Habitualmente, la facilidad de uso de una aplicación se opone a su seguridad y, en concreto, a la relativa a la privacidad del usuario. Un ejemplo de ello se puede encontrar en la aplicación WhatsApp: ¿Puede WhatsApp basar de forma segura la identificación de usuario exclusivamente en su número telefónico, como ha hecho de forma ineludible hasta fecha muy reciente? Sin duda, la respuesta es no, ya que el usuario al que un operador de red asigna un determinado número de teléfono puede dejar de tenerlo asignado y, de hecho, lo deja de tener frecuentemente. Por ejemplo, cuando el usuario se da de baja en el operador sin ejercer su derecho a la portabilidad o cuando una tarjeta SIM de prepago se deja de recargar durante un periodo superior al admitido por el operador.

Al quedar libre por cualquier razón el número asignado al usuario, el operador de red lo asignará de nuevo en un periodo de tiempo probablemente no muy grande, dada la escasez de numeración disponible.

Una de las consecuencias negativas que se derivan de ello, dada la implementación de la aplicación WhatsApp, es que, si el usuario anterior no ha tenido la precaución de darse de baja en dicha aplicación, cuando el nuevo usuario se dé de alta en ella sin activar la verificación opcional de la identidad mediante código de 6 dígitos recientemente introducida (verificación en dos pasos), WhatsApp no tendrá manera de saber que se trata de un nuevo usuario y le descargará datos personales del anterior, tales como su foto, sus chats o los contactos participantes en estos chats, con los que el nuevo usuario podría, si quisiese, seguir manteniendo conversaciones sin que aquellos advirtieran que el usuario real ha cambiado[1]. Esto, además de ser una cesión no consentida de datos por parte de WhatsApp, de cuya posibilidad desde luego no advierte en su Política de Privacidad, lo que sería sancionable ya con la legislación actual, supone un ejemplo evidente de negación de los principios de protección de datos desde el diseño y por defecto del RGPD, ya que no es admisible semejante agujero de privacidad sin haberlo advertido en un mínimo análisis durante la fase de diseño de la aplicación.

Es evidente que un número telefónico no puede ser un identificador único de usuario, máxime teniendo en cuenta que la aplicación es de uso global y que la asignación de números telefónicos está sometida a las diferentes condiciones existentes en la normativa de cada país. Si se prioriza la protección de datos desde que se comienza el diseño de una aplicación, como es preceptivo según el nuevo RGPD, es necesario establecer un método suficientemente robusto para evitar la suplantación de identidad, incluso inadvertida para el propio “suplantador”. Por ello, la verificación en dos pasos de la identidad debería ser preceptiva, en lugar de ser opcional como lo es actualmente.

Otra consecuencia negativa para el funcionamiento de WhatsApp, también derivada de identificar al usuario únicamente por su número telefónico, consiste en la posibilidad de mantener inadvertidamente conversaciones con alguien desconocido a quien hayan asignado el número telefónico de un contacto nuestro que ha abandonado dicho número sin darse de baja en WhatsApp. Sería de nuevo aplicable la anterior nota a pie de página si se ha habilitado la detección.

Durante el año pasado hemos asistido a una intensa campaña por parte de WhatsApp para ser percibido como un adalid de la privacidad en base a la inclusión del protocolo Signal para el cifrado de mensajes extremo a extremo, manifestando que nadie al margen de los interlocutores de un mensaje, ni siquiera el propio WhatsApp, puede acceder a su contenido. Esto, visto lo anterior, además de tratarse de una pura cuestión de fe mientras su software cliente no sea abierto, ya que ese software presenta el contenido del mensaje en la pantalla del terminal y por tanto existe la posibilidad de que lo cifre también con otra clave, lo transmita donde quiera, o haga lo que le venga en gana sin advertir de todo ello al usuario, es como tener una caja fuerte con otra puerta a la calle sin cerradura.

[1] Tan sólo podrían percibir que el usuario ha cambiado de terminal, siempre que haya habilitado en la configuración de su app esa opción que no lo está por defecto.

