Telecomunicaciones y protección de datos: interconexiones de redes, datos de tráfico y conservación de datos

Telecommunications and Data Protection: network interconnections, communication traffic data and data retention

Andoni Polo Roca

Universidad del País Vasco / Euskal Herriko Unibertsitatea

andpoloro@gmail.com
ORCID 0000-0002-2763-501X

LABURPENA: Telekomunikazioen edo komunikazio elektronikoen sektorea etengabe dabil datuen babesa probatzen; are gehiago, sektoreak oinarrizko eskubide hori edukirik gabe uzten duela ikusiko dugu agian. Sareen interkonexioak, sare-operadoreak edo berehalako mezularitza-sistemak datu pertsonalekin gatazkan sar daitezke, trafikoari buruzko datuekin adibidez. Komunikazioen sekretua edo intimitatea urratzera irits daitezke. Izan ere, Telekomunikazioei buruzko Lege Orokorra, Datuak babesteko Legea, Europar Batasuneko araudia (datuak babesteari buruzko zuzentaraua, e-Privacy zuzentaraua, e-Privacy erregelamendu berri baten proposamena) eta Estatuko nahiz Europako gainerako araudiak saiatu dira sektore horretako datuak babesteko erregimena ezartzen, baina agian ez da erabat lortu. Horregatik aztertu behar da eratu den erregimen juridikoa nahikoa den eta, horrez gain, bateragarria den Datuak Babesteko Erregelamendu Orokorrarekin (DBEO) eta datu pertsonalak babesteari eta eskubide digitalak bermatzeari buruzko abenduaren 5eko 3/2018 Lege Organikoarekin (DPBEDBLO).

HITZ GAKOAK Telekomunikazioak. Trafikoari buruzko datuak. Datuen kontserbazioa. Sare-interkonexioak. Datuak babestea.

ABSTRACT: The telecommunications sector (or electronic communications sector) is constantly putting data protection to the test and, it is possible, that we see how this sector empties this fundamental right out. This will be cases such as those of network interconnections, network operators or instant messaging services that may conflict with personal data, such as traffic data, and may even violate the right to respect for communications or for private and family life. Thus, the Spanish General Telecommunications Law, the Data Retention Law or European regulation such as the Data Retention Directive, the e-Privacy Directive, the proposal for a new e-Privacy Regulation (ePR) and other national and European regulations have attempted to build a regime that protects data protection in this sector, but it may not have been achieved at all. Therefore, it is necessary to analyze whether the legal regime built is sufficient and, in addition, if it is compatible with the General Data Protection Regulation (GDPR) and with the Organic Law 3/2018, of 5 December, on the Protection of Personal Data and Guarantee of Digital Rights.

KEYWORDS: Telecommunications. Traffic data. Data retention. Network interconnections. Data protection.

RESUMEN: El sector de las telecomunicaciones o comunicaciones electrónicas pone constantemente a prueba la protección de datos y, es posible, que podamos ver cómo este sector vacía de contenido este derecho fundamental. Ello serán casos como los de las interconexiones de redes, operadores de red o sistemas de mensajería instantánea que pueden entrar en conflicto con datos personales, como los datos de tráfico, pudiendo llegar a vulnerar, incluso, el secreto de las comunicaciones o la intimidad. Así, la Ley General de Telecomunicaciones, la Ley de Conservación de Datos o regulación comunitaria como la Directiva sobre Conservación de Datos, la Directiva e-Privacy, la propuesta de un nuevo Reglamento e-Privacy y demás normativa nacional y europea han intentado construir un régimen que proteja la protección de datos en este sector, pero puede que no se haya conseguido del todo. Por ello, es preciso analizar si el régimen jurídico construido es suficiente y si, además, este es compatible con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

PALABRAS CLAVE: Telecomunicaciones. Datos de tráfico. Conservación de datos. Interconexiones de redes. Protección de datos.

Sumario: I. Introducción. —II. El derecho fundamental a la protección de datos: consideraciones generales. —III. Redes de Telecomunicaciones, interconexiones de redes, sistemas de mensajería instantánea y datos de tráfico: problemática general. 1. Prestadores de servicios de la Sociedad de la Información y prestadores de servicios de comunicaciones electrónicas y operadores de red. 2. Interconexiones de redes en el sector de las Telecomunicaciones y su problemática. 3. Los sistemas de mensajería instantánea y su funcionamiento: WhatsApp. 3.1. Litigar contra WhatsApp: competencia y legislación aplicable. — IV. Análisis jurídico de la protección de datos en las telecomunicaciones: la conservación de los datos de tráfico y su marco normativo. 1. Los datos de tráfico: datos de carácter personal. 2. La conservación de los datos de tráfico. 2.1. La conservación de datos como norma general: lucha contra la delincuencia. 2.2. La conservación de datos como excepción: facturación y pagos de interconexiones. —V. Conclusiones.—Abreviaturas y siglas.—Bibliografía. —Webgrafía.

«Mr. Watson —come here— I want to see you»(1)

I. Introducción

Como animales sociales (zôion politikón), siguiendo la filosofía aristotélica(2), el ser humano tiene la necesidad social de comunicarse, siendo esta una condición que siempre formará parte de nosotras y nosotros. De esa necesidad surgieron también las comunicaciones a cierta distancia, las telecomunicaciones, donde cobraron relevancia los telégrafos hidráulicos(3) y el correo postal, en la antigüedad, los telégrafos del siglo xix, el sistema telefónico de Graham Bell o los actuales smartphones, llamadas telefónicas y videollamadas.

Este tipo de comunicaciones actuales, encaminadas a través de redes de telecomunicaciones, sin embargo, pueden entrar en conflicto con algunos de nuestros derechos fundamentales, en especial, con la protección de datos. En los casos como los de los prestadores de servicios de comunicaciones electrónicas, operadores de red, interconexiones de red o sistemas de mensajería instantánea nuestros datos personales «viajarán» cada segundo de un lado a otro y nos podemos encontrar en una situación de desprotección. Todo ello puede hacer que perdamos el control sobre nuestros datos personales, que es exactamente lo contrario de lo que significa el derecho a la protección de datos. Debemos por ello analizar estas situaciones para ver cómo se adaptan a la protección de datos y si son compatibles con esta. Todo ello desde la perspectiva de dos normas básicas en la materia: el Reglamento General de Protección de Datos(4) (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los Derechos Digitales (LOPDGDD).

Para hacer este análisis de la protección de datos en el ámbito de las comunicaciones electrónicas, además, deberemos combinar las citadas RGPD y LOPDGDD junto con otras cinco normas españolas y comunitarias en este ámbito: la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (en lo sucesivo, LGT), la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (en adelante, LCD) —norma que transpuso la Directiva sobre Conservación de Datos (en lo sucesivo, DCD)(5)—, el Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios (en adelante, RCPSCESUPU), la Directiva sobre la privacidad y las comunicaciones electrónicas(6) (en lo sucesivo, Directiva e-Privacy) y el Código Europeo de las Comunicaciones Electrónicas(7). Tejiendo y combinando estas siete normas podremos ver si se cumple el contenido esencial de la protección de datos en este ámbito, analizando primero la problemática que se nos presenta en la práctica diaria y aplicando, después, el régimen jurídico previsto en estas normas.

