Protección de datos

ISACA Madrid se pronuncia sobre los Incumplimientos legales de la app “La Liga” al activar el micrófono del usuario y geolocalizarlos.

Noticia

“Si algo es gratis en internet, el producto eres tú”

Store-Driving-Helix-Procreate-Afterlight_EDEIMA20180531_0015_1.jpg

En relación a la reciente polémica sobre el funcionamiento de la app móvil  “La liga”, que activa el micrófono del móvil del usuario para captar el sonido ambiente que lo rodea y lo geolocaliza, el eslogan  “si algo es gratis en internet el producto eres tú” es el que mejor explica el funcionamiento de la app en materia de protección de datos.

Israel Díaz Domínguez, miembro de la Asociación de Auditores y expertos en ciberseguridad y protección de datos ISACA Madrid y jefe de ciberseguridad en una consultoría, nos explica aquellos aspectos del recientemente implantado Reglamento General de Protección de Datos de la UE (RGPD) que la aplicación móvil incumple.

Según explica la app  en su política de privacidad de datos, una vez nos la descargamos nos podemos convertir en un agente colaborador para "LaLiga", como contrapartida al disfrute gratuito de un contenido específico.

Principio de simplicidad, no se cumple

Para poder usar la app hay que aceptar todos los apartados de las Condiciones de Uso y Privacidad (unos disclaimers que, bajo el punto de vista de ISACA Madrid, no cumplen el “principio de simplicidad” que es necesario para que cualquier ciudadano entienda qué está aceptando exactamente).

En lo que podemos interpretar como “primera capa” de información de la “finalidad del tratamiento”, la aplicación expone que “La Liga utilizará tus datos personales para poder facilitarte los servicios propios de la Aplicación, siendo el tratamiento necesario para la ejecución de un contrato en el que como interesado eres parte”.

Sin embargo, cuando se accede a las “Condiciones legales y la Política de Privacidad” (http://www.laliga.es/aviso-legal-privacidad-cookies/) extiende la finalidad del tratamiento a 5 puntos más.  En el apartado 5º se encuentra el siguiente texto: “5ª Detectar explotaciones fraudulentas de las retrasmisiones de los partido de fútbol de La Liga”.

Cambia la finalidad de tratamiento

Lo que quiere decir, en opinión de Israel Díaz e ISACA Madrid, es que se aceptará que la aplicación "La Liga" active el micrófono cuando "alguien" quiera, según indica en sus avisos: “…con el objeto de obtener información desde qué lugares se ven partidos de equipos que integran La Liga y detectar posibles utilizaciones que infrinjan los derechos de propiedad intelectual de La Liga por parte de establecimiento públicos”.

Según los expertos de ISACA Madrid, esto sería contrario a la “finalidad del tratamiento” que se explica en la primera capa de información ofrecida por la app “para poder facilitar te los servicios propios de la aplicación “no para que el usuario les haga un servicio de espionaje gratuito.

Los check del micrófono y geolocalizaciones vienen premarcados, y esto incumple con la norma según el RGPD. No se encuentra la justificación de la licitud de los tratamientos 5 del uso del micrófono y 6 de la geolocalización. Los otros tratamientos si los explica la app, bien como relación contractual o como interés legítimo.

Principio de minimización obviado

El presidente de ISACA Madrid, Ricardo Barrasa, por su parte, detecta que se incumple otro punto del RGPD, el “principio de minimización”, “que se refiere a que no se deben pedir más datos a los usuarios de los que son estrictamente necesarios para la prestación del servicio ofrecido”.

Barraso muestra también preocupación por el hecho de que la app “recoge datos personales, como la  geolocalización y el sonido ambiente, y el problema está en que  con esos datos se pueden realizar perfilados, y no sabemos qué se va a hacer después con ello. Esto no se explica en las condiciones que hay que aceptar para instalar la app. Ante este tipo de servicios y requerimientos de los mismos, los usuarios están desprotegidos”.

Cuando se obvia el principio de minimización, la impresión que da la empresa peticionaria de los datos es que tiene una claro interés en que podría llegar a comerciar con los mismos, lo que no puede hacer si no lo especifica así de manera expresa y clara, y sin albergar la duda de que los usuarios son conscientes de esta posibilidad.

Propiedad intelectual vs Protección de datos

Nuestro asociado, Díaz Domínguez, ha realizado la investigación pertinente instalando la aplicación en su dispositivo móvil “y tras aceptar un buen número de condiciones entre las que está la ya citad, no he aceptados otras dos opciones ofrecidas para poder recibir notificaciones, y otra relativa a si eres mayor de edad, para poder enviarme comunicaciones sobre apuestas”.

Nuestro “investigador “, desde su móvil, no ha podido anular el acceso al micrófono, “por lo que a partir de ese momento me he convertido en una especie de “sujeto escuchador” par La Liga, a cambio de disfrutar de los contenidos de la aplicación de forma gratuita, mientras me he convertido en un punto de escucha para detectar infracciones de “La Ley de Propiedad intelectual”.

Desde ISACA Madrid ponen énfasis en la conveniencia de sopesar bien qué tipo de aplicaciones nos instalamos, ya que prácticas como  la de “La Liga” pueden ser contrarias a derechos fundamentales de las personas, como en este caso el del Derecho a la Protección de Datos.