Tal parece deducirse de la reciente Resolución R/01753/2016 de la Agencia Española de Protección de Datos en la que sanciona a Telefónica Móviles España por infracción del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), cuyo tenor literal es:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

El artículo anterior es conocido informalmente como “Ley de Cookies”, debido a que resulta de la transposición de la Directiva 2002/58/CE que introducía el término cookie en su considerando 25, aunque luego la LSSI lo denominara dispositivo de almacenamiento y recuperación de datos, lo que, a su vez, ha dado lugar a las siglas DARD para su denominación.

Ahora bien, ¿cuál es la definición de dispositivo de almacenamiento y recuperación de datos? A diferencia de otros términos y expresiones que sí se definen en el Anexo de la propia LSSI, tal expresión no se recoge en dicho Anexo, por lo que resulta necesario recurrir a la técnica de la interpretación jurídica para averiguar su significado. Es decir, es necesario llevar a cabo, tal como establece el artículo 3 del Código Civil, el análisis interpretativo de la norma desde un punto de vista literal, sistemático, histórico, sociológico, lógico y teleológico.

Es evidente, por otra parte, que, para considerar infringido el artículo 22.2 de la LSSI en la Resolución mencionada, la AEPD ha tenido que entender que TME ha utilizado un DARD existente en el terminal del usuario y que sobre su utilización no le ha facilitado a éste último información clara y completa, o bien, no ha recibido su consentimiento. Pero, ¿qué es lo que la AEPD ha considerado en este caso como DARD?

• Para tratar de contestar a esta pregunta, analicemos en primer lugar el contenido de la citada Resolución. Dentro del antecedente primero, se detalla que la denuncia recibida hace mención a que “Telefónica de España-Movistar utiliza “supercookies”” y en el antecedente segundo, se mencionan entre otros aspectos, que “Telefónica reconoce que ha estado empleando la técnica de “supercookie” denominada “enriquecimiento de cabeceras”” y que “el inspector actuante … accede desde dos teléfonos móviles con contratos con Movistar … con la finalidad de verificar si el operador utiliza “supercookies””.

A pesar de la alegación de TME acerca de que:

“Es fundamental distinguir la técnica del “enriquecimiento de cabeceras” cuya utilización ha sido reconocida por TME y la utilización de “supercookies”. Para que esta técnica se considera como supercookie es necesario que los datos tratados a través de la misma sean almacenados mediante un DARD”

, la Resolución de la AEPD en su exposición de Hechos Probados y de Fundamentos de Derecho no responde explícitamente a dicha alegación ni vuelve a mencionar el término supercookie, haciendo ya uso exclusivamente de la expresión enriquecimiento de cabeceras para referirse a la técnica utilizada para cometer la infracción.

• A partir del análisis anterior, caben dos posibilidades para explicar, siguiendo un razonamiento lógico, qué ha considerado la AEPD concretamente DARD:

1. Una primera explicación es que la AEPD, habiendo hecho caso omiso de la alegación antes mencionada realizada en sentido contrario por Telefónica, haya interpretado que el enriquecimiento de cabeceras equivale a un DARD, considerando que es una supercookie y, por ello, un tipo de cookie más que se almacena en el terminal del usuario, tal como se deduce del tenor literal del antecedente segundo: técnica de “supercookie” denominada “enriquecimiento de cabeceras”.

Tal interpretación sería evidentemente errónea, ya que el enriquecimiento de cabeceras se llevó a cabo por TME dentro de sus nodos de red, añadiendo la metainformación identificativa del usuario a las cabeceras de sus paquetes HTTP, al tenerle perfectamente identificado desde su conexión a la red, sin que dicha metainformación fuera almacenada previamente en el terminal del usuario, tal como exige el artículo 22.2 LSSI. Ello imposibilita, por tanto, que esta metainformación sea considerada un DARD.

