Acerca de operadores lógicos
Última revisión
01/01/2019
Dictamen del Consejo de Garantías Estatutarias de Cataluña 6/2019 del 01 de enero de 2019
Relacionados:
Órgano: Consejo de Garantías Estatutarias de Cataluña
Fecha: 01/01/2019
Num. Resolución: 6/2019
Contestacion
DICTAMEN 6/2019, de 30 de diciembre, sobre el Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.El Consell de Garanties Estatutàries, con la asistencia del presidente Joan Egea Fernàndez, del vicepresidente Pere Jover Presa, del consejero Jaume Vernet Llobet, del consejero secretario Àlex Bas Vilafranca, de los consejeros Francesc de Paula Caminal Badia y Carles Jaume Fernández, de la consejera Margarida Gil Domènech y del consejero Joan Vintró Castells, ha acordado emitir el siguiente
DICTAMEN
Solicitado por el Gobierno de la Generalitat sobre el Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones (BOE núm. 266, de 5 de noviembre de 2019).
ANTECEDENTES
1. El día 2 de diciembre de 2019 tuvo entrada en el Registro del Consell de Garanties Estatutàries un escrito del consejero de Acción Exterior, Relaciones Institucionales y Transparencia, de 2 de diciembre (Reg. núm. E2019000629), por el que, según lo previsto en los artículos 16.2.a y 23.f de la Ley 2/2009, de 12 de febrero, del Consell de Garanties Estatutàries (LCGE), se comunicaba al Consell el acuerdo del Gobierno de 26 de noviembre de 2019, de solicitud de emisión de dictamen sobre la adecuación al Estatuto y a la Constitución de los artículos 1, 2, 3, 4, 6, 7, la disposición adicional única y, por conexión, las disposiciones transitorias primera y segunda y la disposición final primera del Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
El solicitante requiere el dictamen de este Consell, que tiene carácter preceptivo según el artículo 76.3 EAC, para el caso de que se decidiera interponer un recurso de inconstitucionalidad.
2. El Consell de Garanties Estatutàries, en la sesión del día 3 de diciembre de 2019, tras examinar la legitimación y el contenido de la solicitud, de conformidad con los artículos 23 a 25, apartados 1 a 3, LCGE, acordó su admisión a trámite y se declaró competente para emitir el correspondiente dictamen. A continuación, se acordó realizar una ponencia conjunta de los consejeros Jaume Vernet Llobet y Francesc de Paula Caminal Badia y del consejero secretario Àlex Bas Vilafranca.
3. En la misma sesión, al amparo del artículo 25 LCGE, apartado 4, y del artículo 35, apartado 1, del Reglamento de organización y funcionamiento del Consell, acordó dirigirse al Gobierno con el fin de solicitarle la información y la documentación complementarias de que dispusiera en relación con la materia sometida a dictamen.
4. El 11 de diciembre de 2019 se recibió en el Registro del Consell un escrito del consejero de Acción Exterior, Relaciones Institucionales y Transparencia (Reg. núm. E2019000657) que adjuntaba como documentación complementaria un informe de la Asesoría Jurídica del Departamento de Políticas Digitales y Administración Pública, de 18 de noviembre de 2019, y unas notas relativas al impacto en el ámbito de la Administración digital y el procedimiento administrativo común del Real decreto-ley 14/2019, elaboradas por la Oficina de Innovación y Administración Digital.
5. Finalmente, tras las correspondientes sesiones de deliberación del Consell, el día 30 de diciembre de 2019 ha tenido lugar la votación y aprobación de este Dictamen, de acuerdo con lo previsto en los artículos 31.1 LCGE y 38 del Reglamento de organización y funcionamiento del Consell.
FUNDAMENTOS JURÍDICOS
Primero. El objeto del Dictamen
De conformidad con lo expuesto en los antecedentes, el Gobierno solicita la opinión del Consell, con carácter previo a la interposición, si procede, de un recurso de inconstitucionalidad ante el Tribunal Constitucional, al amparo de los artículos 16.2.a y 31 de la LCGE, respecto a varios preceptos del Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones (en lo sucesivo, RDL 14/2019 o Real decreto-ley).
