Cargando. Por favor, espere

Tribunal Supremo, Sala Tercera, de lo Contencioso-administrativo, Sección 3ª, Sentencia 1263/2024 de 15 Jul. 2024, Rec. 5039/2022

Ponente: Córdoba Castroverde, Diego.

Nº de Sentencia: 1263/2024

Nº de Recurso: 5039/2022

Jurisdicción: CONTENCIOSO-ADMINISTRATIVA

Diario LA LEY, Nº 86, Sección Legal Management, 2 de Septiembre de 2024, LA LEY

LA LEY 176003/2024

ECLI: ES:TS:2024:3986

El Supremo anula la sanción impuesta por la AEPD a LaLiga por la activación del micrófono de su App sin consentimiento del usuario

Cabecera

INTERÉS CASACIONAL. PROTECCIÓN DE DATOS PERSONALES. Principio de transparencia. "App LaLiga". Activación del micrófono y de la geolocalización. La imposición de una sanción basándose en la integración que del principio de transparencia realiza el órgano de control, con un alcance que no conocía previamente el infractor, ni era razonable que lo hiciese, no es compatible con una correcta utilización de la potestad sancionadora, porque no es posible sancionar directamente una conducta por el incumplimiento de garantías que se concretaron a posteriori y que no eran previsibles en el momento en que se realizaron las conductas sancionadas.

Resumen de antecedentes y Sentido del fallo

El Tribunal Supremo estima el recurso de casación interpuesto por la Liga Nacional de Fútbol Profesional contra la sentencia de la Audiencia Nacional que confirmó la sanción de 250.000 € que le fue impuesta por resolución de la Agencia de Protección de Datos, motivada por la infracción del art. 5.1.a) del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 Abr. 2016.

Texto

T R I B U N A L S U P R E M O

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1.263/2024

Fecha de sentencia: 15/07/2024

Tipo de procedimiento: R. CASACION

Número del procedimiento: 5039/2022

Fallo/Acuerdo:

Fecha de Votación y Fallo: 25/06/2024

Ponente: Excmo. Sr. D. Diego Córdoba Castroverde

Procedencia: AUD.NACIONAL SALA C/A. SECCION 1

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

Transcrito por:

Nota:

R. CASACION núm.: 5039/2022

Ponente: Excmo. Sr. D. Diego Córdoba Castroverde

Letrado de la Administración de Justicia: Ilmo. Sr. D. Luis Martín Contreras

TRIBUNAL SUPREMO

Sala de lo Contencioso-Administrativo

Sección Tercera

Sentencia núm. 1263/2024

Excmos. Sres.

D. Eduardo Espín Templado, presidente

D. José Manuel Bandrés Sánchez-Cruzat

D. Eduardo Calvo Rojas

D. José María del Riego Valledor

D. Diego Córdoba Castroverde

En Madrid, a 15 de julio de 2024.

Esta Sala ha visto por los magistrados indicados al margen, en su Sección Tercera, el recurso de casación número 5039/2022, interpuesto por la procuradora de los tribunales doña Consuelo Rodríguez Chacón, en nombre y representación de la Liga Nacional de Fútbol Profesional (LaLiga), contra la sentencia de 11 de octubre de 2021, dictada por la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional, en el recurso contencioso administrativo nº 1410/2019 (LA LEY 327583/2021), interpuesto contra la resolución de 10 de junio de 2019, de la Agencia Española de Protección de Datos (LA LEY 1025/2019), por la que se impuso a la La Liga Nacional de Fútbol Profesional una multa de 250.000 euros, motivada por la infracción del artículo 5.1.a) del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Ha intervenido como parte recurrida la Administración General del Estado, representada por el Abogado del Estado.

Ha sido ponente el Excmo. Sr. D. Diego Córdoba Castroverde.

ANTECEDENTES DE HECHO

PRIMERO. La Procuradora de los Tribunales doña Consuelo Rodríguez Chacón, actuando en nombre y representación de la Liga Nacional de Futbol Profesional, interpone recurso de casación contra la sentencia de la Sala de lo Contencioso-administrativo de la Audiencia Nacional de 11 de octubre de 2021 (rec. 1410/2019 (LA LEY 327583/2021)) que desestimó el recurso interpuesto por la Liga Nacional de Futbol Profesional contra la resolución de 10 de junio de 2019 dictada por la Agencia de Protección de Datos (LA LEY 1025/2019) por la que se impuso a la Liga una multa de 250.000 € por la infracción del artículo 5.1.a) del Reglamento (UE) 2016/679 (LA LEY 6637/2016) de Parlamento Europeo y del Consejo de 27 de abril de 2016.

SEGUNDO. Mediante Auto de 11 de mayo de 2023 (LA LEY 88442/2023) se admitió el recurso de casación declarando que la cuestión que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en interpretar el artículo 5.1 a) del Reglamento (UE) 2016/679 (LA LEY 6637/2016), del Parlamento Europeo y del Consejo de, 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)), a fin de determinar si cabe considerar suficientemente cumplido y adecuado el principio de transparencia formulado en el artículo referido en la instalación y funcionamiento de la App de La Liga, o si las autoridades de control pueden imponer requisitos adicionales más allá de lo establecido en la propia normativa aplicable.