No cabe tampoco salvar este obstáculo mediante la aplicación analógica, considerando similar el efecto producido por el enriquecimiento de cabeceras  con el efecto producido por una cookie y teniendo en cuenta además que el enriquecimiento de cabeceras se ha denominado frecuentemente supercookies o permacookies, favoreciendo la posible interpretación de equivalencia entre enriquecimiento de cabeceras y cookies,  ya que la analogía in malam partem está prohibida en un procedimiento sancionador. Es necesario, por tanto, que la conducta infractora cumpla escrupulosamente el tipo descrito en la Ley, lo que, según esta primera explicación, no ha ocurrido.

2. Pero una segunda explicación, si bien es preciso reconocer de entrada que en absoluto resulta evidente de la redacción de la Resolución, sería que la AEPD haya entendido que el DARD no estaba constituido por la metainformación añadida en el enriquecimiento de cabeceras, sino por la información que permite la identificación del usuario por el operador de red, almacenada en el terminal del usuario, concretamente dentro de la SIM física o virtual. Entre los diversos datos que se almacenan en una SIM, el IMSI (International Mobile Subscriber Identity), es el identificador que almacena la identidad del usuario en la red, compuesta de código de país, identificador del operador y número telefónico del usuario. Al tratarse, por tanto, de una información almacenada en el terminal del usuario, sí cumpliría esta condición impuesta por el artículo 22.2 LSSI para ser un DARD.

Ahora bien, con arreglo a la interpretación jurídica mencionada más arriba, ¿se puede considerar que el identificador de usuario guardado en una SIM es realmente un DARD?

• Desde una interpretación literal, un DARD es un dispositivo, es decir, un mecanismo o artificio capaz de producir una acción prevista, acción que no es otra que la de almacenar y recuperar posteriormente unos datos determinados. El identificador IMSI guardado en la tarjeta SIM es un campo que almacena dicho dato, que posteriormente se lee por el operador de la red móvil cada vez que el usuario conecta su terminal a ésta. Por tanto, atendiendo a una interpretación estrictamente literal, sí que dicho identificador puede ser considerado un DARD.
• Pero si acudimos a una interpretación sistemática y lógica, es decir, atendiendo al contexto en el que aparece en la LSSI la expresión dispositivos de almacenamiento y recuperación de datos (DARD) y atendiendo también al espíritu de la norma, hay una primera cuestión a tener en cuenta: tal dispositivo solo va a poder utilizarse después de que se haya facilitado información clara y completa sobre su utilización y, en particular, sobre los fines del tratamiento de los datos de carácter personal.

Es decir, el legislador está refiriéndose a dispositivos sobre los que el proveedor de servicios tenga perfectamente claro para qué se van a utilizar antes de almacenar los datos en dichos dispositivos, de forma que pueda facilitar una información completa al usuario sobre su uso.

En el caso que estamos analizando, hay que tener en cuenta que el identificador IMSI se almacena en el terminal de usuario tras contratar éste su línea móvil con el operador de red, momento en el que éste le hace entrega de la tarjeta SIM, o, en el caso de una SIM virtual, se la activa remotamente, y permanece constante en tanto el usuario mantenga su número de teléfono móvil y su operador de red, incluso aunque cambie de tarjeta SIM.

Por ello, resulta evidente que la información de identificación de usuario guardada en la SIM va a ser utilizada por el operador de red para una diversidad de servicios o funcionalidades que están indefinidas a priori en el momento de hacer entrega de la SIM al usuario. Es evidente del mismo modo, que resulta imposible informar al usuario acerca de servicios o funcionalidades futuras que ni siquiera están previstos o especificados por el operador de red.

Por tanto, desde un punto de vista sistemático y lógico, el identificador de usuario guardado en la SIM no puede ser considerado como un DARD, ya que considerarlo así nos llevaría al absurdo de requerir que el operador de red aportara una información al usuario de imposible cumplimiento.