Por otro lado, nos es necesario, asimismo, mencionar la propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas(8) (denominado ya «Reglamento e-Privacy»), cuyo objeto es actualizar la ya anticuada Directiva e-Privacy y está enmarcado dentro de la estrategia comunitaria para el Mercado Único Digital («Estrategia MUD»), con voluntad de establecer que no solo las operadoras de telecomunicaciones tradicionales queden bajo la aplicación de la normativa comunitaria e-Privacy (normativa sobre privacidad y comunicaciones electrónicas), sino también las llamadas «empresas OTTs» (over-the-top) —quienes actualmente están fuera de su aplicación—; pero, en este caso, limitándonos a la simple mención(9) ya que ni está aprobado aún(10).

II. El derecho fundamental a la protección de datos: consideraciones generales

El derecho fundamental a la protección de datos lo encontramos reconocido, garantizado y protegido tanto en el ámbito nacional, como en el comunitario e internacional, pero son especialmente tres los preceptos más relevantes que lo recogen: el artículo 18.4 de la CE, el artículo 8 de la CDFUE y el artículo 16 del TFUE(11). Debemos tener en cuenta que se trata, hoy en día, de un derecho que se ha europeizado(12), por lo que no podemos basarlo únicamente en la CE.

En cuanto a su desarrollo jurisprudencial, según el Tribunal Constitucional (TC), el artículo 18.4 incorpora un nuevo derecho fundamental, dotándolo de plena autonomía respecto del derecho a la intimidad(13) y corroborando plenamente la doctrina acerca de la autonomía del derecho a la protección de datos(14), y ha venido declarando que este derecho consagra en sí mismo un derecho o libertad fundamental y atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos(15), configurándolo, así, como un derecho de prestación.

Comprende, asimismo, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención(16), siendo la finalidad de este derecho fundamental «garantizar a la persona un poder de disposición sobre el uso y destino de sus datos con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado, garantizando a los individuos un poder de disposición sobre esos datos»(17). Del mismo modo, debemos unirlo a la dignidad de la persona(18) (art. 10.1 CE), siguiendo el criterio del TC(19), y nos es necesario mencionar también el Convenio n.º 108+ para la protección de las personas con respecto al procesamiento de datos personales(20), ya que es fundamento para interpretar el derecho a la protección de datos (art. 10.2 de la CE).

El contenido del derecho fundamental a la protección de datos, por otro lado, se ve claramente reflejado en los dos pilares del RGPD y en la LOPDGDD: primero, los «derechos ARSLOP»(21) y, segundo, el consentimiento(22). Ambos son la piedra angular de la protección de datos y su tratamiento(23), formando este parte del contenido esencial del derecho(24).

En cuanto al objeto de protección, por último, resulta claro que son los datos personales, que, según el RGPD, son «toda información sobre una persona física identificada o identificable» (art. 4, apartado 1). Lo que se pretende proteger, al fin y al cabo, es la posibilidad de identificar a la persona que hay detrás de un dato de carácter personal (al superar el dato personal, estaríamos ante una persona física y entraría en juego también el derecho fundamental a la intimidad), la información del dato personal debe, así, poder vincularse a una persona(25). Los datos personales objeto de tutela, por lo tanto, serán todos aquellos datos sobre una persona física identificada o identificable (art. 4, apartado 1, del RGPD), es decir, todos aquellos que identifican o permitan identificar a cualquier persona(26).

III. Redes de Telecomunicaciones, interconexiones de redes, sistemas de mensajería instantánea y datos de tráfico: problemática general

A modo de introducción al apartado, al hablar de red de telecomunicaciones nos referimos a una red de enlaces y nodos (y, a veces, de satélites u ondas) ordenados para la comunicación a distancia, donde los mensajes pueden transmitirse de una parte a otra de la red sobre múltiples enlaces y a través de varios nodos, siendo el nodo un punto de intersección, conexión o unión de varios elementos que confluyen en el mismo lugar, punto en el que una curva se interseca consigo mismo, aunque depende del tipo de redes a que nos refiramos(27).

A efectos del Código Europeo de las Comunicaciones Electrónicas serán red de comunicaciones electrónicas los sistemas de transmisión, estén basados o no en una infraestructura permanente o en una capacidad de administración centralizada, y, cuando proceda, los equipos de conmutación o encaminamiento y demás recursos, incluidos los elementos de red que no son activos, que permitan el transporte de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las redes de satélites, redes fijas (de conmutación de circuitos y de paquetes, incluido internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transportada (art. 2).

1. Prestadores de servicios de la Sociedad de la Información y prestadores de servicios de comunicaciones electrónicas y operadores de red

La extraordinaria expansión de las redes de telecomunicaciones y, en especial, de Internet como vehículo de transmisión e intercambio de todo tipo de información ha hecho que hoy en día estemos ante lo que se ha denominado como «Sociedad de la Información»(28). En esa sociedad de la información encontraremos los prestadores de servicios de la Sociedad de la Información (SSI), que según la LSSICE(29) son prestadores de SSI los operadores de telecomunicaciones, los proveedores de acceso a Internet, los portales, los motores de búsqueda o cualquier otro sujeto que disponga de un sitio en Internet(30). Es decir, por ejemplo, agregadores de noticias, motores de búsqueda como Google, plataformas de streaming como Netflix o Amazon Prime Video, servicios de comercio online como Amazon, plataformas de música en streaming como Spotify, redes sociales como Twitter o Facebook(31), etc.

En el ámbito de las telecomunicaciones o comunicaciones electrónicas, en cambio, encontraremos, por un lado, a los operadores o prestadores de servicios de comunicaciones electrónicas —también llamados proveedores de acceso a una red de telecomunicaciones(32), proveedores de servicios de Internet o Internet service provider, ISP, en su versión inglesa— que son las compañías con las que usualmente contratan los usuarios finales, y, por otro lado, a los operadores que explotan redes públicas de comunicaciones electrónicas u operadores de red, las compañías que ofrecen red e infraestructuras de telecomunicaciones(33) y que explotan redes públicas de telecomunicaciones. Como competencia exclusiva del Estado (art. 149.1.21.º de la CE), todo ello es regulado por la ya mencionada LGT.

Debemos, por lo tanto, distinguir los prestadores de SSI (regulados por la LSSICE) y aquellos que facilitan el encaminamiento o transmisión del mensaje, sin que este servicio esté vinculado a su contenido(34), que son los prestadores de servicios de comunicaciones electrónicas y los operadores de red (regulados por la LGT).

Sin embargo, ambos están unidos y, aunque cada cual tenga su sector de operaciones, encontramos un régimen especial en el ámbito de la responsabilidad. Así, según la LSSICE, los operadores redes de telecomunicaciones y proveedores de acceso, no serán responsables por la información transmitida, salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos (art. 14.1 de la LSSICE). Por lo que aunque los prestadores de servicios de comunicaciones electrónicas (o proveedores de acceso) y operadores de red se limiten a prestar un servicio de intermediación que consiste en una transmisión por una red de telecomunicaciones, sí que tendrán responsabilidad en los casos mencionados.