TERCERO. El recurso se interpone aduciendo, en síntesis, lo siguiente:

La Resolución recurrida sanciona a LaLiga con una multa de 250.000 euros al considerar infringido el principio de transparencia en el tratamiento, consagrado por el artículo 5.1 a) del Reglamento General de Protección de Datos (LA LEY 6637/2016) ("RGPD"), por entender que el cumplimiento de ese principio exige no sólo proporcionar al interesado información clara y detallada sobre el tratamiento de sus datos personales, sino que, además, será preciso que se muestre al mismo un icono identificativo de la realización del tratamiento consistente en la captación de sonidos del micrófono cada vez que el mismo tenga lugar.

Ello implica, a juicio de la entidad recurrente, una nueva exigencia vinculada al principio de transparencia.

La Sentencia recurrida considera que la conducta de la LaLiga vulnera la normativa de protección de datos, dado que el usuario "ignora el momento en que ésta [la App] recoge sonidos a través del micrófono en cada ocasión en que se activa, que es cuando se produce el tratamiento [...]". Y fundamenta tal afirmación en dos razonamientos: (i) Dado que la App muestra el icono de geolocalización en el momento en que se capta esta información, del mismo modo en que LaLiga efectuó esta activación podía haberlo hecho con el icono del micrófono, por lo que al no haberse explicado los motivos por los que no se efectuó tal activación las alegaciones de LaLiga se ven privadas de fundamento.

(ii) El razonamiento de la resolución recurrida "parece proporcionado y adecuado", de forma que no puede ser revocado dado que sus fundamentos de derecho "proporcionan una explicación razonada y en la que no se aprecia error o arbitrariedad", concluyendo correctamente en la imposición de la sanción.

La demandante considera infringido el artículo 5.1 a) del RGPD (LA LEY 6637/2016), que consagra el principio de transparencia en el tratamiento de los datos personales, puesto en conexión con las obligaciones derivadas de dicho principio, establecidas en los artículos 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016), así como las condiciones generales de la información que debe facilitarse al interesado, contenidas en el artículo 12 del mismo texto legal. Igualmente, el artículo 5.1 a) del RGPD (LA LEY 6637/2016) deberá ponerse en conexión con lo establecido en el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018) ("LOPDGDD"). Como hemos dicho, estas normas establecen una obligación de transparencia que esta parte ha cumplido y que la Agencia considera que lo ha hecho de forma insuficiente sin que exista un parámetro previo que habilite dicha interpretación.

Ello le lleva a razonar sobre el alcance del principio de transparencia en el Reglamento General de Protección de Datos (UE) 2016/679 (LA LEY 6637/2016) del Parlamento Europeo y del Consejo de 27 de abril de 2016.

El artículo 5.1 a) del RGPD (LA LEY 6637/2016) establece que "[l]os datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado ("licitud, lealtad y transparencia")". Y este principio de transparencia se materializa según el considerando 39 se materializa en la obligación del responsable del tratamiento de informar a los interesados acerca del tratamiento de sus datos personales expuesta de forma concisa, fácilmente accesible y fácil de entender (considerando 58) e informarle sobre la existencia de la operación de tratamiento y sus fines.

El propio RGPD pone de manifiesto la vinculación absoluta existente entre el principio de transparencia y el deber de información al interesado, cuando rubrica su artículo 12 "Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado", estableciendo en su apartado 1 lo siguiente: "El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.".

Y las Directrices del GT29 se refiere expresamente al modo en que deberá informarse a los interesados en el caso de tratamientos de datos efectuados desde aplicaciones móviles, indicando que "la información necesaria también debe estar disponible en la tienda en línea antes de la descarga. Una vez instalada la aplicación, es preciso que la información siga siendo de fácil acceso desde dentro de la aplicación. Una manera de cumplir este requisito es garantizar que, para llegar a la información, no hagan falta más de "dos toques" (p. ej., incluyendo una opción de "Privacidad"/"Protección de datos" en la función de menú de la aplicación). Asimismo, la información sobre privacidad en cuestión debe ser específica de la aplicación de que se trate y no simplemente la política de privacidad genérica de la empresa propietaria de la aplicación o responsable de su puesta a disposición del público".

Y posteriormente, las Directrices del GT29, tras referirse a la información exigida por los artículos 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016), concretan en su §26 el momento en que debe facilitarse la información cuando los datos provengan del propio interesado, indicando que dicho artículo, que exige que la información se facilite "en la fase inicial del ciclo del tratamiento" será de aplicación a los datos personales que "un interesado ha facilitado conscientemente a un responsable del tratamiento (p. ej., al rellenar un formulario en línea); o un responsable del tratamiento obtiene de un interesado mediante observación (p. ej., utilizando dispositivos automáticos de captura de datos o programas informáticos de captura de datos, como por ejemplo cámaras, equipos de red, localización por wifi, RFID u otros tipos de sensores)". Asimismo, se añade en la nota al pie nº 30, en relación con el concepto de fase inicial del ciclo del tratamiento que "[s]i el fin incluye la creación de datos personales inferidos, siempre debe comunicarse al interesado el fin previsto de la creación y ulterior tratamiento de tales datos personales inferidos, así como las categorías de los datos inferidos tratados en el momento de la recogida o antes del tratamiento ulterior con un nuevo fin conforme al artículo 13, apartado 3, o al artículo 14, apartado 4".

En consecuencia, de lo establecido en el propio RGPD y de la interpretación que al mismo otorgan las Directrices del GT29 se desprende que el principio de transparencia se materializa en el cumplimiento de las obligaciones de información previstas en los artículos 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016), que deberá facilitarse a los interesados al comienzo del ciclo del tratamiento (en particular, en el caso de las Apps al tiempo de procederse a su descarga, permaneciendo accesible al interesado durante toda la vida del tratamiento de una forma sencilla).