En este primer fundamento jurídico nos limitaremos a resumir de forma breve el contenido del Real decreto-ley, recogiendo también sucintamente las dudas generales que el Gobierno expresa en su solicitud en relación con los preceptos que deben ser el objeto de nuestro pronunciamiento. La descripción, el detalle de las cuestiones planteadas por el escrito de petición del dictamen, el examen y la conclusión sobre las normas concretas los diferimos a los siguientes fundamentos jurídicos, según la estructura que seguidamente enunciaremos. El motivo de este pequeño cambio en la sistemática habitual de nuestro análisis, en el sentido de aligerar el contenido del presente fundamento jurídico, responde a la complejidad técnica de la materia y a la heterogeneidad de las medidas de la norma, las cuales trataremos en diferentes partes segregadas por razón del ámbito al que hacen referencia, facilitando así la claridad expositiva.
1. El Real decreto-ley objeto de dictamen, que ha sido convalidado por el Acuerdo de la Diputación Permanente del Congreso de los Diputados de 27 de noviembre de 2019 (publicado por la Resolución de la Presidencia del Congreso de la misma fecha en el BOE núm. 291, de 4 de diciembre de 2019), consta de siete artículos, estructurados en cinco capítulos, una disposición adicional, tres transitorias y tres finales.
Su contenido es heterogéneo y comprende una serie de medidas diversas en materia de documentación nacional de identidad (cap. I, arts. 1 y 2); identificación electrónica ante las administraciones públicas, ubicación de determinadas bases de datos y datos cedidos a otras administraciones (cap. II, arts. 3 y 4); contratación pública (cap. III, art. 5); seguridad en materia de telecomunicaciones (cap. IV, art. 6, y disp. ad. única), y coordinación en materia de seguridad de las redes y sistemas de información (cap. V, art. 7).
2. El escrito de petición del Dictamen cuestiona, en primer lugar, la adecuación del instrumento normativo utilizado por el Gobierno del Estado por el hecho de que, en su opinión, no estarían acreditadas las razones de extraordinaria y urgente necesidad que lo justifican y de que ordena ámbitos que no son susceptibles de ser regulados mediante real decreto-ley.
Efectuadas estas observaciones sobre el uso de la figura del instrumento normativo empleado, el Gobierno de la Generalitat entiende que las medidas incorporadas por la norma podrían incidir en las competencias de la Generalitat en materia de comunicaciones electrónicas, organización de su Administración y régimen jurídico y procedimiento de las administraciones públicas catalanas, así como en materia de seguridad pública, reconocidas todas ellas en los artículos 140.7, 150, 159 y 164 EAC, respectivamente. Asimismo, cuestiona que la intervención administrativa que se atribuye al Gobierno del Estado en el ámbito de las redes y servicios de comunicaciones electrónicas sea susceptible de llevarse a cabo sin autorización judicial, con la consiguiente potencial afectación de derechos fundamentales.
El escrito de petición contiene una descripción del contenido de los cinco capítulos del RDL 14/2019, acompañada de la explicación de las dudas que suscitan algunos de sus preceptos, aunque finaliza con una solicitud genérica de pronunciamiento sobre la adecuación a la Constitución y al Estatuto de autonomía de los artículos 1, 2, 3, 4, 6 y 7, de la disposición adicional única y, por conexión, de las disposiciones transitorias primera y segunda y la disposición final primera.
En cuanto a los preceptos citados por la solicitud de dictamen, el Consell examinará, tal como establece nuestra Ley (art. 24 LCGE), así como la práctica consolidada en nuestra función consultiva y la propia jurisprudencia constitucional, las normas respecto de las que se aporte una mínima justificación de las razones de su posible inconstitucionalidad o antiestatutariedad.
3. De acuerdo con lo anterior, a fin de dar respuesta a la petición, en el fundamento jurídico segundo analizaremos el cumplimiento por parte de la norma dictaminada de los requisitos constitucionales del decreto-ley ex artículo 86.1 CE.
Seguidamente, en el fundamento jurídico tercero examinaremos las medidas en materia de documentación nacional de identidad establecidas en los artículos 1 y 2 RDL 14/2019, por los que se modifican el artículo 8.1 de la Ley orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana (en lo sucesivo, LOPSC) y el artículo 15.1 de la
A continuación, en el fundamento jurídico cuarto analizaremos, por un lado, las medidas en materia de telecomunicaciones reguladas en el artículo 6.uno y .cinco RDL 14/2019, que modifica los artículos 4.6 y 81.1 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones (en lo sucesivo, LGTEL), respectivamente, y el artículo 6.dos, por el que se añade a la citada LGTEL un nuevo apartado 3 en su artículo 6, junto con la disposición adicional única del Real decreto-ley, sobre comunicación de las redes de comunicaciones electrónicas en régimen de autoprestación de las administraciones públicas.
