La Agencia Española de Protección de Datos (AEPD) ha sanzionato La Liga de Fútbol Profesional (LaLiga) con una multa da 250.000 euro per aver violato la privacy degli utenti che utilizzano la sua app ufficiale.

L’applicazione de LaLiga fornisce informazioni ufficiali sul campionato di calcio e risultati in tempo reale delle partite agli oltre 4 milioni di utenti che la hanno scaricata. Ad insaputa di costoro, l’app contiene funzionalità che geolocalizzano il dispositivo utente e ne attivano il microfono registrando suoni dell’ambiente in cui si trova. La finalità sarebbe quella di individuare locali pubblici e privati in cui è presente un segnale pirata di trasmissione delle partite di calcio (per visionare le quali, ad esempio, un bar dovrebbe pagare apposito abbonamento) allo scopo di perseguirli.

Il provvedimento sanzionatorio non è ancora stato reso pubblico, ma alcuni giornali iberici (vedasi, ad esempio, La Vanguardia) sono venuti a conoscenza dei contenuti. L’AEDP, nel motivare la multa, avrebbe contestato alla LaLiga il mancato rispetto del principio di trasparenza di cui all’art. 5 del GDPR e la violazione del par. 3 dell’art. 7 del medesimo Regolamento secondo cui “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. (…) Il consenso è revocato con la stessa facilità con cui è accordato”.

L’Autorità spagnola ha dunque ritenuto che quand’anche – come pare – l’app richieda in fase di installazione un consenso generalizzato per l’accesso al microfono, tale richiesta sia esposta in modo opaco, senza spiegare perché e quando il sensore sarebbe attivato da remoto. Ad avviso del AEDP, inoltre, la normativa impone che ogniqualvolta il microfono sia attivato dall’app, l’utente:

• debba poter accorgersene (ad esempio, tramite comparsa di un avviso o di un’icona sul display);
• e debba poter opporsi alla sua attivazione con un semplice gesto di diniego (quale potrebbe essere un semplice “tap” di rifiuto).

Le carenze evidenziate configurano, secondo l’AEDP, una condotta altamente lesiva perché, in pratica, l’app – nel cercare un segnale pirata – è in grado ascoltare e registrare surrettiziamente l’utente e il contesto che lo circonda; una vera e propria intercettazione ambientale che configura un trattamento illecito di dati personali.

Il quotidiano online El Diario ha interpellato LaLiga che annuncia ricorso rigettando le contestazioni dell’AEDP basate, a suo avviso, su un’analisi molto superficiale della tecnologia utilizzata. L’organismo calcistico sostiene, infatti, che nessun dato personale viene raccolto tramite il microfono. Esso si attiva per massimo un secondo, tempo utile per raccogliere il suono ambientale e confrontarlo – tramite apposito algoritmo – con il segnale originale emesso dalle partite visionabili nei pacchetti a pagamento. In sostanza, si raccoglierebbe solo un fingerprint acustico similmente a quanto eseguito da Shazam, la nota app che tramite microfono del dispositivo utente analizza una canzone in sottofondo confrontandone l’impronta sonora con le milioni di tracce contenute in un database remoto, il tutto alla ricerca di matching che ne consentano l’identificazione. Secondo quanto riferito ad ABC.es, nel breve lasso di tempo in cui il microfono è attivato, la tecnologia utilizzata da LaLiga raccoglierebbe solo il 0,75% delle informazioni restituite dall’ambiente ambientali e che, per questo, non sarebbe in alcun modo possibile ricostruire alcuna conversazione né identificare chi la sta tenendo.

In ogni caso, LaLiga afferma che la funzionalità era attiva in via sperimentale e che essa sarà disattivata a fine mese, non tanto per rispetto delle contestazione dell’Autorità ma perché il contratto con il fornitore che l’aveva implementata non sarà rinnovato.