Las Directrices del GT29 se refieren asimismo a la posible necesidad de que la información haya de completarse en un momento posterior, pero dicha exigencia, conforme indican los §29 y ss. se refiere a los supuestos en los que se produzcan cambios en el tratamiento que exigirán la modificación de los términos contenidos en la información facilitada a los interesados, debiendo además el responsable del tratamiento adoptar medidas para que aquéllos conozcan que los cambios han tenido lugar.

Finalmente, se prevé la posible inclusión de información adicional a la establecida en el artículo 39 del RGPD (LA LEY 6637/2016), el §42 de las Directrices del GT29 se refiere a esta cuestión, pero sin referirse a un deber de información continua acerca del tratamiento, pretendido en la Resolución Recurrida y ratificado por la Sentencia Recurrida, sino a la posibilidad de que el responsable del tratamiento añada a la información exigida por los artículos 13 y 14 otras informaciones adicionales, tales como las relativas a las evaluaciones de impacto realizadas en el tratamiento o la adhesión a un código de conducta. Y ello "como forma de reforzar la confianza en las operaciones de tratamiento y de demostrar transparencia y responsabilidad proactiva, aunque esta publicación no es de carácter obligatorio".

Sobre la interpretación del artículo 5.1 a) del RGPD (LA LEY 6637/2016) efectuada por la Sentencia Recurrida.

La sentencia considera que el principio de transparencia exige no sólo informar al interesado en el momento de inicio del ciclo del tratamiento, sino también de forma continuada y constante a lo largo del mismo en cada momento en que tenga lugar una recogida material de los datos personales. En el supuesto analizado, ello se materializaría en la obligación de que el dispositivo móvil del usuario en que se haya instalado la App de LaLiga informe al interesado, mediante un icono, acerca de la activación del micrófono. Entiende la Sentencia Recurrida que sólo así se asegura que el interesado tiene efectivo conocimiento del tratamiento efectuado.

No se discute que LaLiga dé pleno cumplimiento a lo exigido, en este caso, por el artículo 13 del RGPD (LA LEY 6637/2016), que se considera cumplido, sino que se indica que esta información es insuficiente y debe completarse con un aviso específico en cada concreta recogida de datos personales. Y ello, pese a que la información facilitada por LaLiga, y cuyo acceso es continuo a través de un enlace incluido en la propia App, no sólo incorpora la información exigida por el RGPD, sino que ofrece información adicional y detallada acerca (i) del momento concreto en que se produciría la recogida de los datos -la celebración de encuentros relativos a competiciones gestionadas por LaLiga-; (ii) del modo en que se realiza el tratamiento; (iii) de las medidas adoptadas para la conversión de los sonidos en una huella que no permita identificar al interesado; o (iv) de las restantes medidas técnicas adoptadas para preservar el derecho del usuario a la protección de sus datos personales.

A juicio de LaLiga, la AEPD ha realizado una interpretación de la normativa reguladora del derecho a la protección de datos que excede el contenido de la misma y supone la exigencia a aquélla de obligaciones que no se prevén ni en el RGPD ni en la LOPDGDD (LA LEY 19303/2018), sobre la base de un criterio, el carácter "extraordinario" del tratamiento, no regulado en ningún precepto de tales normas, imponiendo a LaLiga una sanción por el incumplimiento de esas obligaciones no contempladas en el RGPD.

Por ello, solicita se fije la siguiente doctrina casacional:

1. En los supuestos en que se proceda a la recogida de datos personales de los usuarios de Apps instaladas en teléfonos móviles y dispositivos similares, el principio de transparencia, consagrado por el artículo 5.1 a) del RGPD (LA LEY 6637/2016), debe considerarse cumplido en caso de que el responsable del tratamiento haya facilitado a los usuarios en el momento en que se produce la descarga de la App la información establecida en el artículo 13 del RGPD (LA LEY 6637/2016), sin que el citado Reglamento imponga la exigencia de informar a aquéllos de determinados aspectos del tratamiento en cada momento en que se produzca efectivamente la recogida de datos personales.

2. Las autoridades de protección de datos a las que se refiere el Capítulo IV del RGPD no pueden establecer exigencias adicionales a las establecidas en el citado Reglamento ni efectuar una interpretación de sus disposiciones que exceda de lo exigido por el mismo, ejerciendo la potestad sancionadora como consecuencia de dicha interpretación, sin perjuicio de la potestad de emitir recomendaciones y buenas prácticas encaminadas a reforzar las garantías del derecho a la protección de datos.

3. Que no puede iniciarse un procedimiento sancionador y resolverse sin que el afectado conozca el criterio que conforma el tipo y que la sanción impuesta conforme a este criterio es nula de pleno derecho.

Y suplica de este Tribunal se dicte Sentencia por la que estime el Recurso de Casación y case la Sentencia Recurrida, anulándola y dejándola sin efecto, con condena en costas a la parte demandada.

CUARTO. El Abogado del Estado se opone al recurso de casación.

