Hace justo un año, al final de la temporada 2017/2018, saltó la noticia: LaLiga estaba usando su app, instalada en teléfonos de particulares, para detectar bares que emiten partidos sin pagar la licencia adecuada. La noticia, adelantada por eldiario.es, fue confirmada por el ente futbolístico. Ahí se inició una investigación de oficio por parte de la Agencia Española de Protección de Datos, quien acaba de comunicar la sanción impuesta a LaLiga: una multa de 250.000 euros por considerar que deberían haber informado de una forma más explícita de su actividad. Concretamente, mostrando el icono de un micrófono cuando este estuviera activo.
En conversaciones de Xataka con fuentes internas de LaLiga se nos ha avanzado que esta sanción va a ser recurrida hasta la última instancia si es necesario, ya que desde la institución que regula el fútbol profesional en España se considera que no se ha cometido ninguna irregularidad, y que en cualquier caso, si la regulación cambiase, “no se puede legislar a base de sanciones”.
Lo correcto sería, bajo su punto de vista, que la sanción se impusiese a quien incumple la legislación vigente, no a quien la incumplía previamente a su aparición. Algo que podría ser similar a una sanción de la AEPD a Google que fue recientemente anulada por la Audiencia Nacional al considerar que no se debían usar sanciones para fijar criterios interpretativos sobre cuestiones nuevas y complejas.
Un hash irreversible y una muestra de 50.000 usuarios
La tecnología que usa LaLiga es la del fingerprint acústico, y es solo una de las varias que utilizan para detectar fraudes -como por ejemplo, un equipo de veinte hackers monitorizando redes, foros y webs, el que acabó con Rojadirecta-. En este caso, aprovechan que las emisiones de los partidos tienen diferentes señales acústicas en función de si es la de un bar, la de un hogar...
Cuando se juegan partidos, la app de LaLiga empieza a detectar el sonido de alrededor del usuario. Si está viendo un partido por televisión, reconocerá qué emisión tiene enfrente. Esa información la cruzará con la de la geoposición y su base de datos de hostelería con licencia de emisión. En ese cruce pueden aparecer varios resultados, con distintas reacciones por parte de LaLiga:
- Un bar emitiendo señal de bar y registrado en la base de datos: todo legal.
- Un bar emitiendo señal residencial (uso irregular): los verificadores repartidos por todo el país acuden a inspeccionar dicho bar.
- Un bar emitiendo señal de bar pero sin estar dado de alta (uso irregular): nuevamente, se envía a un verificador al establecimiento.
Los casos irregulares son o bien los que usan señales residenciales (mucho más baratas) para un bar (el segundo caso) o los que tienen señales de bar sin estar pagando por ella a quien posee sus derechos, como los casos de uso de IPTV o de CCCam.
Desde LaLiga se apunta a que la señal de audio obtenida en ningún caso es almacenada como tal, sino que se transforma en un hash alfanumérico que solo representa el 0,75% de la información original. El mismo funcionamiento que usan aplicaciones de reconocimiento musical como Shazam, recientemente explicado por el youtuber Jaime Altozano.
“No es posible a nivel técnico transformar eso de nuevo en el sonido original, no es reversible, ni queremos que lo sea. Además, no funciona de forma constante e ininterrumpida, sino durante cinco segundos en cada minuto de partido”. Un informe pericial encargado a una universidad pública corroboró que el sonido captado ni es reversible ni se almacena en ningún lugar.
Esta teoría es sustentada también por Joaquín Muñoz, abogado de Ontier especializado en nuevas tecnologías. "La AEPD entiende que se están recogiendo datos personales, pero realmente no es así, son unos y ceros, es imposible saber el contenido de las conversaciones, solo es un check para ver si hay coincidencia o no con un audio concreto", apunta.