En 2019, por otro lado, el TJUE declaró, en caso Skype Communications Sàrl e IBPT, que aplicaciones como Skype o WhatsApp son operadores de telecomunicaciones a todos los efectos, colocándolos a la misma altura que un operador de telecomunicaciones europeo, con las mismas obligaciones y derechos(35), siguiendo así la doctrina ya establecida(36), por lo que quedan sujetos a la normativa comunitaria y legislación en materia tanto de protección de datos, como de comunicaciones electrónicas. Luego las aplicaciones como WhatsApp, que también pueden suponer un peligro para la protección de datos y su normativa como veremos a continuación, deberán cumplir la normativa y legislación en materia de telecomunicaciones y protección de datos.

Para el Tribunal de Luxemburgo, en cambio, plataformas como Gmail no constituirían un «servicio de comunicaciones electrónicas», ya que estamos ante un servicio de correo electrónico que no incluye el acceso a Internet y no consiste en su totalidad o principalmente en el transporte de señales a través de redes de comunicaciones electrónicas(37).

2. Interconexiones de redes en el sector de las Telecomunicaciones y su problemática

Como ya hemos mencionado al principio de este apartado, por un lado, en el ámbito de la Sociedad de la Información, encontraremos a los prestadores de SSI (motores de búsqueda, plataformas de compraventa online, redes sociales, etc.) y, por otro lado, en el sector de las telecomunicaciones, tendremos a los operadores o prestadores de servicios de comunicaciones electrónicas, con quien usualmente contratan los usuarios finales (las compañías de telefonía son un claro ejemplo de ello), y a los operadores que explotan redes públicas de comunicaciones electrónicas u operadores de red, las que no son directamente contratadas por los usuarios finales, o sí (puede que una compañía telefónica ofrezca preste servicios de telefonía, pero no tenga una red propia y tenga que contratar a una empresa que se la suministre).

Así, los operadores que facilitan el acceso al servicio son prestadores de servicio, que usualmente facturan al usuario final y con el que han contratado dicho servicio. De este modo, los operadores de red pueden coincidir con los prestadores de servicio si las comunicaciones atraviesan una red explotada por el mismo operador (que será, al mismo tiempo, prestador de servicio y operador de red, al tener red propia), pero, también puede suceder, que la comunicación sea enviada y encaminada a través de redes gestionadas por otros operadores de red mediante mecanismos de interconexión de redes(38).

En los casos en los que un prestador de servicio (v. g. una compañía telefónica) tenga red propia, será, al mismo tiempo, prestador de servicio y operador de red, pero si no tuviera red, como hemos mencionado, esa compañía tendría que contratar la red de otra compañía que sí la tuviere para poder prestar ese servicio de acceso a los usuarios finales(39). Uno de los problemas nos aparecerá en esos casos, en los que el prestador de servicio no sea operador de red y las comunicaciones electrónicas deban ser encaminadas a través de las interconexiones de redes(40), ya que el usuario final estará haciendo uso de una red que no es gestionada por su compañía prestadora de servicios, con la que ha contratado los servicios de telefonía. Así, ese operador de red conseguirá los datos de tráfico de las comunicaciones que haga el usuario final, esto es: conseguirá datos de un usuario que no es cliente suyo y con quien no tiene ninguna relación contractual, dado que el usuario final contrata los servicios de telefonía, y la compañía, por su parte, si no tuviere red propia, contratará sus servicios con otra compañía. El problema planteado es que el usuario final no sabe que cada vez que haga una llamada esa llamada va a realizarse mediante una compañía con la que él no ha contratado los servicios, ni siquiera se le ha informado de ello, y esa tercera compañía va a conseguir los datos de tráfico de esa comunicación (número de móvil, lugar, fecha y hora de la llamada, duración de la llamada, etc.), datos sobre los que el usuario no ha dado el consentimiento, porque con quien él ha contratado los servicios de telefonía y cuyo consentimiento ha dado ha sido con su compañía de telefonía, no con la titular de la red. Este problema que nos aparece en este supuesto es parecido al que nos aparecerá en el segundo caso de interconexión de redes.

El segundo ejemplo de interconexión de redes aparecerá en los casos en los que un usuario final que ha contratado sus servicios de telefonía, por ejemplo, con un prestador de servicios que es operador de red al mismo tiempo, llamase a otro usuario final que ha contratado sus servicios de telefonía con un prestador de servicios distinto al primero(41). En esos casos habrá una interconexión de redes entre las dos redes de los dos distintos operadores de red y las compañías contrarias conseguirían los datos de tráfico de la llamada del usuario que no ha contratado con ellas(42). Es decir, en estos casos, se va a interconectar la red propia con las de los competidores a efectos de que el usuario final (cliente) de una compañía pueda establecer comunicación con los de otras. Al igual que en el anterior supuesto, como hemos mencionado, estos datos recogerán: el número de móvil, la duración de la llamada, hora y día de la llamada, correo electrónico, etc.(43).

El nodo —punto de intersección, conexión o unión de redes(44)—, además, almacenará también todos estos datos, al haber redirigido las redes e interconexiones entre ellas. El problema nos aparecerá, de nuevo, aquí, dado que ninguna de las compañías ha advertido al usuario de la otra compañía que esa interconexión iba a suceder, ni que iba a obtener datos personales suyos, ni los derechos que le asisten, ni su consentimiento.

Este será nuestro problema en estos supuestos, que unas compañías ajenas a un usuario final conseguirán sus datos de tráfico de cada comunicación electrónica que realicen, lo que nos deja ante un escenario que resulta peligroso para la protección de datos. Situación, esta, sin embargo, que tiene una regulación que impone unos límites, como veremos en el siguiente apartado.

3. Los sistemas de mensajería instantánea y su funcionamiento: WhatsApp

Cuando hablamos de mensajería instantánea hacemos referencia a una forma de comunicación entre dos personas (o más) basada en un texto que es enviado a través de dispositivos conectados a internet o datos móviles (3G, 4G, 4G LTE, 5G, etc.), sea cual sea la distancia que exista entre los dispositivos conectados. Este tipo de comunicación ha ido renovándose desde sistemas de mensajería instantánea como Windows Live Messenger, entre otros(45), hasta más actuales como WhatsApp, también entre muchos otros(46). Estos sistemas constituyen una forma de comunicación electrónica, mediante la cual se envían mensajes, datos, imágenes, etc., lo que implica una conexión directa con la protección de datos.

Para entender el funcionamiento de estos sistemas de mensajería instantánea, debemos primero analizar cuál es su modo de operar, para un posterior análisis sobre su compatibilidad con la protección de datos. Para ello utilizaremos como ejemplo el sistema WhatsApp, al ser el más conocido y utilizado. Cuando un usuario (emisor) escribe un texto y lo envía (o envía una imagen, un documento, etc.), ese texto se envía a los servidores de la compañía de WhatsApp, donde se procesa y se reenvía directamente al otro usuario (receptor-destinatario), enviando una señal informática para que el servidor lo elimine(47). Así, cuando A pulsa «enviar» para mandarle un mensaje a B, esa acción lo que hace es conectar con el servidor y envía un código que es leído por el programa informático y envía, al mismo tiempo, un código de vuelta para la llamada «retención simple», de tal manera que el usuario emisor ve el mensaje en su interfaz. Si el usuario B está conectado, el servidor ejecuta un árbol de decisiones de forma automática hasta producir la inserción del mensaje en el cliente B(48).