• Del mismo modo, atendiendo a una interpretación histórica, la introducción del DARD se produjo, como ya se ha mencionado anteriormente, en 2002 a consecuencia de la transposición de la Directiva 2002/58/CE. Esta Directiva mostraba su preocupación en el considerando 24 porque los denominados «programas espía» (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Para establecer, a renglón seguido en el considerando 25, que los dispositivos de este tipo, por ejemplo los denominados «chivatos» (cookies), pueden constituir un instrumento legítimo y de gran utilidad, por ejemplo, para analizar la efectividad del diseño y de la publicidad de un sitio web y para verificar la identidad de usuarios partícipes en una transacción en línea. En los casos en que estos dispositivos, por ejemplo los denominados «chivatos» (cookies), tengan un propósito legítimo, como el de facilitar el suministro de servicios de la sociedad de la información, debe autorizarse su uso a condición de que se facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios están al corriente de la información que se introduce en el equipo terminal que están utilizando… se podrá supeditar el acceso a determinados contenidos de un sitio web a la aceptación fundada de un «chivato» (cookie) o dispositivo similar, en caso de que éste tenga un propósito legítimo.

Parece evidente de los párrafos anteriores que el legislador europeo se estaba refiriendo a la protección del usuario de redes de comunicaciones electrónicas frente a los dispositivos susceptibles de introducirse en su terminal sin su previo conocimiento y favorecer, en concreto, el uso de cookies que facilitaran el acceso a sitios web, pero no a los datos relativos a los abonados que son tratados en las redes de comunicaciones electrónicas para el establecimiento de conexiones y la transmisión de información, como obviamente es el caso del identificador IMSI, a los que la Directiva se refiere precisamente a continuación en el considerando 26 y, en su parte dispositiva, en los apartados 1 y 2 del artículo 5 (Confidencialidad de las comunicaciones), a diferencia de la información almacenada en el equipo de usuario (cookie) a la que dedica el apartado 3 de dicho artículo.

Por todo ello, la interpretación histórica redunda también, en mi opinión, en negar la condición de DARD al identificador de usuario guardado en la SIM.

• En cuanto a la interpretación sociológica aplicable a este caso, creo que no proporciona ninguna aportación diferencial con relación a la anterior interpretación histórica, ya que la realidad social actual no es, en el asunto que nos ocupa, sustancialmente diferente de la que existía cuando la norma fue promulgada inicialmente en 2002.

En este sentido, la modificación en 2009 de la Directiva 2002/58/CE por la Directiva 2009/136/CE no afectó significativamente a la argumentación llevada a cabo en el punto anterior. En concreto los considerandos 24, 25 y 26 de la anterior Directiva se corresponden respectivamente, de forma bastante aproximada en lo relativo al caso, con los considerandos 65, 66 y 69 de la más reciente, mientras que el artículo 5 tan solo se modifica en el apartado 3 para requerir que el consentimiento del usuario se realice después de recibir la información clara y completa sobre los fines del tratamiento de datos, pero sin alterar los tipos de datos a los que dedica cada apartado.

• Por último, una interpretación teleológica del artículo 22.2 LSSI conduce, en mi opinión, a que la finalidad del legislador fue aplicarlo a los DARD almacenados en el terminal del usuario como consecuencia del uso de un determinado servicio de la sociedad de la información, quedando fuera de su ámbito de aplicación aquellos datos de usuario almacenados en su terminal que son utilizados por el operador de red para permitir su conexión a la red y la posterior transmisión de información y que resultan susceptibles de un tratamiento diferencial por parte de otra norma.

A esta conclusión se llega precisamente partiendo de la existencia de una norma específica que es aplicable exclusivamente a los operadores de red, como es la Ley 9/2014 General de Telecomunicaciones y, en concreto, su artículo 41 dedicado a la protección por parte del operador de red de los datos de carácter personal, que le exige la adopción de medidas técnicas y de gestión y, entre otras, en su apartado 1b, la protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos.

Por tanto, tampoco desde un punto de vista teleológico debe considerarse un DARD al identificador de usuario guardado en la SIM.

