La resolución dictada en el procedimiento sancionador número de PS/00326/2018 (LA LEY 1025/2019), en adelante «la Resolución», está llamada sin duda a despertar fuertes controversias. Ello se debe a que comporta una visión tan innovadora como restrictiva. Y sobre todo a que potencialmente podría producir un efecto determinante sobre la industria del desarrollo de aplicaciones móviles. Una lectura atenta del documento permite identificar sin duda criterios de desarrollo deducibles de «Opinions» y «Guidelines» del Working Party, hoy European Data Protection Board (EDPB).
Sin embargo, cabe subrayar el término «deducibles». Algunas de las propuestas que derivan de la Resolución habían sido intuidas por al menos uno de los despachos de abogados que apoyaron el desarrollo. Pero el nivel de precisión y rigor de la AEPD están al alcance de muy pocos expertos. En este sentido, cabe plantearse hasta qué punto la industria de las aplicaciones móviles podrá digerir la Resolución. El ecosistema APPS es global y, a buen seguro, existen decenas de casos comparables. Por lo que, sin duda, habida cuenta de la aplicabilidad del RGPD a los servicios de la sociedad de la información, debería producir un efecto global. Por otra parte, hablamos de una estructura empresarial generalmente débil integrada por jóvenes emprendedores con diseños de bajo coste que se desarrollan en un ambiente de celeridad, ya que hay que ser el primero en llegar al market con un APP innovadora. No son empresas que puedan contratar asesoramientos de alta intensidad.
Por todo ello, la Resolución podría conducir a un doble efecto ya conocido en las políticas de carácter sancionador. En primer lugar, al efecto mancha de aceite. Por mera proximidad muchos desarrolladores modificarán sus aplicaciones a la mayor celeridad posible integrando las lecciones aprendidas. Sin embargo, este efecto aleccionador se suele limitar a una aplicación lineal y acrítica de lo planteado por el regulador que adquiere fuerza de ley. Así que no lo duden, haya riesgo o no, sea necesario o no, en un futuro próximo los iconos de aviso de funcionamiento de audio o geolocalización serán una realidad. Pero cabe preguntarse, si esto implica necesariamente una mejora por cuanto se corre el riesgo de consolidar un modelo de garrotazo y tente tieso. Se sigue con una aproximación autoritativa a las condiciones de aplicación de la norma. La realidad de los hechos demuestra cómo meras recomendaciones y guías de las autoridades de protección de datos deben ser entendidas como un Hard Law que, a diferencia del texto articulado de una Ley, ofrece una enorme amplitud de posibilidades interpretativas. Y ello nos conduce al segundo efecto de este tipo de política sancionadora. Las pequeñas empresas, y los futuros emprendedores se acaban retirando de un mercado en el que la contundencia del regulador opera en sí mismo como barrera. No existe una Guía de Desarrollo de Aplicaciones móviles del regulador (1) y en estos momentos el nivel de incertidumbre de la industria PYME de las aplicaciones móviles debe vivir en la zozobra.
No se discute la necesidad de articular mecanismos de defensa y garantía de los derechos fundamentales ante usos invasivos de la vida privada
No se discute en absoluto la necesidad de articular mecanismos de defensa y garantía de los derechos fundamentales ante usos invasivos de la vida privada que pueden afectar significativamente a nuestros derechos fundamentales. En este sentido, como defendimos en un artículo reciente en esta misma publicación (2) , la captación de sonidos en entornos domésticos o de carácter privado que afectan a conversaciones puede impactar no sólo en el derecho fundamental a la protección de datos sino también en otros ámbitos de la esfera privada de las personas.
Sin embargo, no es menos cierto que las competencias de la Agencia Española de Protección de Datos, no alcanzan a la tutela de los derechos a la intimidad, al honor, a la propia imagen el secreto de las comunicaciones o la inviolabilidad del domicilio. Esta carencia de competencias, no significa en ningún caso que el regulador pueda utilizar el instrumento de la protección de datos, como ya se dicho en tantas ocasiones como una suerte de agujero negro que atraiga todo el artículo 18 de la Constitución Española (LA LEY 2500/1978) a su horizonte de sucesos. Y, debe reconocerse que, aunque en este asunto el alcance de las repercusiones del uso de la aplicación móvil de La Liga puedan ir más allá del derecho fundamental a la protección de datos, el regulador no excede su marco de competencias.
