El Supremo anula la multa de la AEPD a LaLiga por su app y advierte que no se puede sancionar por algo que se desconocía

El Tribunal Supremo (TS) ha anulado la sanción de 250.000 euros que la Agencia Española de Protección de Datos (AEPD) impuso en 2019 a la Liga de Fútbol Profesional (LaLiga), presidida por Javier Tebas, por usar el micrófono de los móviles que tenían instalada su aplicación para espiar bares y comprobar si pirateaban la retransmisión de partidos.

En una sentencia que se ha dado a conocer este pasado sábado, número 1.263/2024, de 15 de julio, de la que ha sido ponente el magistrado Diego Córdoba, la Sala Tercera, la de lo Contencioso-Administrativo, estima el recurso de LaLiga contra la resolución dictada en 2021 por la Audiencia Nacional que confirmó la sanción impuesta por la AEPD.

El Supremo fundamenta que «atendiendo a los datos de los que disponía LaLiga cuando desarrolló y comercializó esta aplicación, no era razonable dar por sentado que el principio de transparencia exigía que apareciese un aviso cada vez que la aplicación activase el micrófono del móvil».

Entiende que “no se puede sancionar una conducta por el incumplimiento de garantías que se concretaron posteriormente y que no eran previsibles en el momento en el que se realizaron las conductas sancionadas”.

La sentencia indica que la AEPD debería haber dirigido un requerimiento previo al operador para que acomodase su conducta a las exigencias que consideraba necesarias. Aclara que la información facilitada por LaLiga cuando se descarga por vez primera la app cumple las exigencias previstas en el reglamento general de protección de datos.

«Incluso ofrece información adicional y detallada acerca del momento concreto en el que se produciría la recogida de los datos, relativos a la celebración de encuentros de competiciones gestionadas por LaLiga», agrega.

En concreto, informaba del modo en el que se realiza el tratamiento, de las medidas adoptadas para la conversión de sonidos en una huella que no permita identificar al interesado y de otras de tipo técnico adoptadas para preservar el derecho del usuario a la protección de sus datos personales.

Cinco años ha estado La Liga defendiendo la legalidad de su app en los tribunales. (Imagen: La Liga)

El Supremo relata que el 8 de junio de 2018 se publicó en el Play Store de Google una actualización de la aplicación oficial de LaLiga. Un año después, la Agencia Española de Protección de Datos impuso a LaLiga una multa de 250.000 euros por violar el principio de transparencia y privacidad.

La AEPD destacó que la aplicación no informaba adecuadamente a los usuarios sobre el uso de su micrófono y su ubicación geográfica, infringiendo así el Reglamento General de Protección de Datos.

La normativa europea, en su artículo 7.3, otorga a los usuarios el derecho de retirar su consentimiento en cualquier momento, un principio que, según la AEPD, no se respetó en este caso.

La controversia llegó a la Audiencia Nacional, que ratificó la resolución de la AEPD y confirmó la multa. En una sentencia de 2021, la Sala de lo Contencioso-Administrativo argumentó que la aplicación de LaLiga violó el principio de transparencia, al no informar adecuadamente a los usuarios sobre el uso del micrófono y la geolocalización.

Sin embargo, de nuevo, LaLiga tampoco se dio por vencida y llevo el asunto al Supremo, que cinco años, después le da la razón.

Avisar antes que sancionar

Jose Leandro Núñez, socio de Audens y miembro de la junta directiva de ENATIC, recuerda que este tema en su día generó malestar en los abogados expertos en protección de datos. “Una de las cosas en las que se basó la AEPD para multar a la LaLiga fue el informe de los abogados externos que recomendó a la propia Liga colocar el icono.. La resolución señala que pese a ese informe, no se incorporó dicho micrófono, de tal forma que La Liga incumplía la normativa existente”, indica.

