TERCERO. El recurso se interpone aduciendo, en síntesis, lo siguiente:
La Resolución recurrida sanciona a LaLiga con una multa de 250.000 euros al considerar infringido el principio de transparencia en el tratamiento, consagrado por el artículo 5.1 a) del Reglamento General de Protección de Datos (LA LEY 6637/2016) ("RGPD"), por entender que el cumplimiento de ese principio exige no sólo proporcionar al interesado información clara y detallada sobre el tratamiento de sus datos personales, sino que, además, será preciso que se muestre al mismo un icono identificativo de la realización del tratamiento consistente en la captación de sonidos del micrófono cada vez que el mismo tenga lugar.
Ello implica, a juicio de la entidad recurrente, una nueva exigencia vinculada al principio de transparencia.
La Sentencia recurrida considera que la conducta de la LaLiga vulnera la normativa de protección de datos, dado que el usuario "ignora el momento en que ésta [la App] recoge sonidos a través del micrófono en cada ocasión en que se activa, que es cuando se produce el tratamiento [...]". Y fundamenta tal afirmación en dos razonamientos: (i) Dado que la App muestra el icono de geolocalización en el momento en que se capta esta información, del mismo modo en que LaLiga efectuó esta activación podía haberlo hecho con el icono del micrófono, por lo que al no haberse explicado los motivos por los que no se efectuó tal activación las alegaciones de LaLiga se ven privadas de fundamento.
(ii) El razonamiento de la resolución recurrida "parece proporcionado y adecuado", de forma que no puede ser revocado dado que sus fundamentos de derecho "proporcionan una explicación razonada y en la que no se aprecia error o arbitrariedad", concluyendo correctamente en la imposición de la sanción.
La demandante considera infringido el artículo 5.1 a) del RGPD (LA LEY 6637/2016), que consagra el principio de transparencia en el tratamiento de los datos personales, puesto en conexión con las obligaciones derivadas de dicho principio, establecidas en los artículos 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016), así como las condiciones generales de la información que debe facilitarse al interesado, contenidas en el artículo 12 del mismo texto legal. Igualmente, el artículo 5.1 a) del RGPD (LA LEY 6637/2016) deberá ponerse en conexión con lo establecido en el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018) ("LOPDGDD"). Como hemos dicho, estas normas establecen una obligación de transparencia que esta parte ha cumplido y que la Agencia considera que lo ha hecho de forma insuficiente sin que exista un parámetro previo que habilite dicha interpretación.
Ello le lleva a razonar sobre el alcance del principio de transparencia en el Reglamento General de Protección de Datos (UE) 2016/679 (LA LEY 6637/2016) del Parlamento Europeo y del Consejo de 27 de abril de 2016.
El artículo 5.1 a) del RGPD (LA LEY 6637/2016) establece que "[l]os datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado ("licitud, lealtad y transparencia")". Y este principio de transparencia se materializa según el considerando 39 se materializa en la obligación del responsable del tratamiento de informar a los interesados acerca del tratamiento de sus datos personales expuesta de forma concisa, fácilmente accesible y fácil de entender (considerando 58) e informarle sobre la existencia de la operación de tratamiento y sus fines.
El propio RGPD pone de manifiesto la vinculación absoluta existente entre el principio de transparencia y el deber de información al interesado, cuando rubrica su artículo 12 "Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado", estableciendo en su apartado 1 lo siguiente: "El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.".
Y las Directrices del GT29 se refiere expresamente al modo en que deberá informarse a los interesados en el caso de tratamientos de datos efectuados desde aplicaciones móviles, indicando que "la información necesaria también debe estar disponible en la tienda en línea antes de la descarga. Una vez instalada la aplicación, es preciso que la información siga siendo de fácil acceso desde dentro de la aplicación. Una manera de cumplir este requisito es garantizar que, para llegar a la información, no hagan falta más de "dos toques" (p. ej., incluyendo una opción de "Privacidad"/"Protección de datos" en la función de menú de la aplicación). Asimismo, la información sobre privacidad en cuestión debe ser específica de la aplicación de que se trate y no simplemente la política de privacidad genérica de la empresa propietaria de la aplicación o responsable de su puesta a disposición del público".