En conclusión, a través del anterior proceso interpretativo del artículo 22.2 LSSI llevado a cabo, se concluye que no se puede considerar que el identificador de usuario guardado en una SIM sea un DARD. En consecuencia, la segunda explicación acerca de lo que la AEPD ha podido considerar como DARD, la información residente en el terminal del usuario que permite su identificación por el operador de red, no es conforme, en mi opinión, con una interpretación correcta del artículo 22.2 de la LSSI.

Consideraciones al margen

Al margen de la argumentación anterior, expongo a continuación unas breves consideraciones de tipo más tecnológico que jurídico sobre este asunto, en un intento de clarificación:

Parece evidente, según las propias alegaciones de Telefónica, que, hasta septiembre de 2015, TME introdujo identificadores únicos en dos campos no estándar de la cabecera HTTP, “x-up-subno” y “TM user-id”, de forma indiscriminada en todos los usuarios de su red, tanto si utilizaban acceso a servicios de pago como si no lo hacían.

También se deduce de las alegaciones de Telefónica que nadie más, aparte de TME, conocía la asignación de dicho identificador único a la identidad real del usuario, pudiendo considerarse por ello un seudónimo de éste para terceros distintos de TME.

El resultado de todo ello es que cualquier servidor web que fuera accedido por cualquiera de estos usuarios estaría en disposición de poder leer dicho identificador único y asociarlo dentro de una técnica específica de rastreo a un perfil de usuario concreto, susceptible de tratamiento diferenciado por el propio servidor web o por otros servidores a los que éste le comunicara dicho perfil.

No obstante, difícilmente podría considerarse que la información del usuario recibida por los servidores web a los que éste accedía, fueran datos de carácter personal, al tratarse de datos anonimizados para todos excepto para TME, siempre en el supuesto de que solo ésta conociera la asignación del identificador único a la identidad del usuario. Ello no impediría el tratamiento diferenciado para cada usuario por parte del servidor web, aunque aquellos fueran anónimos para éste último. En este supuesto, cabría una vulneración del artículo 48.2.b de la Ley General de Telecomunicaciones si el identificador único añadido a las cabeceras HTTP pudiera ser considerado como datos de tráfico.

Asimismo, hay que tener en cuenta que la recepción de ese identificador único sería similar, a efectos de la información recibida por estos servidores web, a recibir peticiones HTTP de usuarios con IP fija y sin NAT ni Proxy intermedios, con la diferencia de que dicha IP sí podría identificar al usuario a través de un servicio de identificación tipo whois. En relación con esto, hay que tener también presente que con IPv6, las IPs son fijas, no siendo ya necesario en principio ningún tipo de NAT o Proxy por causa de la carencia de direcciones.

La Comisión Europea ha definido recientemente, en su Recomendación 2014/710/UE de 9/10/2014, cinco mercados de comunicaciones electrónicas que considera relevantes, todos ellos mayoristas, de los cuales tres están relacionados con los servicios de banda ancha fija que la CNMC incluye en la consulta pública objeto de este artículo. Son los siguientes:

• Mercado 3_a: Acceso local al por mayor facilitado en una ubicación fija.

Desde luego, estamos ante una definición que, como poco cabe calificar de confusa, ya que, profundizando un poco en su significado, se deduce que lo que se facilita en una ubicación fija no es el acceso local al por mayor, como cabría entender de la interpretación literal de la frase, sino el servicio de comunicaciones electrónicas proporcionado al usuario final. En efecto, las interfaces de los servicios mayoristas se localizan, salvo rarísimas excepciones, en ubicaciones fijas, los edificios de las centrales de las operadoras, donde se realiza la entrega del tráfico mayorista, independientemente del tipo de comunicaciones electrónicas, fijas o móviles, al que corresponda dicho tráfico, por lo que decir que esas interfaces se facilitan en una ubicación fija, resultaría una completa obviedad. Parecería más exacto por tanto definir este mercado como el acceso local al por mayor de comunicaciones electrónicas facilitadas en una ubicación fija, evidenciando así que no se están incluyendo las comunicaciones electrónicas en movilidad.