Ello no implica, que, desde la libertad de investigación del autor, sea necesario alertar de un aspecto relevante. El asunto reviste una enorme gravedad, teniendo en cuenta que el responsable afirmó que era incapaz de geolocalizar con precisión y, por tanto, —y disculpe el lector la ordinariez—, de saber sin un partido veraniego se está viendo en el bar del pueblo o se activa el audio del móvil en el dormitorio de una pareja.
Centrados en la garantía del derecho fundamental a la protección de datos, cabe reconocer que la autoridad realiza una interpretación ciertamente progresiva, cuando no extensiva, de las previsiones del RGPD. De un lado, mantiene ciertas posiciones históricas en torno al concepto de dato de carácter personal como la consideración del número IP (3) y a la práctica exclusión de la posibilidad de la existencia de datos anonimizados (4) . De otro, ofrece un entendimiento de los principios de lealtad y trasparencia que, de la mano de una interpretación literal de los tiempos verbales, convierte del deber de información en una obligación que deja de ser puntual para convertirse en de tracto continuado bajo ciertas condiciones. Es decir, para ciertos tratamientos, caracterizados tecnológicamente, la autoridad considera que informar es un deber que debe reiterarse prácticamente con cada tratamiento.
I.
LOS HECHOS
La Resolución trae su causa de una aplicación móvil appLALIGA que incluye distintas funcionalidades entre las cuales resulta relevante para el asunto la función «¡protege tu equipo!». Esta funcionalidad permite a la Liga obtener información por medio del micrófono del dispositivo móvil y datos de geo-posicionamiento para detectar fraudes en el consumo de fútbol en establecimientos públicos.
Según la Resolución durante el proceso de inspección se constatan ciertas rutinas de funcionamiento de la APP:
-
▪ En el proceso de instalación se asigna un identificador que vincula a la IP del dispositivo.
-
▪ No existen pantallas emergentes independientes para solicitar los permisos para grabar audio de modo que durante su funcionamiento la aplicación no informa que estos permisos se encuentren activados.
-
▪ La grabación se produce en dos pasos. El dispositivo obtiene audio que después se transforma en códigos binarios a partir de fragmentos de audio que mediante técnicas de reconocimiento automático generan una huella digital que es objeto de contraste con muestras de comparación de los que disponen las empresas que prestan soporte a la Liga. El objetivo al parecer no consiste tanto en obtener conversaciones comunes cómo en extraer unas muestras de señal que permitan una comparativa que identifique el ambiente propio de un local donde se está reproduciendo un partido por una pantalla. Esta información junto con la geolocalización se cruza con una lista de ubicaciones de locales y pagos de licencias.
-
▪ La información sobre ubicación no recoge el parámetro de altura, por tanto, es perfectamente posible que por tanto no se es capaz de distinguir si el terminal móvil se encuentra en un local ubicado en la planta baja o en una vivienda privada situada en cualquier otra altura.
-
▪ La Liga declara haberse comprometido a activar estos registros de audio únicamente en los momentos de emisión de los partidos información que no figura según la Inspección, ni en la información relativa a la activación del micrófono ni en la relativa a la geolocalización.
-
▪ En el cumplimiento del principio de protección de datos desde el diseño y por defecto la Liga encargó sendos informes a despachos de abogados, Y al menos en uno de ellos se establecía como salvaguarda la necesidad de adoptar medidas de información al usuario para activar las funcionalidades descrita.
-
▪ La liga considera que este tipo de captación de sonidos no es intensiva, no se produce «a gran escala. Su objetivo no es tratar los datos del conjunto de los usuarios de la aplicación móvil sino de una muestra de hasta 50.000.
-
▪ El usuario puede revocar su consentimiento en cualquier momento, pero debe hacerlo a partir de los permisos del sistema operativo de su dispositivo móvil.
II.
