Sanción administrativa a la liga profesional de futbol, por infracción de protección de datos personales
Acción administrativa. Protección de Datos. Datos personales. Transparencia. APP liga profesional de futbol. Sanción administrativa.
Aplicación de móvil de la Liga de futbol profesional donde se aceptaba que LaLiga trate los datos personales, incluyendo los obtenidos por medio del micrófono del dispositivo móvil y el geoposicionamiento, para detectar fraudes en el consumo de futbol en establecimientos públicos no autorizados.
La presente controversia se centra, en interpretar el artículo 5.1 a) del Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, a fin de determinar si cabe considerar suficientemente cumplido y adecuado el principio de transparencia formulado en el artículo referido en la instalación y funcionamiento de la App de La Liga, o si las autoridades de control pueden imponer requisitos adicionales más allá de lo establecido en la propia normativa aplicable. El mencionado artículo señala que los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado. El principio de transparencia consagrado ha de ponerse en conexión con las obligaciones de información que debe facilitarse al interesado a fin de que sea concisa, fácilmente accesible y fácil de entender, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información que deberá contener, al menos: a) La identidad del responsable del tratamiento y de su representante, en su caso, b) La finalidad del tratamiento y c) La posibilidad de ejercer los derechos establecidos en el Reglamento. Ahora bien, la cuestión que se plantea en este caso tiene como especialidad que nos encontramos ante una aplicación que no solo recopila datos personales para su tratamiento en el momento en que se instala, coincidiendo con el momento en el que el usuario presta su consentimiento inicial, sino que las características de la app instalada permite una recopilación de datos personales del afectado de forma prolongada en el tiempo y lo hace de manera aleatoria y sin previo aviso de modo que conecta el micrófono del móvil sin requerir una nueva autorización de usuario captando el sonido ambiental existente en ese momento, cualquiera que sea el lugar en el que se encuentre; aceptada solo en el momento de su instalación.
Es cierto que cuando la captación de datos se prolonga en el tiempo no será necesario volver a reiterar toda la información que ya se proporcionó al usuario en el momento inicial de la descarga y que este aceptó expresamente, pero se pueden establecer medidas adicionales que recuerden al usuario que sus datos están siendo recopilados. Por ello, la Agencia de Protección de Datos estaba facultada para establecer medidas adicionales que refuercen la transparencia pero no olvidemos que el ejercicio de la potestad sancionadora se rige por el principio de previsibilidad, en cuya virtud no es posible sancionar una conducta si previamente no es previsible utilizando una diligencia media. Por tanto, la imposición de una sanción, basándose en la integración que del principio de transparencia realiza el órgano de control con un alcance que no conocía previamente el infractor, ni era razonable que lo hiciese, no es compatible con una correcta utilización de la potestad sancionadora. La Agencia en uso de estas facultades debería de haber dirigido un requerimiento previo al operador para que acomodase su conducta a las exigencias que se consideraban necesarias.