En cuanto a la seguridad de este sistema de mensajería instantánea, éste, como muchos otros, utiliza el Protocolo extensible de mensajería y comunicación de presencia (Extensible Messaging and Presence Protocol, en inglés), con ese protocolo de seguridad abierto, el usuario se conecta a un servidor informático y WhatsApp (el software) envía la dirección IP y el número del puerto del dispositivo que utiliza el usuario. Por otro lado, después de algunos problemas de seguridad(49), en abril de 2016, WhatsApp comenzó a implementar el cifrado de extremo a extremo(50). Pero, aunque desde 2016 se haya implementado ese nuevo cifrado no pudiendo los terceros (ni la compañía) leer los mensajes ni ver los archivos que se envían entre los usuarios (antes sí), WhatsApp sí puede visualizar cuándo fueron los mensajes enviados, recibidos y vistos, lo que supone una clara vulneración del derecho a la protección de datos, como veremos a continuación — más aún antes del año 2016, ya que las comunicaciones no estaban encriptadas y los datos se recibían en texto sin formato, lo que significaba que los mensajes podían leerse fácilmente si se disponía de los paquetes enviados—.

Una vez analizado el funcionamiento de este sistema tenemos claro que WhatsApp, como todos los demás sistemas de mensajería instantánea, es un «mensajero» que transporta la comunicación de un usuario a otro, y que puede suponer un peligro para la protección de datos.

Por último, cabe mencionar que el Reglamento e-Privacy servirá para garantizar la confidencialidad de las comunicaciones electrónicas de los usuarios que tienen lugar a través de servicios de comunicación basados en IP (como WhatsApp), algo que la Directiva e-Privacy actual no contempla.

3.1. Litigar contra WhatsApp: competencia y legislación aplicable

Como el presente trabajo analiza los sistemas de mensajería instantánea y la mayoría de ellas suelen ser sistemas internacionales, debemos analizar cómo convergen legislación comunitaria/española y estos sistemas cuando operan en la UE o España, para un posterior análisis sobre la normativa que los regula. Por esa razón, cabe hacer mención en este apartado a cómo sería posible litigar contra WhatsApp —para los casos en los que haya vulneraciones como las que acabamos de mencionar o, por ejemplo, por si ejercitamos los derechos ARSLOP y la compañía los rechazase—. Para ello, debemos aclarar las dos dudas más importantes del derecho internacional privado: dónde demandar a WhatsApp (fuero) y qué ley le es aplicable a WhatsApp.

Si bien la sede central de la sociedad WhatsApp Inc. está en California(51), es la compañía WhatsApp Ireland Limited(52) con domicilio en Irlanda (UE) quien proporciona los servicios en el ámbito geográfico que la sociedad denomina «Región europea»(53), por lo que debemos remitirnos al Reglamento Bruselas I bis(54). Dado que WhatsApp Ireland Ltd. ejerce «actividades comerciales o profesionales en el Estado miembro del domicilio del consumidor o, por cualquier medio, dirija tales actividades a dicho Estado miembro o a varios Estados miembros, incluido este último, y el contrato esté comprendido en el marco de dichas actividades»(55), como consumidores, podremos elegir si interponer la acción en el Estado miembro donde esté domiciliado WhatsApp (Irlanda) o en el de nuestro domicilio(56), como consumidores. En nuestro caso, si optásemos por el Estado miembro de nuestro domicilio, España, el fuero resultante, a tenor de la legislación procesal civil española (art. 52.3 de la LEC), sería únicamente el del domicilio del consumidor(57).

Para determinar la ley aplicable, por otro lado, debemos acudir al Reglamento Roma I(58), teniendo en cuenta el domicilio de WhatsApp Ireland Ltd. (Irlanda, UE). Teniendo en cuenta, una vez más, que WhatsApp Ireland Ltd. ejerce «sus actividades comerciales o profesionales en el país donde el consumidor tenga su residencia habitual, o por cualquier medio dirija estas actividades a ese país o a distintos países, incluido ese país», la ley aplicable sería la del país en que el consumidor tenga su residencia habitual(59), en nuestro caso concreto la legislación española.

WhatsApp Ireland Ltd., sin embargo, ha establecido una cláusula de resolución de disputas en la que establece que la competencia y la ley aplicable será la del Estado miembro del domicilio del consumidor(60). Esta cláusula, si bien es aceptable en lo que respecta a la ley aplicable(61), no es válida en lo que respecta a la competencia ya que esta debe ser posterior al nacimiento del litigio(62), por lo que la ley aplicable sería la ley española, según la cláusula de WhatsApp, y la competencia sería de los juzgados y tribunales de España, pero no según la cláusula, sino según el reglamento Bruselas I bis, dado que la cláusula es contraria al reglamento.

IV. Análisis jurídico de la protección de datos en las telecomunicaciones: la conservación de los datos de tráfico y su marco normativo

1. Los datos de tráfico: datos de carácter personal

Según la Directiva e-Privacy son datos de tráfico cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma (art. 2). Estos datos de tráfico que tendremos presentes cada vez que se produzca una comunicación electrónica —datos sobre llamadas, IPs, localización u otros—, según el TJUE, considerados en su conjunto, «permiten extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se han conservado, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, sus relaciones sociales y los círculos sociales que frecuentan»(63). Estos datos, en suma, constituyen datos personales en tanto en cuanto identifican o hacen identificables a personas físicas(64) (art. 4, apartado 1, RGPD).

Es decir, podemos estar ante un dato personal simple o compuesto: una dirección IP o número de teléfono (dato simple) que tiene un titular y sólo sería necesario comprobar quién es el titular —buscando el número de teléfono, por ejemplo, en los listines telefónicos(65) o buscadores—, con lo que estaríamos hablando de una persona física identificada o identificable, o bien, otros datos de tráfico que considerados en su conjunto (fecha y hora de la comunicación electrónica, lugar, duración, etc.) que permiten identificar a una persona física (el dato personal es el derivado del conjunto de estos datos, como un «perfil»). Así, un sólo dato (duración de la llamada) no sería un dato personal stricto sensu, porque no permite identificar a una persona, pero considerados en su conjunto serían un dato de carácter personal, una información sobre una persona física identificada o identificable, datos que permiten identificar a una persona(66), datos personales objeto de tutela.

2. La conservación de los datos de tráfico

Como hemos visto, en el sector de las telecomunicaciones se da una constante retención y almacenamiento de estos dato de tráfico. Todo ello podría dejar sin efecto y contenido el derecho a la autodeterminación informativa, como el poder de cada persona de disponer y controlar sus datos personales y como capacidad de cada persona de decidir cuándo y en qué condiciones dar a conocer las situaciones y datos sobre su vida, siendo necesaria la protección del individuo frente a la recopilación, almacenamiento, utilización y cesión de los datos(67).