Este planteamiento del regulador dejó, según este jurista, a los abogados en una posición muy delicada. «Te obligaba a no poner por escrito algunas cosas que luego podrían ser utilizadas en contra tuya por parte de la autoridad de control. Esto hizo que los profesionales no incorporásemos todas las cuestiones en nuestros informes para no dañar a nuestro cliente. Eso es lo que menos gustaba a los profesionales que nos dedicamos a estos temas sobre la resolución”, explica.

Leandro NUñez recuerda que en su dia esta sanción generó malestar entre los abogados expertos en privacidad. «Hubiera bastado con un requerimiento», subraya. (Imagen: Audens)

Núñez recuerda que de la sentencia del Supremo «queda claro que no hay una norma que diga que hay que hacer eso, de incorporar un icono con un micrófono que se activa tras cualquier funcionalidad. Lo que dice la Sala Tercera es que si esta medida se podría aplicar, es lógico que lo primero que tenia que haber hecho es mandar un requerimiento a La Liga y explicarles que tendrían que colocar el icono, pero no multar directamente con 250.000 euros cuando la obligación no estaba en la norma”.

Desde su punto de vista, “esta sentencia aporta más seguridad jurídica, en el sentido de que un criterio de una autoridad de control que previamente no ha sido informado a los afectados no puede dar lugar a una multa como fue en este caso. Tiene que haber primero una notificación o publicar los criterios para que haya  cierta previsibilidad a la hora de sufrir una sanción por no cumplir esa obligación”.

De cara al futuro, cree que no hace falta una norma que regule todas las cuestiones específicas de un tratamiento de datos. “Estoy de acuerdo en que todos echamos de menos el Reglamento de Privacidad Electrónica que incide en él por hablar de una app. En el momento que se apruebe nos aportará mas seguridad jurídica en el ámbito de Internet, y aplicaciones para móviles. Pero no hace falta una norma para todo. La AEPD puede establecer criterios luego los tribunales dejan claro si esa medida es proporcionada y adecuada. En ese interim es fundamental la publicidad de esos criterios para que los conozcan los empresarios”, manifiesta.

Este experto recuerda que hay otros temas similares donde también la AEPD ha sancionado. “En esta resolución llegó a indicar que era la primera vez que fijaba esos criterios. Si es la primera vez, meter una multa a una empresa de tal calibre es, al menos, cuestionable. Fue de las primeras resoluciones de la AEPD donde se basó en el RGPD para cuantificar la sanción y marcó un cambio en las sanciones del regulador más cuantiosas”, señala.

El Supremo da un toque de atención a la AEPD

Joaquín Muñoz, socio director del departamento de Commercial y Privacy & Data Protection de Bird & Bird en la oficina de Madrid, cree también que la AEPD en los últimos años ha dado casi rango de ley a esas guías y buenas prácticas que la propia Agencia emitía. El Supremo marca la línea entre lo que las empresas deben tomar en cuenta a la hora de aplicar el cumplimiento y lo que dice realmente la ley.

Para este jurista, “on la resolución sancionadora de la AEPD a La Liga ahora anulada parecía que iba en esa línea. Esta denuncia llegó a la AEPD porque la política de privacidad de la aplicación de LaLiga era  demasiada transparente. A un usuario le llamó la atención que en dicha aplicación se pidiera consentimiento expreso al usuario para encender el micréfono de la app con esta finalidad de perseguir la piratería”, comenta.

Joaquin Muñoz cree que le AEPD ha dado cierto rango de ley a las guías y criterios que emite. (Imagen: Bird &Bird)

A juicio de este experto, la sanción de la AEPD “no es porque no haya informado al usuario y estuviera ocultado datos, sino porque ellos consideraban que se debería informar mediante un icono que activase el micrófono, cuando esta recomendación no está en ninguna ley. De cara futuro, ese margen que dejan a las empresas para hacer la interpretación de la normativa y adaptar sus procesos a su evaluación del riesgo, para cumplir con la accountability es necesario».