Y, por otro lado, en este mismo fundamento abordaremos las medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información previstas en el artículo 7 RDL 14/2019, mediante el que se incorpora un nuevo apartado 3 al artículo 11 del Real decreto-ley 12/2019, de 7 de septiembre, de seguridad de las redes y sistemas de información (en lo sucesivo, Real decreto-ley 12/2019).
Finalmente, en el fundamento jurídico quinto y último trataremos las cuestiones planteadas por el peticionario relativas al derecho a la protección de datos personales con respecto al artículo 3.uno y .dos RDL 14/2019 en relación a la adición de un nuevo apartado 3 a los artículos 9 y 10 LPACAP y, por conexión, su régimen transitorio (disp. trans. primera, apdo. 2 RDL 14/2019); el artículo 4.uno por el que se añade un nuevo artículo 46 bis a la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público (en lo sucesivo, LRJSP) y su régimen transitorio (disp. trans. segunda RDL 14/2019), y el artículo 4.dos, que modifica el artículo 155 LRJSP.
Respecto a la disposición final primera, relativa a los títulos competenciales que habilitan la norma dictaminada, nos referiremos a ella, si procede, y por conexión, cuando analicemos los preceptos concretos en los citados fundamentos jurídicos.
Segundo. El examen del cumplimiento de los requisitos constitucionales del decreto-ley del artículo 86.1 CE y su aplicación en el Real decreto-ley 14/2019
Nos corresponde en este fundamento jurídico examinar previamente el canon de constitucionalidad del decreto-ley, conforme al artículo 86.1 CE, para aplicarlo posteriormente a los preceptos de la norma, cuestionados y objeto de dictamen. Por ello, efectuaremos, en primer lugar, un análisis sucinto de la configuración de este tipo de norma, ampliamente estudiado por este Consell en otros dictámenes. También recordaremos brevemente la jurisprudencia constitucional correspondiente, ampliamente citada en nuestros pronunciamientos consultivos.
Como ya hemos afirmado reiteradamente con anterioridad en varios dictámenes, el decreto-ley se configura como una norma jurídica con rango de ley, dictada por el Gobierno con carácter excepcional. Supone la atribución del ejercicio de la potestad legislativa ordinaria del Parlamento al Gobierno, exceptuando de este modo el monopolio parlamentario de la potestad legislativa (art. 66.2 CE). Por ello, la utilización de este tipo de disposiciones debe llevarse a cabo de forma restrictiva y, consiguientemente, debe respetar inexcusablemente los límites formales y materiales que prevé el artículo 86.1 CE (por todos, DCGE 5/2019, de 23 de julio, FJ 3).
En relación con dichos requisitos, tanto respecto al presupuesto formal habilitante como a los límites por razón de su objeto (aspectos, ambos, requeridos en la solicitud de dictamen), nos remitimos a nuestra doctrina consultiva consolidada (entre otros, DCGE 5/2012, de 3 de abril, FJ 2; 6/2012, de 1 de junio, FJ 2; 25/2014, de 11 de diciembre, FJ 3, y más recientemente DCGE 5/2019, FJ 3). Por consiguiente, en aras de la brevedad y la simplificación, resumiremos su contenido, en lo que ahora más nos interesa. Simultáneamente, también recordaremos, sin citarla literalmente, la jurisprudencia del Tribunal Constitucional relativa a los decretos-leyes (en particular, STC 34/2017, de 1 de marzo, donde se hace una síntesis de su interpretación). Sobre este punto, dicho sea de entrada, en la tarea de escrutinio de la presencia del presupuesto habilitante del decreto-ley, este Consell ha sido más exigente que la jurisprudencia constitucional y ha cuestionado repetidamente el uso excesivo de dicha figura normativa, lo que «no deja de ser preocupante desde la perspectiva constitucional, por más que se prevea una sesión de convalidación parlamentaria» (por todos, DCGE 5/2019, FJ 3).
1. En primer lugar, procederemos, por consiguiente, al examen de la concurrencia o no de la extraordinaria y urgente necesidad, así como también de la conexión de sentido entre las medidas aprobadas y la situación que se pretende solucionar, elementos, ambos, del presupuesto formal habilitante.