Esta situación, por otro lado, no solo hará temblar los cimientos de la protección de datos (art. 18.4 CE), sino que, además, hará temblar también los del secreto de las comunicaciones (art. 18.3 CE), dos derechos fundamentales que gozan de especial trascendencia y protección constitucional(68). Debemos recordar que, según la doctrina reiterada del TC, el secreto de las comunicaciones, en una sociedad tecnológicamente avanzada como la actual, constituye no sólo garantía de libertad individual, sino instrumento de desarrollo cultural, científico y tecnológico colectivo(69), y no sólo protege el contenido de la comunicación, sino también la identidad subjetiva de los interlocutores(70), la mera existencia de dicha comunicación, las circunstancias externas del proceso de comunicación (el hecho de que se produzca la comunicación en fecha y hora concretos, duración de la misma, etc.)(71) y el soporte de la comunicación (independientemente del contenido de la misma)(72). Encontraremos todos ellos en cualquier comunicación electrónica —por ello la LGT, o ley que regule este sector, debe respetar, garantizar y proteger el secreto de las comunicaciones(73)—, por lo que resulta claro que el secreto de las comunicaciones resultará también vulnerado en la mayoría de los casos.

Como hemos mencionado, los datos que se guardan (fecha y hora de la llamada, duración, destinatario, número marcado, etc.) son datos que los proveedores de redes y servicios almacenan y retienen, lo que entran en conflicto con la protección de datos y el derecho a la intimidad(74); y es así como lo entiende el TEDH, según el cual en esas situaciones, cuando no hay consentimiento previo del titular de esos datos, puede vulnerarse el derecho a la vida privada y familiar(75). Así, solamente puede accederse a dichos datos cuando una ley así lo establezca expresamente y siempre que sea una medida proporcional y necesaria en una sociedad democrática(76), requisito que se cumplirá, según el Tribunal de Estrasburgo, siempre que se recojan garantías suficientes contra los abusos(77). En este sentido, serán dos los escenarios sobre el almacenamiento de estos datos, uno con carácter general y, otro, como excepción.

2.1. La conservación de datos como norma general: lucha contra la delincuencia

La LCD, siguiendo la Directiva sobre Conservación de Datos (DCD), ha establecido la obligación de los prestadores de servicios de comunicaciones electrónicas de conservar los datos de tráfico y de localización sobre personas físicas y jurídicas con fines de detección, investigación y enjuiciamiento de delitos graves (art. 1 LCD), lo mismo que estableció la DCD (art. 1 DCD). La LCD avala, así, la conservación generalizada de datos con un fin: la lucha contra la delincuencia.

Los datos que se deben conservar son aquellos que permitan identificar el origen y destino de las comunicaciones electrónicas (número de teléfono, IP, dirección del abonado, etc.), el tipo de comunicación (voz, SMS, datos, MMS, etc.), el identificador del aparato de comunicación (IMEI, IMSI, DSL,...), el número de teléfono de origen y destino y los necesarios para localizar un equipo móvil. Recordemos, por otro lado, que según el TS, las direcciones IP son datos personales, ya que contienen información concerniente a personas físicas identificadas o identificables(78), siguiendo el mismo criterio que el TJUE(79),(80).

En cuanto al plazo de conservación, según la LCD, los datos de tráfico deberán conservarse durante un plazo de doce meses, computados desde la fecha en que se haya producido la comunicación, ampliables reglamentariamente hasta un máximo de dos años y reducibles hasta un mínimo de seis meses(81); decisión que se basa en criterios como el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de un delito grave, previa consulta de los operadores(82). Se establece, así, la conservación generalizada de datos con la lucha contra la delincuencia como fin y con un plazo de doce meses.

Todo ello, en cambio, fue puesto en duda por el TJUE, según el cual, la lucha contra la delincuencia grave es un motivo válido para conservar los datos de tráfico y localización de determinadas personas (al ser lucha contra la delincuencia grave para garantizar la seguridad pública interés general de la unión(83)), pero no de manera generalizada, sino de manera excepcional y limitada.

El Tribunal de Luxemburgo ha sido extremadamente restrictivo con la prevalencia de los intereses generales de la UE como justificación de la injerencia en la protección de datos y, así, en el caso Digital Rights Ireland y Seitlinger y otros el tribunal anuló la Directiva sobre Conservación de Datos (DCD), porque posibilitaba la conservación da algunos datos(84), expresando que aunque sí se cumplía el requisito de «interés general» (lucha contra la delincuencia grave, en este caso), éste no puede servir para justificar cualquier medida(85). De este modo, el Tribunal declaró que la DCD y su regulación constituían una injerencia en los derechos fundamentales de respeto de la vida privada y familiar, del domicilio y de las comunicaciones y de protección de datos de carácter personal protegidos por la CDFUE(86) —a pesar de que no se conserve el contenido de las comunicaciones— y especial gravedad en el ordenamiento jurídico de la Unión, sin que esta injerencia esté regulada de manera precisa por disposiciones que permitan garantizar que se limita efectivamente a lo estrictamente necesario(87). Cabe recordar que según la jurisprudencia del TJUE, el principio de proporcionalidad exige que los actos de las instituciones de la Unión sean adecuados para lograr los objetivos legítimos perseguidos por la normativa de que se trate y no rebasen los límites de lo que resulta apropiado y necesario para el logro de dichos objetivos(88).

A ello le es de adhesión, además, que en el año 2016 el TJUE declaró que el Derecho de la Unión se opone a que una normativa nacional establezca, con la finalidad de luchar contra la delincuencia, la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica(89).

Resulta necesario mencionar, por último, que estamos ante una situación jurídicamente desconcertante: una sentencia del TJUE que ha anulado una Directiva entera (la DCD), siendo traspuesta dicha directiva por la LCD española, por lo que, desde un punto de vista comunitario, la LCD está materialmente derogada, ya que su contenido es una copia de una Directiva anulada por el TJUE. La LCD, sin embargo, no ha sido derogada formalmente, por lo que está en una especie de ‘limbo legal’: no ha sido reemplazada por otra, pero su vigencia y aplicabilidad resulta dudosa atendiendo al criterio del tribunal(90).

2.2. La conservación de datos como excepción: facturación y pagos de interconexiones

En cuanto a la conservación de datos como excepción, la Directiva e-Privacy estableció que los datos de tráfico debían eliminarse o hacerse anónimos cuando ya no sean necesario a los efectos de la transmisión de una comunicación, como norma general, con la excepción de los necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones (art. 6.1 y 6.2 de la Directiva e-Privacy).

Eso mismo fue recogido por el artículo 38 de la LGT de 2003(91) —­cuyo equivalente encontramos en el artículo 48 de la actual LGT de 2014—: los datos de tráfico deben hacerse anónimos o cancelarse (suprimirse), salvo los necesarios a efectos de facturación y pagos de las interconexiones(92). Así lo recoge también el RCPSCESUPU y la LGT, con una distinción: la primera lo recoge como un mandato directo a los operadores(93) y la segunda como un derecho del usuario final(94). Los datos de tráfico, por lo tanto, podrán conservarse, como excepción, con un objetivo: que sean necesarios a efectos de facturación y pagos de las interconexiones.