LAS ALEGACIONES
La Liga considera en relación con los hechos y la propuesta de Resolución que:
-
▪ Los datos han sido anonimizados. La Liga ha actuado de acuerdo con el principio de responsabilidad proactiva en la medida en que no sólo ha tenido en cuenta la limitación del potencial de los datos a tratar, sino que incluso ha procurado transformar potenciales datos en registros informatizados que no son reversibles y que por tanto no permiten identificar el contenido de las conversaciones o de los sonidos captados.
-
▪ El sistema de consentimiento y de su revocación es válido ya que puede bloquearse desde los permisos del sistema operativo.
-
▪ El sistema operativo muestra información la barra de notificaciones cuando se accede a la geolocalización.
-
▪ El tratamiento de los datos es limitado tanto por el volumen, como por la técnica empleada. Así, por ejemplo, la geolocalización no sitúa de modo exacto a la persona en el territorio, sino que se transforma en los resultados obtenidos en lo que se denomina página como mapa de calor, es decir un escenario orientativo de la potencial ubicación.
-
▪ Para cumplir con el deber de transparencia basta con informar por capas durante el proceso de descarga mediante y no es necesario informar cuando se produzca cada operación del tratamiento. Por otra parte, no puede deducirse del artículo 13 RGPD (LA LEY 6637/2016) ni del 11. LOPDGDD (LA LEY 19303/2018) una profundidad tal en la información como para alcanzar a aspectos relacionados con funcionalidades específicas que se active en cada ocasión que se realiza el tratamiento. La utilización de iconos en estos momentos es facultativa y depende de su desarrollo por la Unión Europea.
-
▪ Se persigue una finalidad legítima, la persecución del fraude. Por otra parte, se entiende válido el tratamiento de datos con finalidades diferentes a la principal siempre y cuando se obtengan los debidos consentimientos.
-
▪ La revocación del consentimiento la incluye una funcionalidad denominada Centro de suscripciones.
-
▪ No existe obligación de realizar grabaciones de impacto no se produce un tratamiento de datos significativo en cuanto a volumen de usuarios ya que únicamente podría afectar a un máximo de 50.000 personas del total de los usuarios potenciales de la aplicación
III.
EL CRITERIO DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
1.
Se tratan datos personales
Según el criterio de la Agencia Española de Protección de Datos, se produce un tratamiento de datos personales:
El usuario ha dado su consentimiento para que LALIGA pueda tratar la información obtenida a través del micrófono, por lo que, en el primer estadio del conjunto del proceso, se puede afirmar que, si la captación se produce durante una conversación donde se indican datos de carácter personal, estaremos ante una captación o recogida de datos de carácter personal y, por tanto, ante un tratamiento de datos personales. (5)
(…)
Asimismo, se puso de manifiesto en la inspección realizada en fecha de 22/06/2018 (la inspección en lo sucesivo) que se sometían a tratamiento la siguiente información cuando se activa la funcionalidad de micrófono y geoposicionamiento en la aplicación: la huella digital fruto de la conversión del audio, la dirección IP del dispositivo, un Identificador específico que asigna la aplicación al usuario y el user agent, y todo ello se transmitía, para su cotejo ( a los servidores de LA EMPRESA 1) con otra huella digital de la emisión de un partido de futbol a tiempo real.
(…)
Toda esta información ha de considerarse dato de carácter personal, y su procesamiento, encaja en las acciones que en la definición del apartado 2 del artículo 4 del RGPD (LA LEY 6637/2016), se instituyen en tratamiento.
En esencia, el regulador mantiene una posición tradicional que no merece mayor comentario. Sin embargo, resulta extraordinariamente interesante su posicionamiento en relación con los procesos de anonimización. En primer lugar, por cuanto se alinea con el Working Party al integrar la anonimización de algún modo en el concepto de tratamiento. Para el regulador «el proceso de conversión en huella digital constituye en sí mismo una de las fases del tratamiento global, que comienza a producirse desde la recogida de la información, con independencia del procesado posterior, y finalmente el envío o comunicación para su cotejo». En este sentido, se enfoca la cuestión desde los mismos parámetros del Working Party en el Dictamen 5/2014:
«A la luz de la Directiva 95/46/CE (LA LEY 5793/1995) y de otros instrumentos jurídicos pertinentes de la UE, la anonimización es el resultado de un tratamiento de los datos personales realizado para evitar de forma irreversible su identificación. En este proceso, los responsables del tratamiento deben considerar distintos aspectos y valorar todos los medios que puedan utilizarse "razonablemente" para la identificación de los datos (ya sea por el responsable del tratamiento o por terceros).