Respecto de esta cuestión, la solicitud de dictamen expresa sus dudas sobre la inadecuación del Real decreto-ley, en tanto que «no se acreditan debidamente las razones de extraordinaria y urgente necesidad que lo justifican». Además, indica que el preámbulo únicamente menciona los riesgos desde la perspectiva de la seguridad pública, «cuando estos ya forman parte de la propia estructura del esquema de seguridad», aprobada con anterioridad.
A) Como decíamos en el fundamento jurídico tercero del DCGE 25/2014, la naturaleza extraordinaria de la necesidad ha sido interpretada por el Tribunal Constitucional y por el Consell como el caso excepcional en el que una situación coyuntural de difícil previsión requiere de una intervención normativa inmediata por parte del Gobierno para hacer frente a los objetivos de gobernabilidad (por todas, STC 137/2011, de 14 de septiembre, FJ 4, y también DCGE 15/2014, de 3 de julio, FJ 2.3). Es suficiente, en cuanto al alcance de la necesidad, que esta se origine en las tareas concretas y habituales del Gobierno y no es necesario que se trate de necesidades extremas o absolutas (STC 6/1983, de 4 de febrero, FJ 5).
La doctrina jurisprudencial se ha mostrado, en términos generales, más proclive a la validación del decreto-ley, cuando se trata «de las actuaciones desarrolladas en los ámbitos de la política social y económica» (STC 68/2007, de 28 de marzo, FJ 12) o en circunstancias de especial coyuntura económica, que exigen una respuesta normativa urgente, siempre que estas hayan sido debidamente expuestas y justificadas en el texto de la disposición. Sin embargo, no resulta suficiente partir de conjeturas, ya que el presupuesto formal habilitante debe verificarse respecto de una concreta situación fáctica, que ha de ser evidenciada por el Gobierno del Estado.
En este sentido, el Tribunal ha insistido en que se han de tener presentes «las situaciones concretas y los objetivos gubernamentales» (STC 329/2005, de 15 de diciembre, FJ 5), que han conducido a la emisión de un decreto-ley específico. El requisito consistente en justificar de forma explícita y razonada la existencia del presupuesto habilitante es una exigencia que no puede decaer en ningún caso, ni siquiera cuando se inscribe en situaciones de crisis económica (DCGE 16/2013, de 15 de noviembre, FJ 3.3), circunstancia que, dicho sea de antemano, tampoco se produce en el supuesto que estamos dictaminando, que, como veremos más adelante, afecta a otras materias, singularmente la seguridad pública en diferentes ámbitos, según indica el propio título de la norma.
Precisamente, la falta de justificación de la necesidad ha fundamentado el giro de la jurisprudencia constitucional hacia una concepción más estricta de la utilización del decreto-ley, que, en algunas ocasiones, ha conducido a la inconstitucionalidad de la disposición gubernativa examinada y que tiene como claro exponente la STC 68/2007, en la que el Tribunal no admite la fundamentación de la extraordinaria y urgente necesidad mediante una cláusula ritual y abstracta. Por el contrario, exige que el Gobierno explique en concreto y razone suficientemente por qué ha considerado que concurre este tipo de situación, por mucho que la apreciación inicial de su existencia se considere un juicio político que a él mismo le corresponde efectuar (FJ 10), lo que no debe hacer imposible el control de constitucionalidad. La mencionada línea ha sido seguida posteriormente en otros pronunciamientos (como, por ejemplo, las STC 150/2017, de 21 de diciembre; 125/2016, de 7 de julio; 29/2015, de 19 de febrero, y 137/2011, de 14 de septiembre). Más recientemente, en la STC 61/2018, de 7 de junio, el Tribunal ha insistido nuevamente en que deben eludirse «fórmulas rituales o genéricas» que no permiten justificar la necesidad (FJ 7).
Dado que en la determinación de lo que constituye una necesidad extraordinaria los poderes públicos gozan de un margen de discrecionalidad razonable, la función de control del Consell debe limitarse a verificar que los motivos estén suficientemente explícitos, razonados y faltos de apariencia de arbitrariedad (por todos, DCGE 5/2019, FJ 3, y 5/2015, de 20 de abril, FJ 2), sometiéndolos a un test formal de razonabilidad (DCGE 6/2012, FJ 2; 11/2012, de 22 de agosto, FJ 5, y 15/2014, FJ 2.3).