De este modo, al considerarse ese tipo de datos como personales, su tratamiento se justifica únicamente por la relación contractual entre operador y usuario final, así como para la facturación de llamadas(95). En este sentido, el operador solamente puede ceder, modificar y emplear esos datos con la finalidad de realizar gestiones propias del servicio, como la reclamación del pago, la emisión de las facturas o la reparación del mismo(96).

En cuanto al plazo, la Directiva e-Privacy fue clara: el almacenamiento de esos datos de tráfico (con fines de facturación y pagos de interconexiones) debe ser durante un tiempo limitado(97) y, así, estableció que podrán ser tratados únicamente hasta la expiración del plazo durante el cual pueda impugnarse la factura o exigirse el pago (art. 6.2 de la Directiva e-Privacy). Es así como lo han recogido también la LGT y el RCPSCESUPU: durante el plazo para la impugnación de la factura o para exigir su pago(98) —podemos deducir que el plazo se computa desde la fecha en que se haya producido la comunicación, haciendo una analogía con la LCD (art. 5.1 de la LCD)—.

Según la citada disposición podemos distinguir dos plazos: el plazo para la «impugnación de la factura» y el plazo para «exigir su pago». En cuanto al primero de ellos («impugnación de la factura»), según la legislación el plazo será de tres meses(99) para formular reclamación ante la SETSI(100), desde que el operador resuelve negativamente o desde que pasa un mes desde que se reclamó ante él(101). En lo que respecta al segundo plazo («exigir su pago»), el operador puede exigir el pago hasta la prescripción de la acción, lo que nos remite directamente al artículo 1964.2 del Código Civil (CC), que establece el plazo de cinco años para las acciones personales —con las especialidades de la reforma operada en dicho artículo en el año 2015(102)—. Estamos, por lo tanto, ante un plazo de tres meses («impugnación de la factura») y ante otro de cinco años («exigir su pago»), por lo que se deduce que el plazo será de cinco años, dado que el plazo menor quedará subsumido en el mayor.

El legislador, por lo tanto, ha establecido dos límites al tratamiento y almacenamiento de este tipo de datos: uno temporal, según el cual dichos datos podrán conservarse durante el plazo para la impugnación de la factura o para exigir su pago (plazo de cinco años, según el CC), y otro finalista, por el cual esos datos solamente y exclusivamente deben ser tratados a efectos de realizar las facturaciones y los pagos de interconexiones correspondientes. Esto cumple con dos de los principios relativos al tratamiento del RGPD: que los datos sean recogidos con fines determinados, explícitos y legítimos y que la duración del tratamiento sea limitada a lo necesario en relación con los fines para los que son tratados dichos datos (art. 5.1 del RGPD). De esta manera la legislación ha querido dar respuesta a un panorama que resultaba bastante peligroso para protección de datos, dado que los datos de tráfico en su conjunto pueden identificar perfectamente a una persona, encontrándonos ante un dato personal.

Se diferencia, de este modo, la conservación de datos como obligación y como excepción: frente a la posibilidad, como excepción, según la Directiva e-Privacy, de conservar los datos con el fin de impugnarse la factura o exigirse el pago (durante un plazo de cinco años), la DCD y LCD impone la obligación de conservarlos, como norma general (durante doce meses), omitiéndose toda mención al consentimiento(103).

En lo que respecta a WhatsApp (ejemplo que hemos analizado) tendremos una situación problemática: como hemos mencionado a la sociedad WhatsApp Ireland Ltd. le es aplicable la legislación del Estado miembro en que el consumidor tenga su residencia habitual(104) (España, en nuestro caso) y según el TJUE aplicaciones como WhatsApp son operadores de telecomunicaciones a todos los efectos(105), por lo que, todo ello quiere decir que a todos los contratos firmados con consumidores que tengan la residencia habitual en España se les aplicará la legislación y normativa española en materia de comunicaciones electrónicas. Así, los datos de todos aquellos consumidores con residencia en España están sujetos, por lo tanto, a la obligación de conservación durante un plazo de doce meses, según la LCD, y a la posibilidad de almacenarlos y tratarlos, para la impugnación de la factura o para exigir su pago, durante un plazo de cinco años, según la LGT y el RCPSCESUPU. En el primero de los supuestos (conservación como norma general), la legislación irlandesa, la Ley de Comunicaciones (conservación de datos) de 2011(106) hace lo propio estableciendo un periodo de dos años y un mes o de un año y un mes, siguiendo una distinción de dos tipos de categorías de datos que hace la ley(107).

En general, el problema es que los operadores de comunicaciones electrónicas (en los casos de interconexiones) almacenan, por defecto, los datos de tráfico. Desde la óptica de conservación de datos como norma general, no incumpliría la DCD y LCD, en principio, pero el TJUE ha establecido que no cabe la conservación generalizada, como hemos visto, por lo que podría haber una vulneración de la normativa. Desde la óptica de la conservación de datos como excepción sí habría una clara vulneración, ya que los datos son almacenados automáticamente, cuando únicamente puede conservar los necesarios para la impugnación de la factura o para exigir su pago (datos de usuarios que, por ejemplo, no hayan abonado el pago por los servicios prestados, pero no de los demás).

V. Conclusiones

Como hemos visto y analizado, el sector de las telecomunicaciones resulta un punto débil de la protección de datos que pone en riesgo nuestros datos personales e, incluso, nuestra intimidad. Cierto es que tenemos una normativa bastante amplia que ha tratado de construir un régimen jurídico para hacer frente a las vulneraciones que en el sector de las telecomunicaciones puedan darse de la protección de datos —tanto a nivel nacional (LCD, LGT, RCPSCESUPU, etc.), como a nivel comunitario (DCD, Directiva e-Privacy, Código Europeo de las Comunicaciones Electrónicas, etc.), sin olvidar, asimismo, el RGPD y la LOPDGDD—, sin embargo, este régimen pende de un hilo, como hemos mencionado: una directiva anulada por el TJUE y una ley cuyo contenido material es el mismo que el de dicha directiva anulada. Como hemos visto, además, en el sector de las telecomunicaciones se da una constante retención y almacenamiento de estos dato de tráfico de forma casi automática, como norma general, lo que vulnera una normativa ya de por sí bastante débil.

Encontramos, en suma, una vulneración de la protección de datos desde los puntos técnico (el funcionamiento de las redes de telecomunicaciones, por defecto) y jurídico (la propia legislación habilita la conservación) y una normativa incapaz —o capaz, pero muy difícilmente— de hacer frente a las constantes vulneraciones que encontramos en este sector. Resulta necesario y urgente, por lo tanto, que la UE elabore una nueva normativa sobre conservación de datos, ya que la actual lleva, a día de hoy, casi seis años anulada y las legislaciones de los Estados miembros puestas en duda. Sería necesario un trabajo técnico y jurídico, analizando, primero, las cuestiones técnicas y elaborando una nueva normativa y, segundo, aplicando dicho régimen al funcionamiento de los prestadores y operadores de telecomunicaciones.