Considera que si bien es cierto que principio de transparencia reconocido en el art. 5.1.a) RGPD (LA LEY 6637/2016), está vinculado a la información que ha de darse a los interesados ello no significa que la información que debe suministrarse según el art. 13 RGPD (LA LEY 6637/2016) esté completamente definida en cuanto a su alcance, ni que las Directrices del GT29 agoten todas las posibilidades interpretativas, como si pudiera prescindirse del examen de cada caso concreto, cuyas circunstancias que pueden ser determinantes para fijar el alcance de la información a facilitar en un caso concreto.

La transparencia, en cuanto concepto jurídico indeterminado no puede agotarse en una enumeración genérica y descriptiva de la información, sino que cuando sea necesario, habrá de modularse en virtud de las circunstancias.

Por otra parte, el art. 13 RGPD (LA LEY 6637/2016) detalla la información que debe facilitarse al interesado "en el momento en que estos [los datos personales] se obtengan".

Es claro que las Directrices prevén que el responsable tenga en cuenta todas las circunstancias de la recogida y tratamiento de datos a la hora de decidir la modalidad y formato oportunos del suministro de información. Puede pensarse, por tanto, en exigencias derivadas de las circunstancias del caso, y en la necesidad de adaptarse a los problemas que pueden surgirles a los usuarios (de ahí la conveniencia de los ensayos).

Y respecto al momento en que ha de facilitarse la información las Directrices no son, en este punto, tan concluyentes como pretende el interesado y corresponde en cada caso decidir en qué momento resulta más oportuno facilitar esa información. Además, el momento es aquél en que los datos se obtengan.

Por otra parte, el GT del 29 expresa en dicha comunicación (apartado 29) que [l]a obligación de actuar con responsabilidad proactiva en relación con la transparencia no solo se aplica al momento de la recogida de los datos personales, sino a lo largo del ciclo de vida del tratamiento, independientemente de la información o comunicación que se transmita. Este es el caso, por ejemplo, cuando se producen cambios en el contenido de declaraciones/avisos de privacidad existentes. En un caso como el presente, no solo es razonable, sino que parece obligado, atendidas las circunstancias, advertir al usuario de la App de que se van a captar los sonidos en el momento mismo en que se enciende el micrófono del dispositivo portátil.

Sobre la interpretación del art. 5.1.a) RGPD (LA LEY 6637/2016).

La resolución impugnada justifica la procedencia de imponer la sanción, en la medida en que la conducta sancionada resulta suficientemente predeterminada y es exigible para garantizar, en un caso como el presente, los derechos de los interesados.

Son las concretas circunstancias del tratamiento las que permiten concretar las obligaciones de información que derivan del principio de transparencia consagrado en el art. 5.1.a) RGPD (LA LEY 6637/2016).

Acerca de las competencias atribuidas a las autoridades de protección de datos en el RGPD. Si bien el responsable del tratamiento está sujeto a una responsabilidad proactiva, corresponde a las autoridades de control e independientes la determinación de cuál ha de ser la correcta forma de llevar a cabo un determinado tratamiento de datos personales.

Así, corresponde a la AEPD, en tanto que autoridad de control, establecer cómo ha de ajustarse un determinado tratamiento al RGPD, bien de una determinada manera y dentro de un plazo especificado, o incluso limitar o prohibir dicho tratamiento. Dentro de dichos poderes está por lo tanto o el determinar cómo ha de llevarse a cabo un determinado tratamiento, incluyendo como ha de ajustarse este al principio de transparencia (art. 5.1.a) RGPD (LA LEY 6637/2016)) pues no hay que olvidar que la razón de ser fundamental de la normativa de protección de datos, tal y como establece el art. 1.1 RGPD (LA LEY 6637/2016), es salvaguardar la protección de las personas físicas en lo que respecta al tratamiento de los datos personales, por lo que la protección del derecho fundamental de las personas físicas al tratamiento de sus datos personales habrá de tener vis expansiva e interpretarse de manera amplia.

No puede hablarse de la tipificación de la conducta sobre la base de un criterio interpretativo posterior porque el deber de informar en el momento en que entra en funcionamiento el micrófono se imponía con suficiente evidencia y no podía desconocerse por la Laliga.

Los artículos 5, 12 y 13 RGPG, dan cabida a la posible adaptación de los requisitos exigibles, en particular respecto del momento en que ha de facilitarse la información, imponiendo su necesidad con evidencia suficiente para que no puedan entenderse infringidos los principios de legalidad y tipicidad.

La interpretación realizada por la AEPD no puede considerarse sorpresiva y no es contraria al principio de seguridad jurídica. Valorando las circunstancias del caso puede llegarse, con un elevado grado de certeza, a la conclusión de que era necesaria la información al interesado en el momento de la conexión del micrófono, sin que esa exigencia implique un plus de cumplimiento, sino que deriva, como afirma la Sala de instancia, de una interpretación razonable de la norma, respecto de la que no se aprecia la existencia de error o arbitrariedad.

Es la singularidad del caso la que exige o impone un deber singular de transparencia y es por eso que tampoco podemos compartir la afirmación de la recurrente que sostiene que las obligaciones adicionales impuesta a LaLiga "serían exigibles a cualquier tratamiento en que se produzca una recogida de datos posterior al momento inicial del mismo".

El RGPD no ha limitado las funciones o competencias de las autoridades de control independientes a ser un mero órgano sancionador, sino que le ha atribuido directamente la facultad de determinar cuáles son los criterios de aplicación de la normativa de protección de datos, de manera que si bien el responsable del tratamiento está sujeto a una responsabilidad proactiva, corresponde a las autoridades de control e independientes la determinación de cuál ha de ser la correcta forma de llevar a cabo un determinado tratamiento de datos personales.