Como decíamos en el DCGE 6/2012, y acabamos de recordar, el presupuesto habilitante «debe ser verificable y, por tanto, los motivos de su justificación deben constar de manera expresa» (FJ 2). Así pues, la revisión del Consell debe constatar la existencia de una «exposición motivada y fundamentada de la justificación por la cual se recurre a la vía del decreto-ley, con el fin de descartar su uso abusivo o arbitrario» (DCGE 15/2014, FJ 2.3).
Para efectuar la tarea de verificación, el Tribunal Constitucional exige que la justificación se desprenda en todo caso del análisis conjunto del preámbulo de la norma, y de los documentos que se adjuntan a su expediente de tramitación, así como del correspondiente debate de convalidación del decreto-ley, lo que pasaremos a examinar seguidamente.
Del análisis de los datos de que disponemos respecto del RDL 14/2019 se constata que ni en el preámbulo ni en el debate de convalidación ante la Diputación Permanente de 27 de noviembre de 2019 (DSCD núm. 14), acaecido en los últimos días de la XIII legislatura, no se acredita de forma explícita y razonada una justificación suficiente para avalar la constitucionalidad del Real decreto-ley ex artículo 86.1 CE, como exige la jurisprudencia del Tribunal Constitucional (por todas, STC 11/2002, de 17 de enero, FJ 4). Así, entendemos que no se puede inferir la existencia de una extraordinaria necesidad ni en lo que se refiere a la norma en su conjunto ni, específicamente, respecto de cada uno de los preceptos que se contienen en la misma, como exponemos a continuación.
En el preámbulo se citan dos situaciones de naturaleza diversa que, eventualmente, podrían justificar la necesidad de dictar un decreto-ley.
Por una parte, en su inicio, de forma general se afirma que «[l]a sociedad actual requiere de adaptaciones en la esfera digital que exigen de una traducción en el plano normativo. El desarrollo y empleo de las nuevas tecnologías y redes de comunicaciones por parte de las Administraciones Públicas se está acelerando. Ello exige establecer sin demora un marco jurídico que garantice el interés general y, en particular, la seguridad pública» (apdo. I, párr. primero). Esta diagnosis no es nueva, como reconoce el proemio del Real decreto-ley cuando menciona el carácter estratégico de la seguridad pública, avalado por la Ley 36/2015, de 28 de septiembre, de seguridad nacional. Dicha estrategia de seguridad nacional fue aprobada por el Real decreto 1008/2017, de 1 de diciembre (apdo. I, párrs. segundo y tercero).
La misma argumentación, y con parecidas palabras, también de carácter genérico y abstracto, se reproduce posteriormente en el apartado dedicado a la justificación competencial de la norma al sostener que «las medidas contenidas en el presente real decreto-ley tienen como finalidad incrementar el estándar de protección de la seguridad pública frente a las crecientes amenazas que plantea el uso de las nuevas tecnologías» (apdo. VI, párr. quinto).
Por otra parte, se afirma igualmente que «[l]os recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin» (apdo. I, párr. sexto) lo que se vincula con la disquisición anterior, sobre las ciberamenazas, cuando se añade «y a la luz siempre de los últimos sucesos en territorio español» (apdo. VI, párr. quinto).
Así pues, se hace una referencia de pasada a una grave situación indeterminada en una parte del Estado así como a unos sucesos, sin concretar ni los hechos producidos, ni donde se ha ocasionado precisamente dicha afectación de los derechos de los ciudadanos y de la seguridad pública.
Además, cuando el preámbulo expone las diversas partes del contenido de la norma tampoco menciona porque son necesarios los cambios que incorpora, desde la perspectiva de su extraordinaria necesidad.
En la presentación del Real decreto-ley durante el acto de convalidación anteriormente citado, la ministra de Economía y Empresa en funciones tampoco aclaró ninguna de estas dudas, ya que no trató en ningún momento de las razones que avalaban una extraordinaria necesidad, ni concretó tampoco la situación que pretendía afrontarse con dicha disposición, ni siquiera la localización de los hechos que merecían una actuación normativa estatal extraordinaria.
