación con la obligación de transparencia, es cuando se inicia el ciclo del tratamiento, es decir, cuando se descarga la aplicación y ase aceptan las condiciones.
Además, sostiene que no existe ninguna norma de derecho de la unión, ni derecho español que imponga a LALIGA la obligación de informar a los interesados acerca del tratamiento de sus datos en cada momento en que el mismo vaya a tener lugar. Sino que esa información hay que darla al inicio del ciclo del tratamiento
Asimismo, realiza una comparativa con la aplicación Shazam, en la que se activa el micrófono del dispositivo utilizado por el usuario, y la AppLiga. Sin embargo, la AEPD descarta por completo esta comparativa debido a que, en ese aplicativo, el usuario es el que toma las decisiones en lo que respecta a la activación o no del micrófono, mientras que, en la AppLiga, es el titular del aplicativo el que decide cuándo se activa. Esto revela que el hecho de que el usuario no tenga el control respecto de la activación de micrófono y/o geolocalización, ha sido una cuestión importante a la hora de dictar la resolución.
De todo lo expuesto, resulta evidente el impacto que está resolución supone en el criterio que la AEPD ha fijado con la interpretación de la norma realizada, y en consecuencia la afectación de entidades que desarrollen o exploten aplicaciones similares a la que ha llevado a LALIGA a esta situación. En atención a ello, nos gustaría extraer como conclusiones las siguientes cuestiones a las que deberá prestarse especial atención de ahora en adelante:
- Que se considere la existencia de un tratamiento de datos personales incluso cuando estos se someten a un sistema de cifrado o anonimización.
- Determinar si se está informando al usuario con la suficiente transparencia a criterio de la AEPD, conforme a lo establecido en el RGPD, tanto en su artículo 5, como en los Considerandos 39 y 60.