Y posteriormente, las Directrices del GT29, tras referirse a la información exigida por los artículos 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016), concretan en su §26 el momento en que debe facilitarse la información cuando los datos provengan del propio interesado, indicando que dicho artículo, que exige que la información se facilite "en la fase inicial del ciclo del tratamiento" será de aplicación a los datos personales que "un interesado ha facilitado conscientemente a un responsable del tratamiento (p. ej., al rellenar un formulario en línea); o un responsable del tratamiento obtiene de un interesado mediante observación (p. ej., utilizando dispositivos automáticos de captura de datos o programas informáticos de captura de datos, como por ejemplo cámaras, equipos de red, localización por wifi, RFID u otros tipos de sensores)". Asimismo, se añade en la nota al pie nº 30, en relación con el concepto de fase inicial del ciclo del tratamiento que "[s]i el fin incluye la creación de datos personales inferidos, siempre debe comunicarse al interesado el fin previsto de la creación y ulterior tratamiento de tales datos personales inferidos, así como las categorías de los datos inferidos tratados en el momento de la recogida o antes del tratamiento ulterior con un nuevo fin conforme al artículo 13, apartado 3, o al artículo 14, apartado 4".
En consecuencia, de lo establecido en el propio RGPD y de la interpretación que al mismo otorgan las Directrices del GT29 se desprende que el principio de transparencia se materializa en el cumplimiento de las obligaciones de información previstas en los artículos 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016), que deberá facilitarse a los interesados al comienzo del ciclo del tratamiento (en particular, en el caso de las Apps al tiempo de procederse a su descarga, permaneciendo accesible al interesado durante toda la vida del tratamiento de una forma sencilla).
Las Directrices del GT29 se refieren asimismo a la posible necesidad de que la información haya de completarse en un momento posterior, pero dicha exigencia, conforme indican los §29 y ss. se refiere a los supuestos en los que se produzcan cambios en el tratamiento que exigirán la modificación de los términos contenidos en la información facilitada a los interesados, debiendo además el responsable del tratamiento adoptar medidas para que aquéllos conozcan que los cambios han tenido lugar.
Finalmente, se prevé la posible inclusión de información adicional a la establecida en el artículo 39 del RGPD (LA LEY 6637/2016), el §42 de las Directrices del GT29 se refiere a esta cuestión, pero sin referirse a un deber de información continua acerca del tratamiento, pretendido en la Resolución Recurrida y ratificado por la Sentencia Recurrida, sino a la posibilidad de que el responsable del tratamiento añada a la información exigida por los artículos 13 y 14 otras informaciones adicionales, tales como las relativas a las evaluaciones de impacto realizadas en el tratamiento o la adhesión a un código de conducta. Y ello "como forma de reforzar la confianza en las operaciones de tratamiento y de demostrar transparencia y responsabilidad proactiva, aunque esta publicación no es de carácter obligatorio".
Sobre la interpretación del artículo 5.1 a) del RGPD (LA LEY 6637/2016) efectuada por la Sentencia Recurrida.
La sentencia considera que el principio de transparencia exige no sólo informar al interesado en el momento de inicio del ciclo del tratamiento, sino también de forma continuada y constante a lo largo del mismo en cada momento en que tenga lugar una recogida material de los datos personales. En el supuesto analizado, ello se materializaría en la obligación de que el dispositivo móvil del usuario en que se haya instalado la App de LaLiga informe al interesado, mediante un icono, acerca de la activación del micrófono. Entiende la Sentencia Recurrida que sólo así se asegura que el interesado tiene efectivo conocimiento del tratamiento efectuado.
No se discute que LaLiga dé pleno cumplimiento a lo exigido, en este caso, por el artículo 13 del RGPD (LA LEY 6637/2016), que se considera cumplido, sino que se indica que esta información es insuficiente y debe completarse con un aviso específico en cada concreta recogida de datos personales. Y ello, pese a que la información facilitada por LaLiga, y cuyo acceso es continuo a través de un enlace incluido en la propia App, no sólo incorpora la información exigida por el RGPD, sino que ofrece información adicional y detallada acerca (i) del momento concreto en que se produciría la recogida de los datos -la celebración de encuentros relativos a competiciones gestionadas por LaLiga-; (ii) del modo en que se realiza el tratamiento; (iii) de las medidas adoptadas para la conversión de los sonidos en una huella que no permita identificar al interesado; o (iv) de las restantes medidas técnicas adoptadas para preservar el derecho del usuario a la protección de sus datos personales.
