Nonostante il campionato di calcio sia ormai giunto al termine, all’inizio di giugno, La Liga (l’associazione che gestisce il maggiore campionato spagnolo) è stata protagonista delle pagine dei giornali per una multa di 250.000 euro comminata dal Garante della privacy spagnolo.
Alla Liga è stata contestata una carenza di trasparenza relativa alla raccolta di informazioni attraverso la propria app per smartphone che riporta i risultati delle partite in tempo reale e le ultime news sul campionato (utilizzata da oltre 10 milioni di utenti). Una delle funzionalità dell’app, infatti, permetteva alla Liga, utilizzando lo smartphone dell’utente, di identificare quegli esercizi commerciali (bar, pub, ecc.) che trasmettevano senza autorizzazione le partite del campionato spagnolo.
Previa accettazione dei permessi per l’attivazione di microfono e GPS da parte dell’utente, l’app attivava il microfono dello smartphone per captare nell’ambiente circostante le eventuali trasmissioni illecite. Insomma, una sorta di funzione Shazam anti-pirateria.
La sanzione del Garante ha avuto come motivazione la violazione dei principi base di trasparenza previsti dall’art. 5 del GDPR e la violazione dell’art.7 riguardo alla revoca del consenso (“Il consenso è revocato con la stessa facilità con cui è accordato”).
Il Garante ha inoltre richiesto alla Liga di notificare l’utente ogni qualvolta il sistema “anti-pirateria” dell’app viene attivato tramite (ad es. tramite un’apposita notifica) e di permettere all’utente di ritirare il consenso al trattamento in maniera semplice.
La Liga ha presentato ricorso contro la decisione del Garante dichiarando che l’Autorità spagnola non ha compreso il funzionamento della tecnologia, che, secondo quanto dichiarato, non è in grado di captare conversazioni umane e si attiva per un periodo di tempo limitato. In ogni caso, la funzionalità sarà disattivata a fine giugno e non sarà più presente sull’app.
Da quanto afferma La Liga, l’algoritmo utilizzato generava un’impronta sonora utilizzando solamente lo 0,75% del materiale registrato, rendendo dunque non intellegibili le conversazioni degli utenti. L’impronta digitale viene successivamente codificata senza che fosse possibile un recupero del suono originale. Successivamente, la combinazione dei dati con il segnale GPS dello smartphone dell’utente permetteva di determinare l’illecito e identificare l’esercizio commerciale che stava trasmettendo illegalmente l’evento sportivo.
Inutile dire che, dopo lo scoppio del caso, su Reddit e sugli app store sono apparsi numerosi commenti negativi da parte degli utenti contenenti accuse di spionaggio e utilizzo illecito dei dati, causando un grave danno di immagine alla Liga.
Alla luce delle disposizioni del GDPR, suggeriamo a tutte le aziende che hanno realizzato un’app negli anni passati, di verificare, al fine di non incorrere in sanzioni da parte dell’autorità garante, la presenza di privacy policy aggiornate al GDPR all’interno dell’app, la conformità della raccolta dei consensi degli utenti e il corretto trattamento dei dati raccolti.