Llegados a este punto, consideramos que la utilización por parte del preámbulo de fórmulas rituales y abstractas, tales como que la sociedad actual requiere de una adaptación a la esfera digital o que la aceleración en el uso de las nuevas tecnologías por parte de la Administración exige establecer un marco jurídico que garantice el interés general, o el uso de expresiones ambiguas o imprecisas, como las de «graves acontecimientos», «sucesos de esta índole», sin mayor concreción, tampoco en el debate de la convalidación del decreto-ley, no permiten vislumbrar la situación, bien coyuntural bien estructural, a la que pretende dar respuesta el Real decreto-ley, ni, desde luego, concretar si tiene el carácter de excepcional, grave, relevante e imprevisible que habilitaría el uso de la potestad legislativa extraordinaria del Gobierno. En consecuencia, esta aparente justificación no es admisible constitucionalmente para acreditar el requisito habilitante para dictar el Real decreto-ley.
Lo anterior se pone aún más de manifiesto teniendo en cuenta que la disposición legislativa dictaminada comprende la modificación de varios ámbitos materiales (principalmente, documentación nacional de identidad, administración digital, contratación pública, telecomunicaciones y protección de datos) y de sus correspondientes instrumentos normativos, que hubieran requerido una fundamentación específica y singularizada. Como hemos sostenido recientemente en el DCGE 5/2019 (FJ 3), «si las medidas que contiene un decreto-ley son diversas, como es el caso, las situaciones concretas de urgencia y necesidad que justifican su adopción también son susceptibles de serlo (STC 199/2015, FJ 5, y 61/2018, FJ 6, y, aplicando esta doctrina, DCGE 11/2012, FJ 5, o 5/2015, FJ 2».
Respecto a la precitada nota de imprevisibilidad, el hecho de que el Real decreto-ley incluya un conjunto de reformas legislativas recientes tampoco abona esta idea. Las distintas temáticas que trata la norma que dictaminamos, ya habían sido discutidas en sede parlamentaria, si bien no plenamente en la dirección recién propuesta. En este sentido, la STC 137/2011 afirma que «la situación [?] que se pretende afrontar en el precepto recurrido ya había sido apreciada y puesta de manifiesto con anterioridad en otros instrumentos normativos que precedieron al Real Decreto-ley» (FJ 7).
En consecuencia, es palmaria la insuficiencia de la debida justificación de la existencia de una situación grave, relevante, excepcional o imprevisible a la que hacer frente y, por tanto, del carácter extraordinario de la necesidad de dictar este Real decreto-ley.
B) Además del carácter extraordinario de la necesidad, el cumplimiento del presupuesto formal habilitante exige la presencia del elemento de la urgencia. Para caracterizarla, la jurisprudencia del Tribunal Constitucional ha interpretado que «[e]l fin que justifica la legislación de urgencia no es otro que subvenir a ?situaciones concretas de los objetivos gubernamentales que por razones difíciles de prever requieran una acción normativa inmediata en un plazo más breve que el requerido por la vía normal o por el procedimiento de urgencia para la tramitación parlamentaria de las leyes?» (por todas, STC 137/2011, FJ 4). En sentido análogo, nuestra doctrina consultiva entiende que «el Gobierno únicamente estaría legitimado para ejercer su potestad normativa mediante decreto-ley cuando por la vía de la tramitación parlamentaria de naturaleza más urgente no fuera razonablemente viable o posible alcanzar los objetivos perseguidos por la acción normativa» (DCGE 15/2014, FJ 2.3, que se remite al DCGE 7/2010, de 22 de abril).
Del mismo modo que la extraordinaria necesidad, la urgencia también debe justificarse de forma motivada y expresa (DCGE 7/2012, de 8 de junio, FJ 3.3). Así, en el DCGE 7/2010, de 22 de abril, en el que recordábamos los dictámenes del Consejo Consultivo (DCC 268, de 31 de mayo de 2005, F II, y DCC 292, de 8 de abril de 2009, F II) afirmábamos que «la urgente necesidad de proveer de norma reguladora a una determinada situación fáctica debe identificarse y concretarse en el contenido de las disposiciones generales emanadas a este efecto» (FJ 3). Y, con ocasión de nuestro pronunciamiento sobre un Decreto-ley de la Generalitat, añadíamos que «la excepcionalidad de la necesidad debe ir acompañada de la constatación, motivada y expresa, de que el procedimiento en sede parlamentaria afectaría decisivamente, por razones de tiempo excesivo, a la obtención del efecto o a los resultados pretendidos por las medidas exigidas con el fin de hacerle frente» (DCGE 17/2013, de 15 de noviembre, FJ 2, que recoge el DCGE 6/2012, de 1 de junio, FJ 2).