En resumen, este mercado está constituido por lo que se suele denominar acceso directo al bucle local o desagregación del bucle de abonado, considerando también otras tecnologías sustitutivas del par de cobre, e incluyendo también el acceso a los recursos asociados, como conductos, armarios de interconexión, etc.

• Mercado 3_b: Acceso central al por mayor facilitado en una ubicación fija para productos del mercado de masas.

De nuevo nos encontramos con la misma confusión en la definición por las razones expuestas en el mercado 3_a. De manera similar también, se puede inferir que este mercado está constituido por los servicios de acceso indirecto al bucle de abonado, tanto a nivel provincial como nacional, específicamente dirigidos además al segmento residencial (consumidores, autónomos y pequeñas empresas sin capacidad de negociación con los operadores).

• Mercado 4: Acceso de alta calidad al por mayor facilitado en una ubicación fija.

Además de la misma confusión ya repetida, es preciso en este caso interpretar acceso de alta calidad como acceso dirigido al segmento empresarial, esto es, empresas con capacidad de negociación con los operadores y generalmente con sedes dispersas geográficamente y necesidades de comunicaciones electrónicas más complejas que los usuarios residenciales.

La Consulta de la CNMC es continuista de la regulación anterior en lo relativo al acceso a través de la red de cobre, ya que mantiene las obligaciones de Telefónica, a excepción, en el caso del acceso indirecto, de la zona de influencia de aquellas centrales en las que, por existir un nivel de competencia elevado, la demanda del acceso mayorista indirecto por parte de los operadores alternativos es muy baja. Es evidente que la regulación sobre la red de cobre ha conseguido a lo largo de los últimos años estabilizar el precio medio del acceso a la vez que subían en casi dos órdenes de magnitud las prestaciones en velocidad binaria, llevando el precio por Mb/s a un valor cada vez más próximo a cero.

Sin embargo, en lo tocante a las nuevas redes NGA, la Consulta ha provocado una auténtica convulsión al modificar por completo la regulación anterior, obligando a Telefónica a dar acceso virtual desagregado a su red de fibra óptica recién instalada. Esta convulsión que puede provocar, tal como ya ha anunciado Telefónica, una paralización o, en el mejor de los casos, una ralentización en el despliegue de las nuevas redes, tiene el riesgo de implicar además una ruptura de la estabilización del precio del acceso, que en los últimos años ha sido casi independiente de la velocidad binaria proporcionada, y de la tendencia continuamente descendente del precio por Mb/s, al disminuir los incentivos a la innovación en nuevos productos y servicios. Así, el operador que ha desplegado red tratará de amortizarla en el menor plazo posible a base de mantener el precio del servicio minorista y con ello el ARPU (Average Revenue Per User) mientras renuncia a llevar a cabo un incremento adicional de recursos tecnológicos que proporcionarían nuevos incrementos de velocidades de acceso, entre otras posibles mejoras de prestaciones. En efecto, al estar obligado a la replicabilidad económica por parte de sus competidores de las ofertas minoristas que incorporaran estas mayores prestaciones, el operador pierde el interés en invertir en innovación para diferenciarse de su competencia, ya que no podría obtener ese incremento de ARPU que le proporcionaría un producto o servicio innovador y propio.

Este efecto perverso de la Consulta analizada tiene en mi opinión su origen último en dos Recomendaciones de la Comisión Europea que inspiran el contenido de la Consulta: la Recomendación de 20 de septiembre de 2010 relativa al acceso regulado a las redes de acceso de nueva generación (Recomendación NGA), complementada con la Recomendación de 11 de septiembre de 2013, relativa a la coherencia en las obligaciones de no discriminación y en las metodologías de costes para promover la competencia y potenciar el entorno de la inversión en banda ancha. El Artículo 1 de la Recomendación NGA afirma que el objeto de dicha Recomendación es fomentar el desarrollo del mercado único potenciando la seguridad jurídica y promoviendo la inversión, la competencia y la innovación en el mercado de los servicios de banda ancha, en particular en la transición a las redes de acceso de nueva generación (NGA). A pesar de ello, la realidad es que la palabra innovación aparece tan sólo dos veces en su texto completo y, por el contrario, la palabra precio aparece ochenta veces en él. Parece evidente por tanto que las palabras y los hechos han conducido a aletargar, si no a finiquitar, la innovación en los principales operadores de telecomunicaciones de la UE, convirtiendo sus servicios en “commodities“ que son aprovechados por otros actores no sometidos a esas restricciones regulatorias y en la mayoría de los casos radicados fuera de la UE, como son los denominados operadores Over-The-Top, que pueden innovar en servicios sin temor a ser obligados a permitir su replicabilidad económica por la competencia o a ceder una parte de su cuota de mercado.

