¿Alguna pregunta?   971.31.13.31   info@faseconsulting.es

La aplicación de la Liga, el uso del micrófono y los permisos

Las aplicaciones que instalamos en nuestros teléfonos móviles muchas veces cuentan con permisos que van más allá de lo que pensaríamos que es lógico o necesario para que se nos preste el servicio. El último ejemplo del que ha habido una cierta repercusión es la aplicación de la Liga Nacional de Fútbol Profesional, tema respecto del cual hemos hablado en reportajes como este en ABC denominado “Polémica en la app de La Liga: puede acceder al micrófono para evitar fraudes en las emisiones de los bares“.

Esta aplicación muestra como finalidad el siguiente texto, bastante lógico teniendo en cuenta de quien depende

Recibe alertas de goles, noticias, horarios y resultados de tus equipos y jugadores favoritos: Real Madrid, FC Barcelona, Atlético Madrid, Sevilla FC, Messi, Ronaldo, Griezmann, Luis Suárez… Toda la información de la Liga de Fútbol Profesional y de todas las ligas internacionales para la temporada 2017-2018

El resto de funcionalidades que se muestran al buscar la aplicación en Google Play son del mismo tipo, siempre relacionadas con la actividad deportiva

HORARIOS, RESULTADOS, CLASIFICACIÓN: LaLiga Santander, LaLiga 123, Copa del Rey, UEFA Champions League, UEFA Europa League, Liga Femenina Iberdrola, liga de fútbol inglesa, alemana, francesa, italiana… y muchas más.

Comentarios EN VIVO, minuto a minuto. Puedes seguir y comentar la jornada a través de TWITTER.

NOTIFICACIONES: Servicio de notificaciones en tiempo real con el que recibir avisos del
inicio, goles, horarios de la jornada, expulsiones, sustituciones, final de los partidos y mucho
más. Completamente configurable, tú decides. Alertas optimizadas para una mejor cobertura de los partidos en directo.

NOTICIAS: Últimas noticias de los equipos españoles, de tu equipo favorito y comunicados oficiales de LaLiga.

– MI EQUIPO: Personaliza los contenidos de la app para acceder de forma rápida y sencilla a todos los partidos jugados y próximos partidos, a la ficha de club, datos del estadio, plantilla o imágenes de tu equipo favorito.

– COMPETICIONES INTERNACIONALES: Consulta los horarios y resultados de los partidos de las ligas internacionales. Podrás seguir la liga inglesa, alemana, francesa, italiana, holandesa, portuguesa, argentina, brasileña, estadounidense, rusa, mexicana y china.

– Además podrás acceder de forma sencilla a los perfiles oficiales de la LaLiga en Facebook, Twitter, Instagram y Youtube y a otras APPs oficiales de la Liga.

Descárgala ahora de forma gratuita.

El uso del micrófono

El problema surge cuando, a la hora de instalar la aplicación en nuestro terminal, se puede observar el siguiente consentimiento para el uso del micrófono del teléfono móvil

Así, y bajo el lema “protege a tu equipo”, se busca acceder al micrófono (y también al geoposicionamiento del teléfono móvil) para la lucha contra el fraude. Podemos comprobar en la lista de permisos de la aplicación que efectivamente cuenta con funcionalidades que requerirá dicho uso

Hasta el momento podemos extraer que

  • La funcionalidad existe y es real
  • Se pide el consentimiento para el uso del micrófono, no es una opción que venga habilitada por defecto al instalar la aplicación
  • Se indica que la finalidad de dicho tratamiento es la lucha contra el fraude en establecimientos públicos no autorizados
  • Por lo tanto, interesa tanto saber que se está viendo el partido (uso del micrófono) como dónde se está viendo el partido (geoposicionamiento, redes wifi, etc).

Sobre la finalidad, si acudimos al aviso legal en la web de La Liga, encontramos la siguiente referencia a este tema

Detectar explotaciones fraudulentas de las retransmisiones de los partidos de fútbol de LaLiga. Sólo en el caso de que nos des tu consentimiento expreso y específico mediante la marcación una casilla habilitada al efecto, te solicitaremos la activación de tu micrófono y geoposicionamiento, así como el nombre de la red a la que estás conectado y la mac de tu wifi, con el objeto de obtener información desde qué lugares se ven partidos de equipos que integran LaLiga y detectar posibles utilizaciones que infrinjan los derechos de propiedad intelectual de LaLiga por parte de establecimientos públicos.