Por otro lado, el legislador debería, asimismo, elaborar una nueva ley sobre conservación de datos, pero teniendo en cuenta todo el nuevo régimen dibujado por el TJUE, adaptándola a ello para poder hacer frente a los nuevos retos tecnológicos en el sector de las telecomunicaciones o comunicaciones electrónicas, ya que no es viable seguir con una legislación tocada, si bien aún no hundida, para regular una cuestión tan importante y relevante como nuestros datos personales en las telecomunicaciones, teniendo en cuenta que el nuevo Reglamento e-Privacy no va incluir ninguna regulación en este ámbito y que cada segundo se realizan miles y miles de comunicaciones electrónicas, cada una con su gran cantidad de nuestros datos personales.

Abreviaturas y siglas

— CC: Código Civil

— CE: Constitución Española

— CDFUE: Carta de los Derechos Fundamentales de la Unión Europea

— DCD: Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE

— Directiva e-Privacy: Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). Diario Oficial de la Unión Europea núm. 201 de 31 de julio de 2002.

— FJ: Fundamento jurídico

— LCD: Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones

— LEC: Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil

— LGT: Ley 9/2014, de 9 de mayo, General de Telecomunicaciones

— LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales

— LSSICE: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

— RCPSCESUPU: Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios

— Reglamento Bruselas I bis: Reglamento (UE) n.° 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil

— Reglamento Roma I: Reglamento (CE) n.º 593/2008 del Parlamento Europeo y del Consejo, de 17 de junio de 2008, sobre la ley aplicable a las obligaciones contractuales

— RGPD: Reglamento General de Protección de Datos

— SAN: Sentencia de la Audiencia Nacional

— SSI: Servicios de la Sociedad de la Información

— STC: Sentencia del Tribunal Constitucional

— STJCE: Sentencia del Tribunal de Justicia de las Comunidades Europeas

— STJUE: Sentencia del Tribunal de Justicia de la Unión Europea

— STS: Sentencia del Tribunal Supremo

— TC: Tribunal Constitucional

— TEDH: Tribunal Europeo de Derechos Humanos

— TFUE: Tratado de Funcionamiento de la Unión Europea

— TJUE: Tribunal de Justicia de la Unión Europea

— TS: Tribunal Supremo

— UE: Unión Europea

Bibliografía

ALFONSO VELÁSQUEZ, Olga Lucía, El contrato de servicio telefónico, Reus, Madrid, 2010.

ARIAS POU, María, «Definiciones a efectos del reglamento general de protección de datos», en PIÑAR MAÑAS, José Luis (dir.), ÁLVAREZ CARO, María (coord.), RECIO GAYO, Miguel (coord.), Reglamento general de protección de datos. Hacia un nuevo modelo europeo de protección de datos, Reus, Madrid, 2016.

ARZOZ SANTISTEBAN, Xabier, «Art. 8. Respeto a la vida privada y familiar», en LASAGABASTER HERRARTE, Iñaki (dir.), Convenio Europeo de Derechos Humanos. Comentario Sistemático, Civitas, Madrid, 2004.

BRAVO-FERRER DELGADO, Miguel, «Protección de los datos personales en el sector de las telecomunicaciones», en Gaceta Jurídica de la Competencia y de la Unión Europea, núm. 208, 2000, págs. 76-86.

BRINGAS, Manuel, Tratado de telegrafía, con aplicación a servicios militares, Imprenta del Memorial de Ingenieros, Madrid, 1884.

BURCH, Sally, «Sociedad de la Información/sociedad del conocimiento», en AMBROSI, Alain (coord.), PEUGEOT, Valérie (coord.), PIMIENTA, Daniel (coord.), Palabras en juego: enfoques multiculturales sobre las sociedades de la información, C & F Éditions, Caen, 2005.

CAMPILLO MESEGUER, Antonio, «Animal político. Aristóteles, Arendt y nosotros», en Revista de Filosofía, núm. 39, 2, 2014, págs. 169-188.

CASTELLS, Manuel, La era de la información: Economía, sociedad y cultura. Vol. 1. La sociedad red (versión castellana de Carmen Martínez Gimeno), Alianza, Madrid, 1997.

CASTELLS, Manuel, La era de la información: Economía, sociedad y cultura. Vol. 2. El poder de la identidad (versión castellana de Carmen Martínez Gimeno), Alianza, Madrid, 1997.

CASTELLS, Manuel, La era de la información: Economía, sociedad y cultura. Vol. 3. Fin de milenio (versión castellana de Carmen Martínez Gimeno), Alianza, Madrid, 1997.

COURRIER, Yves, «Société de l’information et technologies», en UNESCO Web News, Point of view, Archives, 2000.

CUBERO MARCOS, José Ignacio, ABERASTURI GORRIÑO, Unai, «Protección de los datos personales en las comunicaciones electrónicas: especial referencia a la Ley 25/2007, sobre conservación de datos», en Revista Española de Derecho Constitucional, núm. 83, 2008, págs. 175-197.

CUBERO MARCOS, José Ignacio, ABERASTURI GORRIÑO, Unai, «Reflexiones en torno a la protección de los datos personales en las comunicaciones electrónicas», en Revista Vasca de Administración Pública. Herri-Arduralaritzako Euskal Aldizkaria, núm. 78, 2007, págs. 83-113.

CUBERO MARCOS, José Ignacio, «Disposición Adicional 11ª LOPD. Privacidad en las comunicaciones electrónicas», en TRONCOSO REIGADA, Antonio (dir.), Comentario... (en imprenta), Civitas, Madrid, 2020.

CUBERO MARCOS, José Ignacio, «El operador con peso significativo en el mercado de interconexión de telecomunicaciones», en REDETI: Revista de Derecho de las Telecomunicaciones e Infraestructuras en red, Año n.º 10, núm. 30, 2007, págs. 11-40.

CUBERO MARCOS, José Ignacio, «La obligación de interconexión en relación con el servicio universal de telecomunicaciones», en REDETI: Revista de Derecho de las Telecomunicaciones e Infraestructuras en red, Año núm. 6, N.º 17, 2003, págs. 153-184.

CUBERO MARCOS, José Ignacio, «Las normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE, en especial la privacidad en las comunicaciones electrónicas», en TRONCOSO REIGADA, Antonio (dir.), Comentario... (en imprenta), Civitas, Madrid, 2020.

CUBERO MARCOS, José Ignacio, «Interconexión de redes y derecho de la competencia en el sector de las telecomunicaciones», en Gaceta jurídica de la Unión Europea y de la competencia, núm. 250, 2007, págs. 15-26.

CUBERO MARCOS, José Ignacio, Régimen jurídico de la obligación de interconexión de redes en el sector de las telecomunicaciones, IVAP-HAEE, Oñati, 2008.

CREMADES GARCÍA, Javier, GARCÍA MARTÍNEZ, Antonio, «Algunos aspectos clave de la interconexión entre redes», en PÉREZ-UGENA COROMINA, María (coord.), MERINO MERCHÁN, José Fernando (coord.), Curso de derecho de las telecomunicaciones, Civitas, Madrid, 2000.