La otra posible reacción de Telefónica ante la imposición de la medida propuesta, aunque arriesgada por las reacciones adversas que provocaría en usuarios finales, sería la subida del precio minorista en las zonas en que no existan redes NGA alternativas, para permitir un precio mayorista alto y compatible a su vez con la replicabilidad económica de la oferta minorista, al evitar el pinzamiento de márgenes. Parece que ésta puede ser la opción elegida por Telefónica, en línea con su decisión de aprovechar el tiempo hasta la aprobación de la nueva regulación para migrar de cobre a fibra a todos los clientes que cuenten ya con fibra desplegada en sus unidades inmobiliarias, multiplicando por 3 su velocidad de acceso e incrementando el precio de la cuota mensual de acceso en 5 euros. De esta forma, rentabilizaría al máximo la fibra ya desplegada que tiene todavía una penetración baja y disminuiría el número de posibles clientes susceptibles de ser captados por sus competidores cuando entre en vigor la nueva desagregación virtual de la fibra, ya que, según las estadísticas que maneja Telefónica, el churn es inferior en los clientes de fibra que en los de cobre. Al mismo tiempo, aceleraría al máximo el apagado de sus centrales de cobre en el plazo de 5 años, con el ahorro de costes subsiguiente. Todo ello, con el riesgo de perder un número significativo de clientes que no acepten la migración a fibra, con el upgrade de velocidad y la subida de precios mencionada.

Por otra parte, y paradójicamente en contraste con su mayor afán regulador en NGA, la Consulta deja en una especie de limbo regulatorio a los usuarios de los municipios de la zona BAU que no pertenecen a las centrales que cuentan con despliegue competitivo de fibra óptica, ya que les aplica las mismas condiciones de regulación mínima que a los de las centrales competitivas, al partir de la premisa de que “en vista del carácter dinámico de las inversiones en curso en redes NGA, se ha caracterizado una zona BAU formada por los municipios a los que pertenecen las 46 centrales BAU”. No resulta evidente por qué el regulador estima que ese “carácter dinámico” de las inversiones va a provocar que todas las centrales de un municipio vayan a tener entornos competitivos por el simple hecho de que algunas centrales del municipio sí lo tengan. La consecuencia de esa regulación mínima, propia de una situación de auténtica competencia, podría ser que los precios minoristas de los accesos de fibra óptica en aquellas centrales de la zona BAU donde no llegue la competencia efectiva en fibra, fueran superiores a los de las centrales también sin competencia efectiva en fibra pero situadas fuera de la zona BAU, que sí tendrían condiciones regulatorias para presionar sobre sus precios minoristas a la baja.

En definitiva, la Consulta puede provocar en mi opinión, de mantenerse sus líneas fundamentales en la Resolución final del CNMC, un efecto muy perjudicial en la expansión de fibra que puede poner en peligro la consecución de los objetivos de la Agenda Digital para 2020, donde el 50% de los hogares deben contar con una conexión a una velocidad superior a 100 Mbps y resulta al mismo tiempo desesperanzador la inacción de las mismas autoridades regulatorias europeas, que son las responsables últimas de este efecto desincentivador de la inversión europea, frente a las todopoderosas OTTs que caminan de forma imparable hacia la canibalización de los hasta hace poco tiempo considerados “servicios de telecomunicaciones”