Este uso se desarrolla también por sí solo

Uso del micrófono: Sólo en el caso de que aceptes la casilla habilitada al efecto, así como mediante la ventana emergente que aparece en la APP, LaLiga podrá activar el micrófono de tu dispositivo para conocer si estás viendo partidos de fútbol de equipos de LaLiga. Esta información se utilizará para detectar fraudes.

Sobre esta captación se nos dice lo siguiente

Sólo si decides aceptarlo, el micrófono captará fragmentos de audio con el único objeto de poder conocer si estás viendo partidos de fútbol. Las finalidades para las que se utilizará esta funcionalidad son: (i) elaborar patrones estadísticos sobre consumo de fútbol y (ii) detectar explotaciones fraudulentas de las retransmisiones de los partidos de fútbol de LaLiga (piratería). Puedes consultar más información acerca de cada una de estas finalidades en el apartado 5 de esta Política de Privacidad.

¿Tienen acceso a las grabaciones?

Sin analizar el código de la aplicación, de momento lo que podemos ver son las afirmaciones al respecto que hacen en los textos legales que son de aplicación. Tanto en la nota que publicó La Liga como consecuencia de la noticia, como en la política de privacidad, se nos indica que estas grabaciones no son enviadas a servidores de La Liga.

LaLiga no accede a los fragmentos de audio captados por el micrófono del dispositivo, ya que estos se convierten de forma automática en un código binario en el propio dispositivo. LaLiga sólo accede a este código binario, que es irreversible y no permite obtener de nuevo la grabación de audio.

Si este código coincide con un código previo de control, LaLiga podrá saber que estás viendo un partido determinado. Si no coincide, el código se elimina.

Si damos por cierta esta afirmación, el procesado y gestión del código de control se hace en terminal, no en servidores externos. Aunque no se nos informa sobre el funcionamiento técnico de la solución que utilizan, vista la información que se nos da es más que posible que se utilice algún tipo de señal inaudible que pueda detectarse de manera sencilla, sistema que ya ha sido criticado con anterioridad por su capacidad de seguimiento.

The beacons are frequencies from 18kHz to 20kHz, a range that is inaudible to most humans but can be reliably detected by most phone microphones. By embedding them into audio, marketers can track the whereabouts of shoppers as they move throughout a large department store. Promoters using other companies’ audio-beacon technologies can also use them to push ads or coupons to people who are near a certain store or service. The researchers said two services—Shopkick and Lisnr—use ultrasonic beaconing for legitimate purposes such as these, and they disclose the tracking prominently.

El uso de este tipo de señales podría permitir la detección de potenciales fraudes sin tener acceso a la grabación original, efectivamente, pero habría que ver si realmente todo el procesado se realiza en el terminal, y las medidas de seguridad con que cuenta para que dichas grabaciones no queden a disposición de terceros malintencionados.

No se nos da más información respecto al servicio concreto contratado, dado que en el apartado 5 que el aviso legal dedica a “destinatarios de cesiones o transferencias” es posible que se haya incluido dentro del cajón de sastre del apartado a

Proveedores de servicios. A veces, compartimos su información con nuestros terceros proveedores de servicios, que nos ayudan a proporcionar nuestros servicios. Ejemplos de proveedores de servicios: alojamiento, métricas y analíticas.

Sí que podemos observar mención expresa a transferencias internacionales de datos, aunque de nuevo sin mayor información al respecto.

LaLiga se asegura de que todas estas entidades cumplen con la normativa de protección de datos, que también les resulta directamente aplicable. Las transferencias internacionales de sus datos personales que se realizan a las entidades arriba indicadas sitas fuera del Espacio Económico Europeo, gozan de las garantías suficientes.

¿Era necesario este método?

Lo primero que debemos tener en cuenta es que la lucha contra el fraude es un objetivo plenamente legítimo, y que no podemos defender de plano el uso de métodos no permitidos para beneficiarse en un negocio de la emisión de un determinado partido, tal y como menciona la nota de la Liga.

LaLiga tiene la responsabilidad de proteger a los clubes y sus aficionados del fraude en la emisión de partidos de fútbol por parte de establecimientos públicos (HORECA). Estas actividades fraudulentas suponen anualmente una pérdida estimada de 150 millones de euros para el fútbol español, lo que se traduce en un perjuicio directo para clubes, operadores y aficionados, entre otros.