DAVARA RODRÍGUEZ, Miguel Ángel, La Protección de los Datos Personales en el Sector de las Telecomunicaciones, Universidad Pontificia de Comillas, Madrid, 2000.

DAVARA RODRÍGUEZ, Miguel Ángel, Manual de Derecho Informático, Thomson Reuters Aranzadi, Cizur Menor (Navarra), 2015.

DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO, Tomás (dir.), Derecho de las telecomunicaciones, Thomson Reuters-Civitas, Madrid, 2015.

FERNÁNDEZ RODRÍGUEZ, José Julio, «Los datos de tráfico de comunicaciones: en búsqueda de un adecuado régimen jurídico que elimine el riesgo de control permanente», en Revista Española de Derecho Constitucional, Año n.º 36, núm. 108, 2016, págs. 93-122.

GREER, Steven C., The exceptions to Articles 8 to 11 of the European Convention on Human Rights, Council of Europe, Estrasburgo, 1997.

HOWARD, Philip N., JONES, Steve (ed.), Sociedad on-line: Internet en contexto, Editorial UDOC, Barcelona, 2005.

LUCAS MURILLO DE LA CUEVA, Pablo María, El Derecho a la Autodeterminación Informativa. La Protección de los Datos Personales Frente al Uso de la Informática, Tecnos, Madrid, 1990.

LÓPEZ BELLOSO, María, SANZ, Borja: «Hic sunt draconis: derechos humanos y Big Data: análisis de una colaboración inexplorada», LANDA GOROSTIZA, Jon-Mirena (dir.), GARRO CARRERA, Enara (coord.): Retos emergentes de los Derechos Humanos: ¿Garantías en peligro?, Tirant Lo Blanch, Valencia, 2019.

MALARET I GARCÍA, Elisenda, «Los servicios excluidos del ámbito de aplicación de la legislación de telecomunicaciones: los servicios de la sociedad de la información y los servicios de comunicación audiovisual», en DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO, Tomás (dir.), Derecho de las telecomunicaciones, Thomson Reuters-Civitas, Madrid, 2015.

MARAS, Marie-Helen, «The economic costs and consequences of mass communications data retention: is the data retention directive a proportionate measure?», en European Journal of Law and Economics, núm. 33, 2012.

MARCO ABATO, Marcos, «Una reflexión sobre la primacía del Derecho europeo, la aplicación judicial de la norma y la producción legislativa», en Corts: Anuario de derecho parlamentario, núm. 29, 2017, págs. 75-127.

MATTELART, Armand, Historia de la sociedad de la información, Paidós, Barcelona, 2007.

PÉREZ LUÑO, Antonio Enrique, Derechos Humanos, Estado de Derecho y Constitución, Tecnos, Madrid, 1991.

PÉREZ-UGENA COROMINA, María (coord.), MERINO MERCHÁN, José Fernando (coord.), Curso de derecho de las telecomunicaciones, Civitas, Madrid, 2000.

PÉREZ-UGENA COROMINA, María (coord.), MERINO MERCHÁN, José Fernando (coord.), Régimen de las telecomunicaciones, Tecnos, Madrid, 1998.

PÉREZ-UGENA COROMINA, María, «Protección de datos personales en la nueva ley general de telecomunicaciones», en PÉREZ-UGENA COROMINA, María (coord.), MERINO MERCHÁN, José Fernando (coord.), Curso de derecho de las telecomunicaciones, Civitas, Madrid, 2000.

PÉREZ-UGENA Y COROMINA, Álvaro, PÉREZ-UGENA COROMINA, María, «Implicaciones constitucionales de las nuevas tecnologías», en Datospersonales.org: La revista de la Agencia de Protección de Datos de la Comunidad de Madrid, núm. 6, 2003.

PIÑAR MAÑAS, José Luis (dir.), ÁLVAREZ CARO, María (coord.), RECIO GAYO, Miguel (coord.), Reglamento general de protección de datos. Hacia un nuevo modelo europeo de protección de datos, Reus, Madrid, 2016.

PIÑAR MAÑAS, José Luis, «Concepto de datos de carácter personal: Título I. Disposiciones Generales. artículo 3», en TRONCOSO REIGADA, Antonio (dir.), Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal, Civitas, Madrid, 2010.

PIÑAR MAÑAS, José Luís, Seguridad, transparencia y protección de datos: el futuro de un necesario e incierto equilibrio, Fundación Alternativas, Madrid, 2009.

RALLO LOMBARTE, Artemi, «De la ‘libertad informática’ a la constitucionalización de nuevos derechos digitales (1978-2018)» en Revista de Derecho Político, núm. 100, 2017, págs. 639-669.

RALLO LOMBARTE, Artemi, «El nuevo derecho de protección de datos», en Revista Española de Derecho Constitucional, Año n.º 39, núm. 116, 2019, págs. 45-74.

REBOLLO DELGADO, Lucrecio, SERRANO PÉREZ, María, Manual de Protección de Datos, Dykinson, Madrid, 2018.

RODRÍGUEZ IGLESIAS, Gil Carlos, DEL VALLE GÁLVEZ, José Alejandro, «El Derecho Comunitario y las relaciones entre el Tribunal de Justicia de las Comunidades Europeas, el Tribunal Europeo de Derechos Humanos y los Tribunales Constitucionales nacionales», en Revista de Derecho Comunitario Europeo, Año n.º 1, núm. 2, 1997, págs. 239-376.

SERRANO PÉREZ, María Mercedes, «El derecho fundamental a la Protección de Datos. Su contenido esencial», en Nuevas Políticas Públicas: Anuario multidisciplinar para la modernización de las Administraciones Públicas, núm. 1, 2005, págs. 245-265.

TRONCOSO REIGADA, Antonio (dir.), Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal, Civitas, Madrid, 2010.

TRONCOSO REIGADA, Antonio, La protección de datos personales «en busca del equilibrio», Tirant lo Blanch, Valencia, 2010.

VILASAU SOLANA, Mónica, «La Directiva 2006/24/CE sobre conservación de datos del tráfico en las comunicaciones electrónicas: seguridad v. privacidad», en IDP: revista de Internet, derecho y política = revista d’Internet, dret i política, núm. 3, 2006.

Webgrafía

SÁNCHEZ, José M. (2014), «¿Cómo funciona WhatsApp?», ABC, https://www.abc.es/tecnologia/moviles-aplicaciones/20140302/abci-como-funciona-whatsapp-201402281956.html (última consulta el 09 de enero de 2020).

SÁNCHEZ, Rosalía (2014), «Alemania desaconseja el uso de WhatsApp», El Mundo, https://www.elmundo.es/tecnologia/2014/02/24/530b1a8fca4741c3388b456d.html (última consulta el 09 de enero de 2020).

WhatsApp, Condiciones del servicio de WhatsApp, Uso aceptable de nuestros Servicios, Resolución de disputas. Accesible en: https://www.whatsapp.com/legal/?lang=es#terms-of-service (última consulta el 09 de enero de 2020).