La anonimización implica un tratamiento posterior de los datos personales. Por tanto, debe satisfacer el requisito de compatibilidad teniendo en cuenta las circunstancias y los fundamentos jurídicos de dicho tratamiento. Por otra parte, aunque los datos anonimizados se encuentren fuera del alcance de la legislación sobre protección de datos, es posible que los interesados tengan derecho a protección en virtud de otras disposiciones legales (como las que protegen la confidencialidad de las comunicaciones)».
La AEPD, considerando la definición de tratamiento del RGPD, entiende que existe tratamiento en la recogida del audio
La AEPD, considerando la definición de tratamiento del RGPD, entiende que existe tratamiento en la recogida del audio con independencia de que con posterioridad se realice una conversión en un formato de archivo con una naturaleza distinta. De hecho, y aquí la coherencia con la posición del Working Party, la propia conversión comporta una segunda fase del tratamiento.
Por otra parte, existen tratamientos en la vinculación con la IP del dispositivo del usuario en el que se instala la aplicación móvil al que se le asigna durante el proceso de gestión un identificador interno si bien no se produce nunca una desaparición de la IP inicial. El elemento relevante para el regulador es el de la identificabilidad mediante singularización. Esta postura, trae su causa de nuevo de un documento del Working Party, el Dictamen 4/2007 (6) . En ese dictamen se señala que la posibilidad de identificar un sujeto siquiera indirectamente convierte al tratamiento en un dato de carácter personal. En palabras de la Agencia Española de Protección de Datos:
debe indicarse que la singularización no es sino una modalidad de identificación. Con la información que se envía se permite realizar un perfil inequívoco de un usuario y que se puede diferenciar objetivamente de otro, es decir, se puede aislar y extraer determinada información, diferenciarla de otra, y atribuir unas consecuencias (sin que sea necesario conocer términos referidos, por ejemplo, al nombre, apellidos, dirección de correo, Nick o alias de registro). Lo relevante es la capacidad de poder distinguir ese conjunto de información de otro, para lo cual, primero hemos realizado una identificación, sin la cual no tendríamos términos comparativos para poder hacer dicha distinción, y atribuirle determinados efectos a la misma: en este caso determinar si el usuario está en un local o establecimiento dónde se emiten partidos de fútbol de equipos de La Liga Nacional de Futbol Profesional. y tras el proceso oportuno, conocer si dicho establecimiento emite el encuentro con la correspondiente licencia.
En conclusión, la Agencia mantiene que el riesgo de singularización es suficiente para considerar que no se ha producido una anonimización irreversible de los datos.
2.
Un deber de transparencia dinámico
En el punto sexto de la Resolución, la autoridad de protección de datos trata de contextualizar el principio de transparencia en relación con la naturaleza específica del tratamiento que se está realizando con invocación expresa de los Considerandos 39 (LA LEY 6637/2016) y 60 del Reglamento General de Protección de Datos (LA LEY 6637/2016). La cuestión verdaderamente relevante es de pura semántica. En este sentido el Considerando señala:
(…) Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. (…) (El subrayado es de la Agencia Española de Protección de Datos).
Y (…) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. (…) (El subrayado es de la Agencia Española de Protección de Datos).
Como puede observarse, el texto del Considerando 39 utiliza verbos en su forma presente, de modo que en el momento en el que se están recogiendo, utilizando, consultando o tratando la información captada por el micrófono y la geolocalización, — que obviamente no sucede cuando se instala la aplicación y se aceptan los tratamientos en un primer momento— se hace necesario esa información adicional, como podría ser, por ejemplo, una viso en forma de icono o marca, que permitiera al usuario conocer ese tratamiento «a tiempo real», que serviría para complementar la información que se recibió inicialmente, habida cuenta del contexto especifico en el que se trata la información ( Co. 60).