A juicio de LaLiga, la AEPD ha realizado una interpretación de la normativa reguladora del derecho a la protección de datos que excede el contenido de la misma y supone la exigencia a aquélla de obligaciones que no se prevén ni en el RGPD ni en la LOPDGDD (LA LEY 19303/2018), sobre la base de un criterio, el carácter "extraordinario" del tratamiento, no regulado en ningún precepto de tales normas, imponiendo a LaLiga una sanción por el incumplimiento de esas obligaciones no contempladas en el RGPD.
Por ello, solicita se fije la siguiente doctrina casacional:
1. En los supuestos en que se proceda a la recogida de datos personales de los usuarios de Apps instaladas en teléfonos móviles y dispositivos similares, el principio de transparencia, consagrado por el artículo 5.1 a) del RGPD (LA LEY 6637/2016), debe considerarse cumplido en caso de que el responsable del tratamiento haya facilitado a los usuarios en el momento en que se produce la descarga de la App la información establecida en el artículo 13 del RGPD (LA LEY 6637/2016), sin que el citado Reglamento imponga la exigencia de informar a aquéllos de determinados aspectos del tratamiento en cada momento en que se produzca efectivamente la recogida de datos personales.
2. Las autoridades de protección de datos a las que se refiere el Capítulo IV del RGPD no pueden establecer exigencias adicionales a las establecidas en el citado Reglamento ni efectuar una interpretación de sus disposiciones que exceda de lo exigido por el mismo, ejerciendo la potestad sancionadora como consecuencia de dicha interpretación, sin perjuicio de la potestad de emitir recomendaciones y buenas prácticas encaminadas a reforzar las garantías del derecho a la protección de datos.
3. Que no puede iniciarse un procedimiento sancionador y resolverse sin que el afectado conozca el criterio que conforma el tipo y que la sanción impuesta conforme a este criterio es nula de pleno derecho.
Y suplica de este Tribunal se dicte Sentencia por la que estime el Recurso de Casación y case la Sentencia Recurrida, anulándola y dejándola sin efecto, con condena en costas a la parte demandada.
CUARTO. El Abogado del Estado se opone al recurso de casación.
Considera que si bien es cierto que principio de transparencia reconocido en el art. 5.1.a) RGPD (LA LEY 6637/2016), está vinculado a la información que ha de darse a los interesados ello no significa que la información que debe suministrarse según el art. 13 RGPD (LA LEY 6637/2016) esté completamente definida en cuanto a su alcance, ni que las Directrices del GT29 agoten todas las posibilidades interpretativas, como si pudiera prescindirse del examen de cada caso concreto, cuyas circunstancias que pueden ser determinantes para fijar el alcance de la información a facilitar en un caso concreto.
La transparencia, en cuanto concepto jurídico indeterminado no puede agotarse en una enumeración genérica y descriptiva de la información, sino que cuando sea necesario, habrá de modularse en virtud de las circunstancias.
Por otra parte, el art. 13 RGPD (LA LEY 6637/2016) detalla la información que debe facilitarse al interesado "en el momento en que estos [los datos personales] se obtengan".
Es claro que las Directrices prevén que el responsable tenga en cuenta todas las circunstancias de la recogida y tratamiento de datos a la hora de decidir la modalidad y formato oportunos del suministro de información. Puede pensarse, por tanto, en exigencias derivadas de las circunstancias del caso, y en la necesidad de adaptarse a los problemas que pueden surgirles a los usuarios (de ahí la conveniencia de los ensayos).
Y respecto al momento en que ha de facilitarse la información las Directrices no son, en este punto, tan concluyentes como pretende el interesado y corresponde en cada caso decidir en qué momento resulta más oportuno facilitar esa información. Además, el momento es aquél en que los datos se obtengan.
Por otra parte, el GT del 29 expresa en dicha comunicación (apartado 29) que [l]a obligación de actuar con responsabilidad proactiva en relación con la transparencia no solo se aplica al momento de la recogida de los datos personales, sino a lo largo del ciclo de vida del tratamiento, independientemente de la información o comunicación que se transmita. Este es el caso, por ejemplo, cuando se producen cambios en el contenido de declaraciones/avisos de privacidad existentes. En un caso como el presente, no solo es razonable, sino que parece obligado, atendidas las circunstancias, advertir al usuario de la App de que se van a captar los sonidos en el momento mismo en que se enciende el micrófono del dispositivo portátil.
Sobre la interpretación del art. 5.1.a) RGPD (LA LEY 6637/2016).
La resolución impugnada justifica la procedencia de imponer la sanción, en la medida en que la conducta sancionada resulta suficientemente predeterminada y es exigible para garantizar, en un caso como el presente, los derechos de los interesados.