Así, corresponde a la AEPD, en tanto que autoridad de control, establecer cómo ha de ajustarse un determinado tratamiento al RGPD, bien de una determinada manera y dentro de un plazo especificado, o incluso limitar o prohibir dicho tratamiento

En cuanto a potestad de imponer una "multa administrativa", a que se hace referencia en la letra i) del apartado 2 de dicho art. 58 RGPD (LA LEY 6637/2016), dicha posibilidad la permite el RGPD además de, o en lugar de, las medidas mencionadas en el presente apartado 2 del art. 58, lo que significa que en función de las circunstancias las autoridades de control podrán imponer multas administrativas, utilizar otro u otros de los poderes correctivos mencionados en dicho apartado 2 del art. 58 RGPD (LA LEY 6637/2016), o combinar ambos.

En el presente caso, la AEPD ha combinado la determinación de cómo se ha de llevar a cabo un determinado tratamiento de datos personales (se impone al responsable establecer un recordatorio de que se está llevando a cabo efectivamente dicho tratamiento), y cuándo ha de llevarse a cabo dicho recordatorio (durante los momentos en que dicha funcionalidad está activada; lo que conforme al recurrente ocurre sólo durante los partidos de fútbol organizados por laLiga).

QUINTO. Quedaron las actuaciones pendientes de señalamiento para votación y fallo, fijándose al efecto el día 25 de junio de 2024, en cuyo acto tuvo lugar, habiéndose observado las formalidades legales referentes al procedimiento.

FUNDAMENTOS DE DERECHO

PRIMERO. El presente recurso de casación impugna la sentencia de la Sala de lo Contencioso-administrativo de la Audiencia Nacional de 11 de octubre de 2021 (rec. 1410/2019 (LA LEY 327583/2021)) que desestimó el recurso interpuesto por la Liga Nacional de Futbol Profesional contra la resolución de 10 de junio de 2019 dictada por la Agencia de Protección de Datos (LA LEY 1025/2019) por la que se impuso a la Liga una multa de 250.000 € por la infracción del artículo 5.1.a) del Reglamento (UE) 2016/679 (LA LEY 6637/2016) de Parlamento Europeo y del Consejo de 27 de abril de 2016.

En fecha 8 de junio de 2018, se publicó en el Play Store de Google una actualización de la aplicación oficial La Liga (en adelante, "la App" o "la aplicación").

Dicha App permitía informar a los usuarios que la descarguen e instalen en sus dispositivos móviles de diferentes cuestiones relativas a las competiciones de fútbol organizadas por LaLiga. La actualización de la App permitía detectar explotaciones fraudulentas de los contenidos audiovisuales comercializados en establecimientos públicos del canal HORECA que usaban una señal ilícita de los partidos de LaLiga. Para ello, era necesario utilizar las funcionalidades del micrófono y geolocalización de los dispositivos móviles de los usuarios de la App, las cuales únicamente se activaban durante las franjas horarias de partidos en los que competían equipos de LaLiga.

En las condiciones de la "Política de Privacidad" de la web www.laliga.com se facilitaba información sobre protección de datos de todos los activos digitales de LaLiga, incluida la App oficial.

En fecha 9 de junio de 2018, La Liga suspendió el uso de las Funcionalidades del micrófono y la geolocalización.

En el momento de instalación de la App se incorporaban dos casillas. En la primera de ellas el usuario debía manifestar que había leído y aceptaba las condiciones legales y la Política de Privacidad de la App, con un enlace al sitio web en que se encontraba la misma, y en la segunda se incluía la siguiente leyenda: "Haciendo clic aquí, aceptas que LaLiga trate tus datos personales, incluyendo los obtenidos por medio del micrófono de tu dispositivo móvil y el geoposicionamiento, para detectar fraudes en el consumo de futbol en establecimientos públicos no autorizados".

Asimismo, en las condiciones generales y política de privacidad, se indicaba lo siguiente, en relación con los tratamientos controvertidos: "3. USO DEL MICROFONO: [...] solo en el caso de que aceptes la casilla habilitada al efecto, así como mediante la ventana emergente que aparece en la APP, LaLiga podrá activar el micrófono de tu dispositivo para conocer si estás viendo partidos de futbol. [...]" .

Igualmente, se indica en ambos casos (micrófono y geoposicionamiento) que la finalidad del tratamiento es la detección de fraudes en establecimientos no autorizados.

En fecha 13 de septiembre de 2018, LaLiga actualizó los términos y condiciones relacionados con el tratamiento de los datos del micrófono y geolocalización, accesibles desde un hiperenlace que aparece en la propia App, introduciéndose el siguiente texto:

"A continuación, se indican las finalidades adicionales para las que LaLiga tratará sus Datos Personales, así como la base jurídica que legitima el tratamiento para cada una de ellas: [...]

ii. Para detectar fraudes en el consumo de fútbol en establecimientos públicos no autorizados. En caso de que haya aceptado la casilla específica y opcional habilitada al efecto, usted consiente el acceso y uso de las funcionalidades de micrófono y geoposicionamiento de su teléfono para que LaLiga conozca desde qué localizaciones se consume fútbol y por tanto, para detectar conductas fraudulentas de establecimientos no autorizados relativos al consumo del producto futbolístico. La activación, tanto del micrófono como del geoposicionamiento de su dispositivo móvil, requerirá la previa aceptación de la ventana emergente que se muestra al descargarte la APP.