Aunque incorrectamente expresado, —ya que el gerundio debe denotar siempre acción simultánea o anterior a la del verbo principal—, lo que parece indicar el regulador es que debe existir una simultaneidad entre el proceso de tratamiento y el proceso de información. Es decir, que en lugar de una información previa válida para todo el ciclo de vida de aquél se exige que la transparencia sea inmediatamente anterior a cada activación del micrófono. Para completar su posicionamiento la AEPD presume que las condiciones de la aplicación no tienen por qué ser las mismas cuando se descargan y aceptan que en ese momento posterior.
El regulador añade un fundamento adicional para justificar este proceso dinámico de transparencia: las limitadas capacidades de la memoria humana en relación con el desfase temporal entre recogida y tratamiento.
(…) los dispositivos móviles (tablets y smartphones) son dispositivos que se caracterizan por sus múltiples funcionalidades, ya que son ampliamente utilizados tanto como teléfonos, agendas, cámaras, así como para el acceso a Internet. Además, la posibilidad de instalación de aplicaciones en estos dispositivos amplía prácticamente sin límite estas funcionalidades, haciendo muy difícil al usuario recordar todos los consentimientos o permisos que ha otorgado en cada una de las aplicaciones instaladas, así como su gestión.
Siendo los teléfonos móviles dispositivos que sus usuarios acostumbran a portar con ellos de forma continua y generalizada, el hecho de la posible activación del micrófono y de la ubicación de estos dispositivos puede llevar a generar situaciones de alarma entre los usuarios, que entienden que pueden estar siendo vigilados en todo momento. Ello intensifica la necesidad de facilitarles información complementaria para garantizar un tratamiento transparente, que debería incluir el alcance de dicho tratamiento (cómo y cuándo), e informar «a tiempo real» que se está utilizando el micrófono y la geolocalización.
(…)
En segundo término, como se ha indicado antes, debe tomarse en consideración que estamos ante un tratamiento que no se produce inmediatamente después de prestar el consentimiento, sino que la recogida de los datos, y las restantes acciones objeto de tratamiento pueden llevarse a cabo, con muy alta probabilidad, en un momento separado en el tiempo.
Así pues, una cuestión de hecho, —las capacidades cognitivas y de memoria del ser humano—, apuntala la decisión de la Agencia Española de Protección de Datos. Se realiza una ponderación basada en criterios de justicia material que obliga a tener en cuenta las capacidades de un ser humano en un contexto tecnológico.
Se considera que la información es bastante ambigua en relación con la finalidad
Con carácter tangencial, aunque no menos relevante se considera que la información es bastante ambigua en relación con la finalidad. En opinión del regulador el usuario medio de la aplicación no será capaz de establecer cuáles serán las competiciones afectadas.
Finalmente, el regulador considera que su planteamiento encuentra encaje en las recomendaciones del EDPB:
Frente a ello hay que hacer la oportuna remisión a los Considerandos del RGPD, indicados anteriormente y a las fórmulas que proponen los dictámenes del Grupo de Trabajo del artículo 29, que se han asumido por el Comité Europeo de Protección de Datos y que se indicaron en el Acuerdo de Inicio, ya que contestan a cuestiones sobre el porqué se ha de incluir la información que se reclama en este procedimiento (i) para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando, con qué finalidad se debe introducir dicho complemento informativo (ii) el responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales, y de qué modo puede llevarse a cabo (iii) Otra forma posible de proporcionar información de transparencia es mediante el uso de avisos «push» y «pull». Los avisos «push» implican la provisión de avisos de información de transparencia ad hoc, mientras que los avisos «pull» facilitan el acceso a la información mediante métodos tales como administración de permisos, paneles de privacidad y tutoriales de «más información». Estos permiten una experiencia de transparencia más centrada en el usuario para el interesado.
Parece pues, que los íconos informativos deberían cumplir esa función de «aviso push» que compensarían una transparencia inicial que se considera insuficiente debido a la distancia entre el momento del consentimiento y el del tratamiento, y a qué la activación de la funcionalidad se produce en momentos concretos no previsibles.
