LaLiga está a las puertas de convertirse en la primera empresa multada por incumplir el RGPD (Reglamento General de Protección de Datos). La aplicación móvil de la asociación de clubes activa el micrófono del teléfono móvil y la localización de sus usuarios para detectar si se emite fútbol pirateado en los bares.
Tras conocerse la noticia, hecha pública por los abogados especializados en tecnología Esther Botella y Jorge Morell, la Agencia Española de Protección de Datos (AEPD), órgano encargado de que la GDPR (siglas de la normativa en inglés) sew cumpla en España, ha iniciado una investigación de oficio para saber qué ha ocurrido.
No obstante, el procedimiento establecido por LaLiga dentro de las condiciones de uso para solicitar el permiso de acceso al micrófono se ajusta a lo que establece la regulación europea, según fuentes jurídicas.
Muy probablemente el hecho acabará en sanción. Todo parece indicar que el hecho de que el mecanismo sea intrusivo puede llevar a una vulneración de la normativa y consecuentemente a una sanción"
"El proceso de permiso para activar el micrófono y la geolocalización es claro y no da lugar a error. La RGPD establece este punto como ineludible. Las empresas deben ser cristalinas en este sentido, no deben confundir al usuario ni esconderle en el texto legal lo que hará cuando acepte el servicio. LaLiga es franca en este apartado", explica Eduard Blasi, abogado de Marimon Abogados y cofundador de Nepcom.
El problema es que la patronal del fútbol no cumple con otro de los principios que marca el texto legal del reglamento. "El consentimiento que da el usuario no está alineado con el juicio de proporcionalidad. El uso arbitrario del micrófono es abusivo, choca frontalmente contra el denominado como principio de calidad de los datos. Esta parte de la normativa explica que se pueden utilizar los datos necesarios para ofrecer el servicio, pero que tienen que ser los mínimos. Perseguir la piratería es completamente lícito, lo que no parece serlo es la forma de hacerlo, al menos en este caso", explica Blasi.
Eduard pone un ejemplo con un empleado para entender mejor dónde se ha vulnerando la GDPR. "Es lícito mantener cierto control sobre el empleado de un comercio, ¿pero lo es a través de cámaras de videovigilancia? Claramente, no. ¿Podría haber utilizado LaLiga otros medios para investigar el pirateo en los bares? Sí, por ejemplo desplazando personal físico a los establecimiento", apunta Blasi.
Se desconoce la realidad del tratamiento de los datos obtenidos, además del trabajo que se pueda haber hecho u omitido en el seno de la Liga, lo que dificulta que podamos hablar de importes concretos para las sanciones"
LaLiga será presumiblemente la primera entidad en ser multada por infringir el Reglamento General de Protección de Datos. "Muy probablemente el hecho acabará en sanción. Aún no existe un procedimiento sancionador para el GDPR, por lo que no puedo hablar del montante concreto o aproximado de la multa, pero todo parece indicar que el hecho de que el mecanismo sea intrusivo puede llevar a una vulneración de la normativa y consecuentemente a una sanción, que será la primera a una gran entidad tras la aprobación del GDPR", concluye Blasi.
Sergio Carrasco Mayans, abogado especializado en nuevas tecnologías, opina lo mismo acerca del montante de la sanción. "La Agencia ha indicado que se ha iniciado un procedimiento de oficio. Desconocemos la realidad de dicho tratamiento, además del trabajo que se pueda haber hecho u omitido en el seno de la Liga, lo que dificulta que podamos hablar de importes concretos a la hora de establecer sanciones, al menos hasta que sepamos más del mecanismo para saber cuál es el alcance real del tratamiento de datos. Por ejemplo, no aparece su uso para perfilado de usuarios, pese a lo cual no podemos negar lo atractivo que sería su uso para ello".
Más multas y de mayor cuantía
Según Unive abogados, habrá más multas y de mayor cuantía tras aprobarse el Reglamento General de Protección de Datos, tal y como refleja un informe de esta empresa al que ha tenido acceso este medio.
En 2016 -últimos datos disponibles publicados por la AEPD- se produjeron 10.523 multas y reclamaciones, de las que se iniciaron 2.826 expedientes. Más de 1.300 de ellos acabaron en sanción.
Según Unive Abogados, el máximo total de las sanciones podría haber ascendido entonces hasta a 337.000 euros si se hubiese aplicado la antigua LOPD (Ley orgánica de Protección de Datos) con toda su dureza.
Esos mismos expedientes habrían supuesto 543.000 euros para las empresas infractoras con la aplicación de la actual RGPD. Se puede decir que, en el apartado de sanciones, la RGPD es cerca del doble de dura que la antigua LOPD. Desde Unive aseguran que "se espera que el número de denuncias y expedientes sancionadores se incremente, por lo que presumiblemente estas cifras sean mayores".