Al activar la funcionalidad del micrófono, el Usuario queda informado de que LaLiga únicamente podrá captar fragmentos de audio codificados o "fingerprints" con el único fin de identificar la retransmisión de un partido oficial organizado por LaLiga, pudiendo la APP acceder a información a través del micrófono únicamente durante las franjas horarias de partidos en los que compitan equipos de LaLiga. Los fragmentos de audio captados se codifican en el propio teléfono de forma automática mediante un algoritmo que no permite revertir el proceso, de tal forma que una vez codificada la captación sonora efectuada por el micrófono, dicha información se convierte en información anonimizada siendo imposible su reversión. Asimismo, en caso de no marcar la casilla habilitada para ello, el usuario queda informado de que LaLiga en ningún momento podrá tratar dicha información conforme a esta finalidad.

La base legal para el tratamiento de sus datos para las finalidades anteriormente mencionadas es el artículo 6.1.a) del Reglamento General de Protección de Datos (LA LEY 6637/2016): el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. Sus datos personales serán mantenidos para estas finalidades hasta que usted no revoque su consentimiento.

Tiene derecho a retirar su consentimiento en cualquier momento conforme al procedimiento descrito en el apartado "Derechos de los usuarios", sin que ello afecte a la licitud del tratamiento basado en el consentimiento de forma previa a su retirada.

Asimismo, se incluyen en la misma las garantías de seguridad adoptadas en relación con la funcionalidad de uso del micrófono:

LaLiga ha implantado medidas técnicas específicas oportunas para proteger la privacidad del usuario si habilita la finalidad de detectar fraudes en el consumo del fútbol. A continuación, se detallan estas medidas:

Medidas relativas al uso del micrófono:

- LaLiga sólo activará el micrófono de su dispositivo móvil durante las franjas horarias de partidos en los que compitan equipos de LaLiga.

- LaLiga no accede a los fragmentos de audio captados por el micrófono del dispositivo, ya que estos se convierten de forma automática en fragmentos de audio codificados o "fingerprints" en el propio dispositivo. LaLiga sólo accede a información anonimizada, que es irreversible y no permite obtener de nuevo la grabación de audio.

- Si este código coincide con un código previo de control, LaLiga podrá saber que está viendo un partido determinado. Si no coincide, el código se elimina.

- Recordaremos periódicamente que LaLiga puede activar el micrófono y se solicitará que confirme su consentimiento.

- Para revocar su consentimiento en cualquier momento el usuario deberá acceder al Centro de Suscripciones que se encuentra en el menú de la APP o bien acceder a la pestaña de "Ajustes" de su dispositivo móvil y desactivar la opción "Micrófono"".

SEGUNDO. La presente controversia se centra, tal y como se afirmó en el Auto de admisión en interpretar el artículo 5.1 a) del Reglamento (UE) 2016/679 (LA LEY 6637/2016), del Parlamento Europeo y del Consejo de, 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)), a fin de determinar si cabe considerar suficientemente cumplido y adecuado el principio de transparencia formulado en el artículo referido en la instalación y funcionamiento de la App de La Liga, o si las autoridades de control pueden imponer requisitos adicionales más allá de lo establecido en la propia normativa aplicable.

El art. 5 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), del Parlamento Europeo y del Consejo de, 27 de abril de 2016 bajo el rotulo "Principios relativos al tratamiento" afirma que "1. Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado ("licitud, lealtad y transparencia")". Y el artículo 83.5 de dicha norma sanciona con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9.

El principio de transparencia en el tratamiento de los datos personales consagrado en el art. 5 del Reglamento de la Unión Europea de 2016 ha de ponerse en conexión las obligaciones de información que debe facilitarse al interesado establecidas en los artículos 12 (LA LEY 6637/2016), 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016). Así se desprende del considerando 39 del Reglamento en que se afirma que:

"El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. [...]

"(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice"".

Y así se confirma en el artículo 12 del Reglamento en el que se afirma "1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, [...]". Y el artículo 13 de esta misma norma establece la información que deberá facilitarse cuando los datos personales se obtengan del interesado.

En similares términos, el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018), bajo la rúbrica "transparencia e información al afectado", dispone:

"1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:

a) La identidad del responsable del tratamiento y de su representante, en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679".

Igualmente, el artículo 5.1 a) del RGPD (LA LEY 6637/2016) deberá ponerse en conexión con lo establecido en el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018) ("LOPDGDD").

En este caso, la información facilitada por LaLiga cuando se descarga por vez primera la app cumple las exigencias previstas en el RGPD e incluso ofrece información adicional y detallada acerca (i) del momento concreto en que se produciría la recogida de los datos -la celebración de encuentros relativos a competiciones gestionadas por LaLiga-; (ii) del modo en que se realiza el tratamiento; (iii) de las medidas adoptadas para la conversión de los sonidos en una huella que no permita identificar al interesado; o (iv) de las restantes medidas técnicas adoptadas para preservar el derecho del usuario a la protección de sus datos personales.

Ahora bien, la cuestión que se plantea en este caso tiene como especialidad que nos encontramos ante una aplicación que no solo recopila datos personales para su tratamiento en el momento en que se instala, coincidiendo con el momento en el que el usuario presta su consentimiento inicial, sino que las características de la app instalada permite una recopilación de datos personales del afectado de forma prolongada en el tiempo y lo hace de manera aleatoria y sin previo aviso de modo que conecta el micrófono del móvil sin requerir una nueva autorización de usuario captando el sonido ambiental existente en ese momento, cualquiera que sea el lugar en el que se encuentre.