Las carencias informativas en términos de transparencia: la información que se proporciona al usuario de la aplicación, tanto al inicio —en el momento de la descarga, instalación y aceptación de las condiciones— y sobre todo durante la ejecución del tratamiento (en ese momento se puede afirmar que no hay información), se muestra insuficiente en relación con el tipo de tratamiento que se realiza, en relación con,
(i) El espacio temporal producido entre el momento en el que se otorga el consentimiento — con la información que se facilita que contiene incertidumbres— y el que verdaderamente se produce la recogida de datos.
(ii) Los momentos de activación de la citada funcionalidad.
(…)
Precisamente por el elemento azaroso sobre cuándo se producirá la activación —que no depende del usuario, ni tiene elementos a priori para conocer cuándo se va a producir—, y su relación con el desarrollo de la vida privada del usuario, se hace necesario que éste conozca en todo momento, cuando se está utilizando el micrófono del dispositivo. Ya que puede tener lugar sin su conocimiento en un ámbito estrictamente privado o familiar y recoger información propia de alguien que ha dado el consentimiento con las características apuntadas, y de terceros, que obviamente son ajenos a los fines perseguidos por LA LIGA.
3.
Sobre la finalidad
Si bien no deriva de ello ninguna conclusión la resolución contiene una afirmación sin duda sorprendente en relación con la finalidad del tratamiento:
(iii) En relación con el funcionamiento y efectividad de la aplicación con el objeto de prevenir el fraude, a costa de la privacidad de los usuarios, que, si finalmente no se produce la coincidencia entre los códigos comparados (el que se remite desde el dispositivo con el que se dispone en los servidores de la entidad), es algo que únicamente ocurre y puede verificarse a posteriori, es decir, cuando ya se ha producido el tratamiento de los datos, o incluso habiendo existido coincidencia, puede ocurrir respecto de la efectividad del sistema de geolocalización, este puede no cumplir su propósito pues el dispositivo puede estar en otra altitud que el sistema no es capaz de discriminar. Puede suceder que el dispositivo esté en un edificio de varias plantas, capturando información en el domicilio particular de un tercero, y que asocie la información tratada con la de un local en el que no se encuentra. Las modificaciones introducidas por la entidad respecto de la creación de «un mapa de calor» tampoco solventa el elemento azaroso indicado. En definitiva, el tratamiento efectuado podría no servir al fin pretendido por LALIGA y por tanto producirse al margen de este con la expectativa de que funcione, con un elevado coste para la privacidad de los usuarios.
Nada deriva de esta afirmación, no se indica que la finalidad sea ilícita, ilegítima o no proporcional.
4.
Sobre la revocación del consentimiento
La Agencia Española de Protección de Datos, cuando analiza la revocación del consentimiento realiza una aportación extremadamente útil no sólo en términos de cumplimiento normativo sino de protección de datos desde el diseño y por defecto. Señala:
(…) el procedimiento para la revocación del consentimiento se circunscribe a la utilización de las funcionalidades del sistema operativo para la configuración de los permisos de las aplicaciones. Es decir, no existe ese procedimiento añadido para revocar el consentimiento igual que el dispuesto para otorgarlo.
En definitiva, la appLALIGA utiliza un procedimiento diseñado y añadido por la entidad, a las funcionalidades del sistema operativo, a través de la marcación de una casilla y sin embargo carece de procedimiento alguno para revocar el consentimiento en los mismos términos. Se muestra insuficiente la remisión a los ajustes del dispositivo que hace LALIGA en las comunicaciones aportadas durante las actuaciones previas de inspección, ya que es dicha entidad la que decide implementar dicho procedimiento ad hoc y a la que es atribuible también, la ausencia del mismo tipo de procedimiento para revocar el consentimiento.
IV.
LECCIONES APRENDIDAS
1.
El subrayado y la cursiva
El conjunto de la resolución incorpora una interminable sucesión de texto subrayado, con cursiva o negrita. Si añadimos que no existen técnicas ya sea de justificación del texto, ya sea de cambios en el tamaño de letra cuando se citan documentos de terceros, el texto resulta manifiestamente poco accesible o usable para una persona como el autor de provecta edad y aquejado de presbicia. Resulta sencillamente imposible a veces distinguir una cursiva.