En el caso que nos ocupa, y a modo de justificación de una necesidad urgente, tanto en el preámbulo del Real decreto-ley (apdo. III, párr. quinto) como en su presentación ante la Diputación Permanente (DSCD citado, p. 14) se aduce el hecho de que las cámaras se encuentran disueltas. Por esta razón, el Real decreto-ley se ha convalidado ante la Diputación Permanente y no ante el Pleno del Congreso de Diputados. Es cierto que esto es así y que, además, un gobierno en funciones no puede presentar proyectos de ley para su tramitación parlamentaria (art. 21.5 de la Ley 50/1997, de 27 de noviembre, del Gobierno), para lo cual es necesario tener en cuenta cuándo se iniciará la nueva legislatura (que tuvo lugar el 3 de diciembre de 2019, pocos días más tarde de la convalidación) y cuándo podrá ser efectiva la presentación de proyectos de ley para su debate. El Real decreto-ley ha entrado en vigor el 6 de noviembre, casi un mes antes de iniciarse la XIV legislatura.
Para empezar, en cuanto al análisis de la urgencia desde la perspectiva de que el procedimiento legislativo ordinario no posibilite ninguna vía para la adopción de las medidas sin tener que recurrir a la figura del decreto-ley, cabe decir que el especial y específico hecho que acabamos de exponer corroboraría en cierta manera, y a priori, la utilización de este tipo de norma, ya que nos sitúa en un cierto contexto de incertidumbre temporal y, por consiguiente, de urgencia, por el hecho de que el Gobierno no dispondría de ningún otro instrumento legislativo para aprobar rápidamente las medidas pertinentes para hacer frente a una justificada necesidad extraordinaria. Ciertamente, no podría presentar un proyecto de ley porque las cámaras están disueltas y, una vez constituidas, debería esperar a que se constituyera un nuevo Gobierno para poder presentarlo. Pero lo anterior no es, en nuestra opinión, suficiente en sí mismo, para acreditar la existencia de la necesidad urgente, ya que debe quedar fundamentada la perentoriedad de la acción legislativa y, por tanto, la imposibilidad de obtener el mismo resultado mediante la aprobación de una disposición que siga la tramitación ordinaria o urgente en las cámaras legislativas (DCGE 17/2013, de 15 de noviembre, FJ 2).
Es ilustrativo señalar, en este sentido, que el Consell no ha considerado como fundamento acreditativo de un supuesto de urgencia la mera hipótesis del agotamiento de la legislatura, dada la posible convocatoria anticipada de elecciones. Así, en el DCGE 5/2015, declaramos que dicho hecho coyuntural, «ni que llegue a producirse, no puede operar como justificación» (FJ 2.2). Ello supondría, en palabras del precitado Dictamen (interpretando el art. 64.1 EAC, a nuestros efectos aplicable al art. 86 CE), una «desnaturalización de un supuesto previsto exclusivamente para situaciones que, por su caracterización fáctica, generalmente sobrevenida, necesitan una normativa inmediata en bien del interés público», condición «bien distinta e incompatible» con un recurso para hacer frente a contextos derivados de decisiones o motivaciones estrictamente políticas (FJ 3).
Por consiguiente, para efectuar el escrutinio sobre la existencia de la urgencia de la situación es necesario no solo citar expresamente la concreta situación que quiere afrontarse con rapidez, sino también que el Gobierno del Estado exponga la fundamentación de cuáles serían los perjuicios y obstáculos que se derivarían de esperar la constitución y presentación de proyectos de ley en una tramitación legislativa ordinaria, incluso a través del trámite legislativo de urgencia (STC 68/2007, FJ 12).
Este punto se explicita, de manera muy genérica y poco motivada, en el preámbulo del Real decreto-ley y en su presentación en el debate de convalidación. Así, la única referencia que se efectúa en el primero es a que la introducción de las medidas a través de un proyecto de ley no puede efectuarse en el momento presente porque las cámaras están disueltas y no puede dilatarse su adopción hasta la Constitución de las Cortes Generales porque, incluso con la utilización entonces del trámite de urgencia, «no se conseguiría reaccionar a tiempo» (apdo. III. párr. quinto). Por su parte, en el debate de convalidación la ministra repite que se trata de una norma urgente «habida cuenta de la celeridad con la que se están produciendo los avances en esta materia y dada la situación política actual, con el Gobierno en funciones y las Cámaras disueltas. Esperar a la constitución de las nuevas Cortes y tramitar un proyecto de ley habría impedido contar con la suficiente celeridad con un marco jurídico preventivo que sirva para proteger los derechos y libertades constitucionalmente reconocidos» (DSCD citado, p. 14). La única justificación que se aporta, pues, es que faltaría la «celeridad suficiente» para la adopción de las medidas, pero siguen sin exponerse los hechos concretos que las justificarían ni tampoco se describen los efectos que hacen necesaria una reacción inmediata y no solo preventiva.