Se trata de una función que, si bien el usuario ha tenido que aceptar expresamente cuando la instaló, al operar después de forma autónoma y sin previo aviso al usuario, tiene un impacto prolongado en su privacidad, recopilando nuevos datos a lo largo del tiempo en que la aplicación está operativa, que pueden exigir medidas adicionales de protección fuera de la información y advertencias iniciales al tiempo de instalarla.

La obligación de actuar con transparencia no solo es exigible en el momento inicial de la instalación de una aplicación sino también durante su funcionamiento, especialmente cuando se sigan recopilando datos personales del usuario a lo largo del tiempo. Por otra parte, aunque no se modifique la información sobre transparencia inicialmente proporcionada en el aviso de privacidad, es probable que los interesados, que utilizan la aplicación durante un periodo prolongado, no recuerden la información que se les facilitó inicialmente o hayan olvidado el alcance para su privacidad del consentimiento inicialmente prestado. Por ello, puede resultar necesario en estos casos exigir a los responsables del tratamiento mecanismos adicionales que permitan recordar a los interesados cuando sus datos están siendo captados y su información está siendo tratada. No debemos olvidar que el deber de información, y por ende el principio de transparencia, opera, según dispone el artículo 13 del Reglamento General de Protección de datos de la Unión Europea (LA LEY 6637/2016), cuando se obtengan de un interesado datos personales relativos a él, "en el momento en que estos se obtengan".

Es cierto que cuando la captación de datos se prolonga en el tiempo no será necesario volver a reiterar toda la información que ya se proporcionó al usuario en el momento inicial de la descarga y que este aceptó expresamente, pero se pueden establecer medidas adicionales que recuerden al usuario que sus datos están siendo recopilados.

La transparencia como principio inspirador de la actividad de tratamiento de datos personales no puede agotarse en una enumeración genérica y descriptiva de la información que ha de proporcionarse al afectado, sino que, habrá de modularse en virtud de las circunstancias concretas del tratamiento de que se trate y corresponde a la autoridad establecer cómo ha de aplicarse y ajustarse ese principio ante un determinado supuesto.

Por ello, la Agencia de Protección de Datos estaba facultada para establecer medidas adicionales que refuercen la transparencia en el tratamiento de los datos con la finalidad de salvaguardar los derechos de los usuarios. Y, coincidiendo con lo afirmado en la sentencia de la Audiencia Nacional impugnada, la existencia de un aviso específico en su móvil cada vez que se activaba el micrófono puede considerarse una medida adecuada y proporcionada al fin que se persigue, consistente en que el usuario tenga un control efectivo sobre sus datos personales.

TERCERO. Ahora bien, esta exigencia no está expresamente contemplada entre las obligaciones de información enumeradas en los artículos 12, 13 y 14 del RGP, ni se desprende del artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018). Se trata, en definitiva, de una medida adicional impuesta por la Agencia de Protección de Datos para integrar el principio de transparencia en atención a las circunstancias concretas de la aplicación de que se trata.

Por ello, aunque la medida pueda considerarse adecuada y proporcional no olvidemos que el ejercicio de la potestad sancionadora se rige por el principio de previsibilidad, en cuya virtud no es posible sancionar una conducta si previamente no es previsible utilizando una diligencia media.

La tipificación supone la presencia de una lex certa que permita "predecir con suficiente grado de certeza las conductas infractoras y se sepa a qué atenerse en cuanto a la aneja responsabilidad y a la eventual sanción" ( STC 61/1990, de 29 de marzo (LA LEY 1474-TC/1990)). La suficiencia de la tipificación es una exigencia de la seguridad jurídica y se concreta no en la certeza absoluta sino en la predicción razonable de las consecuencias jurídicas de la conducta.

El ciudadano debe conocer con antelación que su conducta constituye una infracción y la respuesta punitiva que se establece a dicha conducta. El Tribunal Constitucional no ha descartado que el tipo pueda incluir principios o conceptos jurídicos indeterminados "siempre que su concreción sea razonablemente factible en virtud de criterios lógicos, técnicos o de experiencia y permitan prever, por consiguiente, con suficiente seguridad, la naturaleza y las características esenciales de las conductas constitutivas de la infracción tipificada, pues, como ha declarado este Tribunal en reiteradas ocasiones (STC 62/1982, de 15 de octubre (LA LEY 7232-JF/0000), ATC 703/1985, de 16 de octubre (LA LEY 1215/1985), entre otras resoluciones), dado que los conceptos legales no pueden alcanzar, por impedirlo la propia naturaleza de las cosas, una claridad y precisión absolutas, por lo que es necesario en ocasiones un margen de indeterminación en la formulación de los tipos ilícitos que no entra en conflicto con el principio de legalidad, en tanto no aboque a una inseguridad jurídica insuperable con arreglo a los criterios interpretativos antes enunciados" ( STC 69/1989, de 20 de abril (LA LEY 1265/1989)).

En el supuesto que nos ocupa, el tipo aplicado es el previsto en el artículo 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos personales (LA LEY 19303/2018) que considera infracción muy grave "a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679", más concretamente la conducta sancionada lo es por infringir el principio de transparencia en el tratamiento de los datos.