Doble ok
Cuando un usuario descarga la app de LaLiga aparecen las condiciones de uso en las que se especifica el uso del micrófono y la geolocalización, y ahí está el quid de la cuestión: la sanción de la AEPD no llega por poner en duda la legitimidad del proceso, sino por la forma de comunicarlo al usuario final. Concretamente, por no mostrar de forma gráfica un micrófono cuando se accede a este, como decíamos al principio del artículo.
La sanción de la AEPD no penaliza el uso del micrófono, sino que la forma de comunicarlo es, a su juicio, insuficiente
LaLiga considera que ya entonces, cuando se inició la investigación, la comunicación era más que suficiente, no obstante en la última versión de la app se ha ampliado. Al entrar en la app sigue apareciendo el texto de las condiciones de uso, sin la lectura del cual no se puede pasar a la siguiente pantalla. Luego llega la elección del equipo principal, y nuevamente otro texto, esta vez más breve y directo, solicitando de nuevo permiso para el uso del micrófono y el geolocalizador, que por defecto aparece desmarcado.
Sin embargo, el regulador quería otra forma de comunicarlo. “La AEPD pretendía que avisásemos al usuario con una notificación cada vez que accediésemos al micrófono. Es decir, más de noventa veces por partido. Y sin que la normativa de protección de datos contemplase esa exigencia”.
Desde LaLiga se insiste en que además este permiso se puede revocar en cualquier momento, y que la propia app facilita los pasos a seguir para desactivar ese acceso a nivel de sistema, de forma que no pueda haber dudas en torno a lo que llega o no llega a los servidores de LaLiga.
En cualquier caso, es posible incluso que un usuario haya aceptado estos usos pero en su caso particular no se llegue a utilizar esta tecnología con él, ya que LaLiga la acota a una muestra de 50.000 personas, no más.
Desde LaLiga se matiza que el objetivo de esta tecnología no era detectar consumo doméstico de emisiones ilegales, sino únicamente perseguir a quien se lucra con ello
“Cuando la gente pienas en piratería piensa quizás en el chaval de 20 años que no tiene dinero aún para pagarse la suscripción legal, pero hay que pensar realmente en las mafias que se están lucrando con ello gracias a bandas organizadas”, nos explican desde LaLiga. “Nuestro objetivo es acabar con ese tipo de impactos”.
En esa línea también se asegura desde LaLiga que el objetivo no es detectar consumo de contenidos piratas a nivel doméstico, sino que únicamente se emplea para detectar bares con usos fraudulentos. En primer lugar, porque se persigue al pez grande que se lucra con ello. En segundo lugar, porque tampoco sería viable ir a por el pez pequeño con geolocalizaciones que tienen un margen de error de cincuenta metros y sin poder saber siquiera la altura a la que se encuentra un posible domicilio de un edificio que se encuentre en este grupo.
“Nuestro miedo es que aunque logremos rebatir la sanción nuestra reputación quede dañada”, dicen desde LaLiga. "Hemos colaborado en todo momento y proactivamente con la AEPD. Discrepamos profundamente de la interpretación que ha hecho hasta el momento de esta tecnología y de su adecuación a la normativa de protección de datos (RGPD y LOPDGDD)". Al margen de la sanción, desde LaLiga se asegura también que esta funcionalidad dejará de ser utilizada en cuanto acabe la temporada (la Liga 1|2|3 sigue en curso), algo que ya estaba inicialmente previsto, según el ente, y de hecho se nos confirmó antes de que se hiciese efectiva la sanción de 250.000 euros.
Para Joaquín, la mayor dificultad de la sanción habrá estado en la cuantificación. "En el reglamento no se especifican sanciones concretas, solo se dice que se ha de atener a las circunstancias específicas de cada caso y que la cantidad será de entre cero euros y veinte millones de euros. Para la agencia habrá sido complejo encontrar una cantidad justificable, sobre todo sin haber precedente, hasta llegar a esos 250.000 euros", sentencia.
Ver 12 comentarios