Pero lo que resulta más serio, el valor que cabe atribuir a cada estilo exige la interpretación de un demiurgo. ¿Qué es más importante, el subrayado, la negrita o la cursiva? ¿Qué valor les atribuimos son textos que ejemplifican, son obiter dicta o es el texto en el que se fundamenta la resolución? ¿O sencillamente son meros recursos de estilo para centrar la atención del lector? Y en tal caso, ¿con qué finalidad?
En el marco de un procedimiento sancionador de consecuencias tan graves como el vigente en protección de datos, el rigor formal es tan esencial como el fundamento material de la propia resolución. La sucesión de estilos, incluso el error en la calificación gramatical de un tiempo verbal, introducen ruido innecesario, y convierten la interpretación en una tarea taumatúrgica afectando seriamente a la calidad de la motivación.
2.
La anonimización es imposible
Existe una conclusión obvia en esta materia, el regulador determina materialmente la imposibilidad de considerar la existencia de anonimización en tratamientos de datos en los que se produce un proceso intermedio entre la recogida del mismo y su anonimización. Esta aproximación, es lógica. Los datos en origen deben haberse obtenido y tratado legítimamente.
Sin embargo, su generalización producirá un impacto significativo en los procesos de investigación mediante el empleo de analítica de redes. Por ejemplo, en aquellos casos en los que se produce el análisis de datos existentes en redes en el ámbito de las ciencias sociales. Así, cuando se investiga un proceso electoral se trata de identificar perfiles de usuarios de Twitter con análisis semántico, verificación de fake news, o sencillamente se establecen nodos y redes de influencia electoral. En este caso, el tratamiento inicial consiste en identificar a un determinado usuario en Twitter y catalogarlo generando un mapa de la red para finalmente si se ha tenido en cuenta generar una anonimización. Esto materialmente implica la posibilidad de tratar tales datos sin un cumplimiento de los deberes de transparencia y consentimiento establecidos en el RGPD.
En la regulación de la anonimización, las autoridades de protección de datos sitúan el acento en el riesgo o probabilidad
Y recuérdese, que el antiguo art. 5.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LA LEY 4633/1999) establecía una excepción al deber de información cuando el tratamiento tenía fines históricos, estadísticos o científicos, o cuando la información al interesado resultase imposible o exigiese esfuerzos desproporcionados. Esta previsión no se encuentra en el artículo 13 RGPD (LA LEY 6637/2016) y las excepciones conforme al artículo 23 (LA LEY 6637/2016) exigen medidas legislativas a las que se asigna un contenido específico.
En la regulación de la anonimización, las autoridades de protección de datos sitúan el acento en el riesgo o probabilidad, lo que hace materialmente imposible confiar en estas técnicas. La combinación de esta realidad con la ceguera del legislador al contemplar sólo la investigación biomédica con datos seudonimizados en la LOPDGDD (LA LEY 19303/2018) nos aboca a territorios de incertidumbre.
3.
La información en el bolsillo
La autoridad de protección de datos convierte una posibilidad, —el responsable podrá transmitir la información en combinación con iconos normalizados—, en un deber e interpreta el deber de informar «en el momento en que los datos personales se obtengan» en un deber vinculado a la activación de una determinada función de una aplicación móvil.
Esto plantea una serie de cuestiones muy interesantes. La literalidad de la Resolución se refiere al uso de iconos. Cabe entender pues que no se requiere una reiteración de la información inicial. Pero, si convenimos con el regulador en la naturaleza sin duda olvidadiza del usuario de APPs y en las limitaciones y falibilidad de nuestro cerebro, ¿acaso no tendría sentido reiterar la información de primera capa? ¿Es posible que la AEPD haya definido un nuevo estándar?