Dejando de lado la cuantía de la pérdida (que podría ser cuestionable), el adoptar medidas que puedan facilitar la lucha contra el fraude puede formar parte de las funciones de LaLiga. El problema aquí es que podría haberse recurrido perfectamente a una solución mucho menos intrusiva, y que posiblemente obtendría resultados de mayor calidad (además de no provocar la respuesta negativa que se ha producido al darse a conocer este uso del micrófono por parte de la aplicación.

Si lo que quería obtenerse es la información respecto a lugares en que se emiten partidos, mi propuesta habría ido por

  • Incorporar gamificación a la aplicación, asignando puntos a los diferentes equipos de acuerdo con la partición de los usuarios que los apoyan.
  • La obtención de puntos podría incluir el compartir desde dónde estás viendo el partido y con quién, de entre otros usuarios (“viendo el partido en el bar X con Ticio y Sempronio”)
  • Incorporar expresamente el perfilado de usuarios utilizando dicha información al aviso legal, por el tipo de información que podríamos obtener gracias a ello.

La gamificación suele obtener un buen retorno, y no sería necesario crear un consentimiento tan llamativo como el del micrófono.

Además, así se habría evitado el retorno negativo de puntuaciones que se está produciendo en esta aplicación, y que puede afectar al desarrollo futuro de la misma y la percepción de los potenciales usuarios aunque en un futuro se elimine la funcionalidad de uso del micrófono

¿Solo para la lucha contra el fraude?

Otro tema es qué sucede con la información obtenida, y si se usa más allá de la lucha contra el fraude. Tanto la nota como el aviso legal lo que nos dice es que

* Si este código coincide con un código previo de control, LaLiga podrá saber que está viendo un partido determinado. Si no coincide, el código se elimina.

* Los códigos no irán referidos a su nombre, sino a su dirección IP y al ID específico que asigna la APP cuando el usuario se registra.

Por lo tanto, la eliminación del código (asociado a cada usuario además) solo se realiza cuando no existe coincidencia con los códigos de control aplicables. En caso contrario, acabamos con una lista de códigos de partido asociados a los usuarios de la aplicación, que puede ser muy útil a nivel estadístico y de perfilado.

Si nos preguntamos si se habla de ello en los términos legales, el apartado 4 (legitimación del tratamiento) del aviso legal no menciona curiosamente la finalidad 5ª (referida al uso del micrófono), pero sí se habla de perfilado con el resto de opciones

En aquellos casos en los que en la plataforma no solicite el consentimiento para la elaboración de perfiles, es porque dicha elaboración, no produce efectos jurídicos en ti o no te afecta significativamente de modo similar. La base legal en estos casos para el tratamiento de sus datos para la finalidad 3ª, es el artículo 6.1.f) del reglamento general de protección de datos: f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

No obstante, en el caso de que se detecten conductas que conculquen los derechos de LaLiga, los mismos se conservarán durante un periodo de 5 años, y/o el periodo que legalmente establecido del que pudieran derivarse responsabilidades para LaLiga.

Visto el tipo de información de que se trata, asociada a un perfil muy concreto, y que puede dar acceso a información sobre qué tipo de partidos se consumen, desde dónde, etc… y que no puede introducirse dentro de ninguna de las bases mencionadas en el aviso legal (salvo error), soy de la opinión de que no puede utilizarse dicha información para realizar perfiles de sus usuarios, dado que no se informa dentro de las finalidades del tratamiento este uso.

Por lo tanto, no es solo importante conocer los tratamientos sobre los que se nos ha informado (este uso del micrófono que tantas críticas ha provocado) sino también si se está realizado algún tratamiento sobre el que no se nos ha dado información. Al igual que sucedía con el uso de aplicaciones para abrir la puerta de la habitación de un hotel, a veces se piden permisos que van mucho más allá de lo necesario para prestarnos el ervicio.

Sergio Carrasco Mayans
Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos

Deja un comentario

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.

Últimas publicaciones

En los medios

Dada nuestra especialización, participamos regularmente en artículos en medios de comunicación.
Voz Pópuli
El Español
Hipertextual
Crea Cultura
Xataka
Eldiario

Contáctanos

Calle des Cubells 33, Esc 3, 3A
Teléfono: 971.31.13.31
Móvil: 625.93.81.24
Website: https://www.faseconsulting.es
Email: info@faseconsulting.es