Sobre la resolución, considera Muñoz que “es muy importante porque limita un poco esa capacidad de la AEPD de considerar con rango de ley sus guías y  recomendaciones. En este caso, el Supremo pone el límite a esto, sobre todo en este tipo de casos donde se percibe que las empresas actuaron de buena fe; en este caso no se ocultaba nada. Solo que no se seguía el proceso de información que pedía la AEPD”.

“Otra cuestión importante de esta sentencia que es que en estos casos donde no esta clara la interpretación eso es algo que reclamamos mucho los abogados, son situaciones donde son las empresas que actúan de buena fe interpretando la normas y la tendencia, cuando la empresa ya optado por un criterio distinto, ha sido lo de sancionar en lugar de requerir a las empresas que lo hagan de otra forma”, apunta.

Desde su punto de vista, “en casos como éste donde no hay precedentes y la empresa ha hecho una interpretación que puede  ser errónea o no, pero no esta claro la solución, el Supremo le pide a la AEPD que no sancione directamente, sino que dé unas directrices. Una vez dadas, si al final no se cumplen es factible que se vuelva a la sanción, pero no antes. En este caso fue la sanción más alta con la entrada ya en vigor del RGPD. Se podría haber creado el precedente sin sancionar a la empresa”.

Una decisión acertada

Para Ruth Benito, Of Counsel, responsable del Protección de Datos y Privacidad en Elzaburu, “este fue uno de los primeros asuntos donde los hechos se sucedieron con el RGPD ya operativo, lo que hizo que fuera una de las primeras sanciones elevadas y se abriera un debate que al parecer el Supremo, cinco años después, cierra con este fallo». Desde su punto de vista, la Sala Tercera «está bastante acertada con esta resolución en aras a la seguridad jurídica”.

Ruth Benito cree que la Sala Tercera del Supremo acierta y con esta sentencia ofrece más seguridad jurídica. (Imagen: Elzaburu)

Esta jurista recuerda que en aquel momento “algunas de las alegaciones que hizo la Liga tuvieron su fundamento en que la AEPD estaba convirtiendo buenas prácticas en norma, porque ese requisito de volver a informar y requerir consentimiento cada vez que se activará el micrófono, no es algo que exigiera el RGPD”.

Esta experta en privacidad indica que el abogado del Estado dijo que la información hay que proporcionarla en el momento que se recaban los datos, pero hay una excepción que no comenta la sentencia que viene reflejada en el artículo 13 del RGPD, que señala “salvo que hubiera sido informado previamente el usuario. Además, aquí el consentimiento estaba bien pedido porque el usuario tenía que marcar expresamente una casilla al descargarse la aplicación”.

Este debate tras la multa de la AEPD llegó a la sala Contenciosa de la Audiencia Nacional que mantuvo la sanción a la Liga de 250.000 euros. “En aquel momento, señala el fallo del Supremo, a la propia Liga no le cabía suponer que tenía que cumplir con los postulados que la AEPD estableció durante el procedimiento sancionador y el Supremo anula la sanción por entender que vulnera el principio de tipicidad”.

En su opinión, “siguiendo el principio de tipicidad no es esperable que te sancionen por algo que es una buena práctica o recomendación, pero no una norma. El Supremo lo aclara en su resolución y que no puede ser exigible al APP de la Liga”.

Sin embargo, para Ruth Benito, “lo más interesante de esta sentencia del Supremo es que indica que lo que debió hacer la AEPD fue requerir a LaLiga para que implementara las medidas que consideraba necesarias para cumplirse adecuadamente con el deber de información y el principio de transparencia. Esto, unido al principio de previsibilidad que se menciona en la propia sentencia, abre un debate muy interesante respecto a la capacidad de la AEPD para establecer prácticas o mecanismos concretos en cada caso con las que entender que se cumple adecuadamente con el RGPD”.

A su juicio, “cabe preguntarse también si, a día de hoy, ya sí se consideraría previsible una sanción por no tener implementados los recordatorios de información y reiteración de consentimientos en una app con funciones similares a las de LaLiga”.