Por otra parte, es necesario llevar el argumento hasta su último límite. Si efectivamente la aplicación puede ponerse en funcionamiento sin que exista previsibilidad, no es menos cierto que si el usuario, está contemplando un partido no está prestando la menor atención al dispositivo, e incluso puede encontrarse en un contexto completamente ajeno al partido, pero sin acceso a su terminal móvil. ¿Acaso se cumple con el deber de transparencia con icono o habría que pedir algo más? Si la función es asegurar que el usuario ha sido informado debería considerarse desde el uso de funciones de sonido o vibración a la latencia del icono o la generación de un aviso pendiente. Para el logro de los objetivos que se persiguen la aproximación debería ser algo más sofisticada. Por otra parte, ya no sorprende la absoluta falta de referencia a las cuestiones de accesibilidad para personas con diversidad funcional. ¿Cómo van a ver las personas ciegas un icono? ¿Inhabilita la ceguera para ser aficionado al fútbol y usuario de una aplicación?
Hay que considerar que si bien el caso de la Liga es manifiestamente singular plantea una consideración de hondo calado. Todas aquellas aplicaciones móviles que en un segundo plano están recogiendo datos de geolocalización o activan puntualmente un micrófono, estarían cumpliendo los parámetros definidos por el regulador. Los diseñadores de aplicaciones móviles deberían tener en cuenta este nuevo principio y generar avisos o alertas mediante iconos u otros sistemas, cada vez que la aplicación active estas funciones directamente o en segundo plano.
4.
Las resoluciones como jurisprudencia
Se ha señalado con reiterada frecuencia que las resoluciones del regulador son materialmente jurisprudenciales. Y si esto resulta adecuado cuando se dedican a una aplicación del Ordenamiento presenta un cierto grado de dificultad cuando innovan fijando nuevos criterios.
En el caso que nos ocupa, resulta particularmente sorprendente el juicio de oportunidad respecto de la finalidad. Como se señaló más arriba el regulador pone en duda la eficiencia de la aplicación. De algún modo en el futuro los responsables ya no deben ocuparse sólo de la licitud y adecuación de los tratamientos, sino que además el juicio de proporcionalidad se traslada a la opinión del regulador sobre si se alcanzarán o no los resultados esperables.
Si bien, podríamos considerar la afirmación como una especie de obiter dictum secundario, no por ello resulta menos sorprendente. Obliga a plantearse si es función del regulador realizar juicios de oportunidad, esto es establecer si los fines e intereses del responsable cubrirán mejor o peor los objetivos perseguidos. Considerar la mera posibilidad de este tipo de juicios introduce en el debate un elemento preocupante.
5.
Accountability
Según consta en los hechos, para el desarrollo de la aplicación se contó con sendos informes de despachos de abogados. Para la autoridad de protección de datos el juicio de diligencia tiene en cuenta el seguimiento de sus recomendaciones para cumplir con el principio de responsabilidad proactiva y de privacidad desde el diseño o protección de datos. No se trata del informe de un delegado de protección de datos, o de un juicio técnico en el marco de una evaluación de impacto relativa a la protección de datos. Esto sin duda, disuadirá en el futuro a los responsables no de acudir a informes técnicos, pero desde luego, si de aportarlos en los procesos de inspección.
V.
CONSIDERACIÓN FINAL
Aunque el lector avezado ha constatado ya que las conclusiones de este trabajo anteceden a su desarrollo hay que subrayar un elemento muy relevante. Las consecuencias de la Resolución apuntan a una reconsideración en los modos de trabajar y diseñar en el ecosistema de aplicaciones móviles. Se comparte plenamente esta necesidad, y como se ha afirmado recientemente, es exigible atender a las garantías del derecho a la vida privada en todas sus manifestaciones no sólo en protección de datos personales.
En este sentido, las aportaciones del regulador son valiosas y en general compartidas. Sin embargo, una Resolución que sólo se ocupa de las circunstancias del caso es un instrumento muy pobre para definir políticas de cumplimiento. Además, corre el riesgo de producir un efecto paralizante en el sector. Es el momento de impulsar una Circular, una Guía de desarrollo, pero sobre todo un Código de Conducta. Incurrir de nuevo en la práctica del diseño autoritativo sin una intensa participación sectorial en rara ocasión arroja los resultados esperados. Ni se cumplen mejor las normas, ni se alcanza una mayor calidad en el cumplimiento. Es posible que se protejan formalmente los datos, pero no se protege mejor a las personas.