La “App espía” de la Liga podría estar vulnerando el Reglamento General de Protección de Datos, según expertos

Sobre estas líneas tres imágenes de la "App espía" de la Liga que podría estar vulnerando el Reglamento General de Protección de Datos.
|

La App móvil de la Liga de Fútbol Profesional que se instala en los teléfonos móviles gratuitamente es, de hecho, una “App espía”, porque permite activar el micrófono del móvil del usuario aficionado al fútbol para captar no sólo el sonido ambiente que lo rodea sino también para geolocalizarlo.

De esa forma, la Liga puede descubrir si el dueño del móvil se encuentra en un bar viendo un partido de fútbol por televisión y verificar si ese bar esta dando a sus clientes un servicio por el que está pagando o, por el contrario, es un “pirata”.

PUBLICIDAD
PUBLICIDAD

La Liga afirma -según un comunicado- que “tiene la responsabilidad de proteger a los clubes y sus aficionados del fraude en la emisión de partidos de fútbol por parte de establecimientos públicos ”, unas actividades fraudulentas que suponen anualmente una pérdida estimada de 150 millones de euros para el fútbol español.

Una intención que podría estar vulnerando el Reglamento General de Protección de Datos (RGPD), de acuerdo con la Asociación de Auditores y Auditoría y Control de Sistemas y Tecnologías de la Información y las Comunicaciones, actualmente ISACA Madrid.

La Agencia Española de Protección de Datos (AEPD) anunció recientemente la apertura de actuaciones previas de investigación, de oficio, sobre  edicha aplicación móvil de la Liga.

PUBLICIDAD

Fue la propia Liga la que reveló que había implantado una nueva funcionalidad en su App oficial con “el único objetivo de detectar estas explotaciones fraudulentas”.

Y explicó que cuando un usuario se descarga o actualiza la App, el sistema operativo de su dispositivo móvil le pedirá, a través de una ventana emergente, su consentimiento para que La Liga pueda activar el micrófono y el geoposicionamiento de su dispositivo móvil.

PUBLICIDAD

“Sólo si decide aceptarlo, el micrófono captará el código binario de fragmentos de audio, con el único objeto de poder conocer si está viendo partidos de fútbol de competiciones disputadas por equipos de La Liga, pero nunca se accederá al contenido de la grabación”, explicaron fuentes de la Liga.

PUBLICIDAD

El micrófono y geoposicionamiento del dispositivo móvil se activa durante las franjas horarias de partidos en los que compitan equipos de La Liga.

La App recuerda “periódicamente” que La Liga puede activar el micrófono y geoposicionamiento y solicitará que confirme el consentimiento, que se podrá revocar “en cualquier momento” en los ajustes del dispositivo móvil.

Sin embargo, Israel Díaz, miembro de ISACA Madrid y jefe de ciberseguridad en una consultoría, tiene muy claro aquellos aspectos del recientemente implantado RGPD que la aplicación móvil incumple.

“En primer lugar”, según explica, “la App, en su política de privacidad de datos, una vez nos la descargamos nos podemos convertir en un agente colaborador para la Liga, como contrapartida al disfrute gratuito de un contenido específico”.

Principio de simplicidad, no se cumple

Para poder usar la App hay que aceptar todos los apartados de las Condiciones de Uso y Privacidad (una exoneración de responsabilidad que, bajo el punto de vista de ISACA Madrid, no cumplen el “principio de simplicidad” que es necesario para que cualquier ciudadano entienda qué está aceptando exactamente).

PUBLICIDAD

En lo que podemos interpretar como “primera capa” de información de la “finalidad del tratamiento”, la aplicación expone que “La Liga utilizará tus datos personales para poder facilitarte los servicios propios de la Aplicación, siendo el tratamiento necesario para la ejecución de un contrato en el que como interesado eres parte”.

Sin embargo, cuando se accede a las “Condiciones legales y la Política de Privacidad” extiende la finalidad del tratamiento a 5 puntos más.

En el apartado 5º se encuentra el siguiente texto: “5ª Detectar explotaciones fraudulentas de las retrasmisiones de los partido de fútbol de La Liga”.

Cambia la finalidad de tratamiento

Lo que quiere decir, en opinión de Díaz e ISACA Madrid, es que se aceptará que la aplicación “La Liga” active el micrófono cuando “alguien” quiera, según indica en sus avisos: “…con el objeto de obtener información desde qué lugares se ven partidos de equipos que integran La Liga y detectar posibles utilizaciones que infrinjan los derechos de propiedad intelectual de La Liga por parte de establecimiento públicos”.

Según los expertos de ISACA Madrid, esto sería contrario a la “finalidad del tratamiento” que se explica en la primera capa de información ofrecida por la App “para poder facilitar te los servicios propios de la aplicación “no para que el usuario les haga un servicio de espionaje gratuito.

Principio de minimización obviado

El presidente de ISACA Madrid, Ricardo Barrasa, por su parte, detecta que se incumple otro punto del RGPD: el “principio de minimización”, “que se refiere a que no se deben pedir más datos a los usuarios de los que son estrictamente necesarios para la prestación del servicio ofrecido”.

Barrasa muestra también preocupación por el hecho de que la App “recoge datos personales, como la  geolocalización y el sonido ambiente, y el problema está en que  con esos datos se pueden realizar perfilados, y no sabemos qué se va a hacer después con ello. Esto no se explica en las condiciones que hay que aceptar para instalar la app. Ante este tipo de servicios y requerimientos de los mismos, los usuarios están desprotegidos”.

Cuando se obvia el principio de minimización, la impresión que da la empresa peticionaria de los datos es que tiene un claro interés en que podría llegar a comerciar con los mismos, lo que no puede hacer si no lo especifica así de manera expresa y clara, y sin albergar la duda de que los usuarios son conscientes de esta posibilidad.

El usuario se convierte en sujeto escuchador

Un asociado de esta entidad, Díaz Domínguez, ha realizado la investigación pertinente instalando la aplicación en su dispositivo móvil “y tras aceptar un buen número de condiciones entre las que está la ya citada, no he aceptados otras dos opciones ofrecidas para poder recibir notificaciones, y otra relativa a si eres mayor de edad, para poder enviarme comunicaciones sobre apuestas”.

Este investigador, desde su móvil, no ha podido anular el acceso al micrófono, “por lo que a partir de ese momento me he convertido en una especie de “sujeto escuchador” para La Liga, a cambio de disfrutar de los contenidos de la aplicación de forma gratuita, mientras me he convertido en un punto de escucha para detectar infracciones de “La Ley de Propiedad intelectual”.

Desde ISACA Madrid ponen énfasis en la conveniencia de sopesar bien qué tipo de aplicaciones nos instalamos, ya que prácticas como  la de “La Liga”, que se analiza en esta información, pueden ser contrarias a derechos fundamentales de las personas, como en este caso el del Derecho a la Protección de Datos.

La AEPD registró un incremento del 36,8% de las denuncias planteadas ante el organismo en relación con el tratamiento de datos en Internet en los últimos dos años, al pasar de 557 en 2015 a 762 en 2017, según la memoria hecho pública recientemente.