Son las concretas circunstancias del tratamiento las que permiten concretar las obligaciones de información que derivan del principio de transparencia consagrado en el art. 5.1.a) RGPD (LA LEY 6637/2016).
Acerca de las competencias atribuidas a las autoridades de protección de datos en el RGPD. Si bien el responsable del tratamiento está sujeto a una responsabilidad proactiva, corresponde a las autoridades de control e independientes la determinación de cuál ha de ser la correcta forma de llevar a cabo un determinado tratamiento de datos personales.
Así, corresponde a la AEPD, en tanto que autoridad de control, establecer cómo ha de ajustarse un determinado tratamiento al RGPD, bien de una determinada manera y dentro de un plazo especificado, o incluso limitar o prohibir dicho tratamiento. Dentro de dichos poderes está por lo tanto o el determinar cómo ha de llevarse a cabo un determinado tratamiento, incluyendo como ha de ajustarse este al principio de transparencia (art. 5.1.a) RGPD (LA LEY 6637/2016)) pues no hay que olvidar que la razón de ser fundamental de la normativa de protección de datos, tal y como establece el art. 1.1 RGPD (LA LEY 6637/2016), es salvaguardar la protección de las personas físicas en lo que respecta al tratamiento de los datos personales, por lo que la protección del derecho fundamental de las personas físicas al tratamiento de sus datos personales habrá de tener vis expansiva e interpretarse de manera amplia.
No puede hablarse de la tipificación de la conducta sobre la base de un criterio interpretativo posterior porque el deber de informar en el momento en que entra en funcionamiento el micrófono se imponía con suficiente evidencia y no podía desconocerse por la Laliga.
Los artículos 5, 12 y 13 RGPG, dan cabida a la posible adaptación de los requisitos exigibles, en particular respecto del momento en que ha de facilitarse la información, imponiendo su necesidad con evidencia suficiente para que no puedan entenderse infringidos los principios de legalidad y tipicidad.
La interpretación realizada por la AEPD no puede considerarse sorpresiva y no es contraria al principio de seguridad jurídica. Valorando las circunstancias del caso puede llegarse, con un elevado grado de certeza, a la conclusión de que era necesaria la información al interesado en el momento de la conexión del micrófono, sin que esa exigencia implique un plus de cumplimiento, sino que deriva, como afirma la Sala de instancia, de una interpretación razonable de la norma, respecto de la que no se aprecia la existencia de error o arbitrariedad.
Es la singularidad del caso la que exige o impone un deber singular de transparencia y es por eso que tampoco podemos compartir la afirmación de la recurrente que sostiene que las obligaciones adicionales impuesta a LaLiga "serían exigibles a cualquier tratamiento en que se produzca una recogida de datos posterior al momento inicial del mismo".
El RGPD no ha limitado las funciones o competencias de las autoridades de control independientes a ser un mero órgano sancionador, sino que le ha atribuido directamente la facultad de determinar cuáles son los criterios de aplicación de la normativa de protección de datos, de manera que si bien el responsable del tratamiento está sujeto a una responsabilidad proactiva, corresponde a las autoridades de control e independientes la determinación de cuál ha de ser la correcta forma de llevar a cabo un determinado tratamiento de datos personales.
Así, corresponde a la AEPD, en tanto que autoridad de control, establecer cómo ha de ajustarse un determinado tratamiento al RGPD, bien de una determinada manera y dentro de un plazo especificado, o incluso limitar o prohibir dicho tratamiento
En cuanto a potestad de imponer una "multa administrativa", a que se hace referencia en la letra i) del apartado 2 de dicho art. 58 RGPD (LA LEY 6637/2016), dicha posibilidad la permite el RGPD además de, o en lugar de, las medidas mencionadas en el presente apartado 2 del art. 58, lo que significa que en función de las circunstancias las autoridades de control podrán imponer multas administrativas, utilizar otro u otros de los poderes correctivos mencionados en dicho apartado 2 del art. 58 RGPD (LA LEY 6637/2016), o combinar ambos.
En el presente caso, la AEPD ha combinado la determinación de cómo se ha de llevar a cabo un determinado tratamiento de datos personales (se impone al responsable establecer un recordatorio de que se está llevando a cabo efectivamente dicho tratamiento), y cuándo ha de llevarse a cabo dicho recordatorio (durante los momentos en que dicha funcionalidad está activada; lo que conforme al recurrente ocurre sólo durante los partidos de fútbol organizados por laLiga).