L’Autorità per la protezione dei dati personali spagnola (l'”Autorità“) ha comminato la sanzione di Euro 250.000 alla Liga de Futbòl (“LaLiga“), società che gestisce il campionato di calcio spagnolo, per aver spiato il telefono cellulare di mezzo milione di utenti spagnoli attraverso la propria applicazione ufficiale utilizzando i microfoni remoti e il GPS per individuare i locali che trasmettono partite di calcio senza pagare le licenze corrispondenti.

L’app, che richiede il consenso per utilizzare microfono e GPS, è in grado di captare l’audio ambientale così da rilevare se l’utente si trova in un locale che sta trasmettendo la partita, in possesso o meno di un valido abbonamento alla diffusione delle partite.

Il modo in cui LaLiga ha informato i suoi utenti di questa procedura è stato considerato opaco e non trasparente dall’Autorità. Poiché, secondo l’Autorità, la funzione di spia dell’applicazione comporta la registrazione dell’audio ambientale, la quale implica la raccolta di dati personali, LaLiga avrebbe dovuto notificare all’utente l’informativa non solo durante l’installazione dell’applicazione, ma ogni volta che attivava questa funzione di raccolta dei dati.

L’Autorità afferma che per la natura dei dispositivi mobili l’utente non può ricordare a cosa ha acconsentito e cosa no ogni volta che usa l’app. Pertanto, ritiene che sia necessario fornire ulteriori informazioni ogni volta che viene attivata la raccolta di dati di categoria particolare. Un modo per farlo, suggerisce l’Autorità, sarebbe tramite un’icona che indica che l’app ha attivato il microfono per tracciare il suono ambientale.

Oltre al principio di trasparenza, di cui all’articolo 5.1 del GDPR, l’Autorità ritiene che LaLiga abbia violato l’articolo 7.3 del GDPR, in base al quale l’utente ha il diritto di revocare, in qualsiasi momento, il proprio consenso per i dati personali.

Secondo LaLiga, che ha già dichiarato che farà ricorso al Tribunale contro la decisione dell’Autorità, non ci sarebbe alcuna violazione del GDPR e in particolare del principio di trasparenza, dal momento che l’utente finale deve autorizzare in modo esplicito l’accesso al microfono in due passaggi. Inoltre, il segnale acustico registrato viene inviato ai server come codice binario che non può essere decifrato, analizzato o conservato.

LaLiga ribadisce la finalità legittima di questo procedimento: individuare streaming delle partite del campionato non autorizzate per proteggere i diritti audiovisivi.

L’Autorità ha imposto a LaLiga la rimozione delle criticità rilevate nell’app entro il 30 giugno, mentre La Liga sembra abbia già predisposto una seconda versione senza la funzionalità del microfono.