En definitiva, la norma utiliza un principio -el "transparencia"- como exigencia para el tratamiento de datos personales, y la autoridad de control, al tiempo de delimitar el concreto alcance de este principio, dispone de un cierto margen de actuación que permitan adecuarlo a las concretas circunstancias concurrentes, pero ni le está permitido crear una infracción supliendo imprecisiones de la norma ni extender el alcance de la exigencia a limites que no era previsible suponer en el momento en que se realizaron las conductas.

En el caso que nos ocupa, y a tendiendo a los datos de que disponía la Laliga Nacional de Futbol Profesional cuando desarrolló y comercializó esta aplicación, no era razonable dar por sentado que el principio de transparencia exigía que apareciese un aviso cada vez que la aplicación activase el micrófono del móvil. De hecho, la recurrente recuerda, de forma oportuna, los supuestos relacionados con el uso de cookies y dispositivos similares que proporciona información sobre el usuario de forma prolongada en el tiempo pese a que solo se recaba el consentimiento al ingresar la página.

La imposición de una sanción, basándose en la integración que del principio de transparencia realiza el órgano de control con un alcance que no conocía previamente el infractor, ni era razonable que lo hiciese, no es compatible con una correcta utilización de la potestad sancionadora. Si bien a la Agencia de Protección de Datos puede precisar el alcance del principio de transparencia e incluso requerir mecanismos adicionales de garantía atendiendo a las circunstancias concurrentes, ello no permite sancionar directamente una conducta por el incumplimiento de garantías que se concretaron a posteriori y que no eran previsibles en el momento en que se realizaron las conductas sancionadas. La Agencia en uso de estas facultades debería de haber dirigido un requerimiento previo al operador para que acomodase su conducta a las exigencias que se consideraban necesarias.

Por todo ello procede anular la sentencia impugnada y la sanción impuesta.

CUARTO. Doctrina jurisprudencial que se establece en respuesta a las cuestiones planteadas en el auto de admisión del recurso de casación.

En respuesta a la cuestión de interés casacional planteada debe afirmarse que la Agencia de Protección de Datos está facultada para establecer medidas que refuercen la transparencia en el tratamiento de los datos con la finalidad de salvaguardar los derechos de los usuarios.

La transparencia como principio inspirador de la actividad de tratamiento de datos personales no puede agotarse en una enumeración genérica y descriptiva de la información que ha de proporcionarse al afectado, sino que, habrá de modularse en virtud de las circunstancias concretas del tratamiento de que se trate y corresponde a la autoridad establecer cómo ha de aplicarse y ajustarse ese principio ante un determinado supuesto.

La obligación de actuar con transparencia no solo es exigible en el momento inicial de la instalación de una aplicación sino también durante su funcionamiento, especialmente cuando se sigan recopilando datos personales del usuario a lo largo del tiempo. Por otra parte, aunque no se modifique la información sobre transparencia inicialmente proporcionada en el aviso de privacidad, es probable que los interesados que utilizan la aplicación durante un periodo prolongado no recuerden la información que se les facilitó inicialmente o hayan olvidado el alcance para su privacidad del consentimiento inicialmente prestado. En estos casos, puede resultar necesario exigir a los responsables del tratamiento mecanismos adicionales que permitan recordar a los interesados cuando sus datos están siendo captados y su información está siendo tratada.

Si bien a la Agencia de Protección de Datos puede precisar el alcance del principio de transparencia e incluso requerir mecanismos adicionales de garantía atendiendo a las circunstancias concurrentes, ello no permite sancionar directamente una conducta por el incumplimiento de garantías que se concretaron a posteriori y que no eran previsibles en el momento en que se realizaron las conductas sancionadas. La Agencia en uso de estas facultades debería de haber dirigido un requerimiento previo al operador para que acomodase su conducta a las exigencias que se consideraban necesarias.

QUINTO. Costas.

De conformidad con lo dispuesto en el art 93.4 LJ por lo que respecta a las costas del recurso de casación, cada parte abonará las costas causadas a su instancia y las comunes por mitad sin que se aprecien razones de temeridad o mala fe en el presente litigio que justifiquen la imposición de las costas a ninguna de las partes intervinientes.

Por lo que respecta a las costas de instancia no se imponen a ninguna de las partes litigantes dado que se considera que el caso presentaba serias dudas de derecho en torno a la interpretación del principio de transparencia y el alcance de las facultades de la Agencia de Protección de datos en relación con aplicaciones que recopilan y tratan datos personales cada vez que se utilice la misma.

FALLO

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta Sala ha decidido de acuerdo con la interpretación de las normas establecida en el fundamento jurídico cuarto:

1º Estimar el recurso de casación interpuesto por la Liga Nacional de Futbol Profesional, contra la sentencia de la Sala de lo Contencioso-administrativo de la Audiencia Nacional de 11 de octubre de 2021 (rec. 1410/2019 (LA LEY 327583/2021)) que se casa y anula.

2º Estimar el recurso contencioso-administrativo interpuesto por La liga Nacional de Futbol profesional contra la resolución de 10 de junio de 2019 de la Agencia de Protección de Datos (LA LEY 1025/2019) por la que se impuso a la Liga Nacional de Futbol Profesional una multa de 250.000 €, sanción que se anula.

3º No imponer las costas de casación ni las costas de instancia a ninguna de las partes litigantes.

Notifíquese esta resolución a las partes e insértese en la colección legislativa.

Así se acuerda y firma.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll