control distribuido

La App de La Liga: Ir por lana y salir Trasquilado

 

Esther Botella (@estherbotella) apuntó y Jorge Morell (@Jorge_Morell) disparó: la app de La Liga, solicita tu consentimiento para activar el micro y GPS de tu móvil y así poder detectar si el bareto futbolero de tu elección paga o no lo que debe.

Y claro, denunciarle si no lo hace.

 

Ir por lana y salir trasquilado

 

El RGPD promueve un concepto, el del “control distribuido” que La Liga ha entendido fatal: quería servirse de sus usuarios (que consintieran, claro) como inspectores gratuitos, y acaso involuntarios (porque la información no puede decirse que sea muy completa).

Y de pronto han descubierto que… quizá no era tan buena idea.

Deberían haberle preguntado antes a un experto (pero están buscando uno en linkedin). Suerte para todos.

 

Entendámoslo bien: el Reglamento no defiende “datos”: defiende personas.

 

El Reglamento obliga a ampliar información sobre los tratamientos de datos que se practican a través de cualquier app.

El objetivo es que La Liga deje claras las reglas del juego de su propia app, de modo que el usuario las conozca, decida en consecuencia consentir o no, y pueda reclamar si después las incumple (“confía pero verifica” es uno de los principios del estándar de la privacidad embebida en el diseño, aplicable desde 25 de mayo a cualquier software, app o sistema de tratamiento de información publicado después de esa fecha).

Por eso, al futbolero no le basta, no le puede bastar con esas exiguas explicaciones enterradas en medio de la política de privacidad de la app: La Liga tiene la carga de informar y, qué demonios, probar, sus técnicas de anonimización y supresión de lo grabado: que no está grabando cada exabrupto proferido, cada ronda invitada o cada cántico regional con que sus usuarios decidan deleitar en el bareto de su elección, sea este o no regentado por un pirata.

Aunque alega haber establecido esas medidas de anonimización de los datos captados, tendría que haberlas explicado (i) con detalle y (ii) con suficiente antelación a la puesta en marcha de la app. Esos detalle y antelación deben ser proporcionales a la intrusividad de la aplicación de las narices, que no me negareis que se las trae. Así lo manda el Comité Europeo de Protección de Datos en sus guidelines de transparencia.

 

El orden de los factores sí altera el producto

 

Dos cositas para terminar:

 

Primera: aunque se dice que la captura de datos busca perseguir el fraude de establecimientos abiertos al público, La Liga no aclara si borra o no los datos obtenidos en otros lugares: nadie te garantiza que no puedan usar mañana los datos de tu propio móvil para meterte mano si eres de esos que les gusta buscarse las habichuelas sin pagar.

Segunda: La política de privacidad disponible hoy lunes 11 de junio lleva fecha de 21 de noviembre de 2017. Esto podría confirmar nuestros peores temores: que esta funcionalidad ya estuviera activa antes del 25 de mayo, y que nuestros amigos de La Liga simplemente se han visto obligados a solicitar el consentimiento específico del usuario por imperativo del RGPD.

No por nada, esta versión de la política señala (como muy discutible y manifiestamente insuficiente paño caliente) que si habías dado permiso a la aplicación para usar el micro, puedes revocarlo si no estás de acuerdo con los nuevos usos.

Tercera: Está por ver (no tengo ningún interés en instalarme la app para comprobarlo) si solicitan (como es su deber) el consentimiento explícito para enviar tus datos personales a un país que no aplica las mismas garantías que la UE en esta materia, los Estados Unidos de Norteamércia, a una empresa no adherida al protocolo del Privacy shield. Lo que desde luego no hacen es informar debidamente de la creación de perfile sobre los datos del usuario, que sólo mencionan en la política de privacidad.

 

Si es usted un empresario responsable, no lo dude: ponga en su vida un buen Delegado de protección de datos.

Amigos concienciados en la defensa de la privacidad: ¡este partido lo vamos a ganar!

Buena semana.

Jorge García Herrero

Abogado y Delegado de Protección de Datos