Además, continuando con el debate de convalidación, en la respuesta de la ministra a los representantes de los grupos parlamentarios, esta sostiene que «está claro que se trata de una realidad que cambia de forma vertiginosa. Por eso estoy convencida de que tendremos ocasión de trabajar conjuntamente para seguir desarrollando el marco normativo en el ámbito digital en la próxima legislatura, y tener así en cuenta algunas de las propuestas que se han hecho hoy aquí» (DSCD citado, p. 31). De lo anterior se desprende la voluntad de que las medidas incorporadas al Real decreto-ley se vuelvan a presentar y debatir a lo largo de la legislatura siguiente, porque la XIII legislatura está a punto de finalizar. La finalidad de replantear el contenido de la norma podría poner en cuestión su carácter urgente, ya que existe una intención manifiesta de incorporar las propuestas de los grupos a una u otras normas, que deberán ser nuevas, puesto que dicho Real decreto-ley no se ha sometido a la tramitación como proyecto de ley para convertirse en ley (art. 86.3 CE).
En consecuencia, falta la argumentación del por qué es indispensable recurrir al decreto-ley a fin de encontrar a tiempo una solución que no podría alcanzarse con el procedimiento legislativo ordinario, tanto en general como en particular para los preceptos objeto de dictamen.
Para acabar con nuestra argumentación, y tal como sostuvimos en el DCGE 15/2014 (FJ 2), si bien doctrinalmente, a efectos de su examen, el carácter imprevisible o extraordinario de la necesidad es tratado separadamente de la urgencia, desde un punto de vista fáctico comparten las circunstancias y motivaciones que llevan a valorar la situación como extraordinaria, en un caso, y urgente, respecto a la vía legislativa descartada. Por consiguiente, la falta de concreción de la situación o situaciones a las que pretenden hacer frente las medidas previstas en el decreto-ley y la justificación inexistente de su carácter extraordinario hacen a la vez imposible determinar porque no puede atenderse a la vía legislativa ordinaria.
Consiguientemente, estamos en condiciones de afirmar que no queda lo bastante acreditada ni justificada la existencia de una necesidad urgente de dictar el Real decreto-ley objeto de dictamen en su conjunto ni de sus preceptos en concreto.
Expuesto lo anterior resulta innecesario detenernos en otros elementos calificadores de la urgencia, como sería el examen del carácter inmediato de los efectos o lo instantáneo de las medidas adoptadas, como se pone de relieve en la jurisprudencia constitucional (STC 332/2005, de 15 de diciembre, FJ 7, y STC 96/2014, de 12 de junio, FJ 7); es decir, hasta qué punto las medidas incorporadas en el decreto-ley modifican de manera instantánea la situación jurídica existente a fin de hacerle frente (STC 39/2013, de 14 de febrero, FJ 9, y 1/2012, de 13 de enero, FJ 11, entre otras).
C) Para concluir con el análisis del presupuesto formal habilitante, debemos referirnos a la exigencia de la conexión de sentido o congruencia entre las medidas adoptadas por la disposición y la finalidad que persigue. El DCGE 6/2012, FJ 2, la sintetiza identificándola con la existencia de un vínculo razonable entre dichas medidas y la situación que exige la acción normativa (en este sentido, STC 1/2012, FJ 6, 7 y 11), por lo que deberán rechazarse aquellas que «por su contenido y de manera evidente, no guarden relación alguna, directa ni indirecta, con la situación que se trata de afrontar» (STC 1/2012, FJ 11).
La medida establecida debe mantener «la necesaria conexión entre la facultad legislativa excepcional y la existencia del presupuesto [de hecho] habilitante» (STC 68/2007, FJ 6), regla que obliga a que el contenido específico de lo que sustantivamente prescribe la disposición aprobada responda a la situación de extraordinaria y urgente necesidad. Es imprescindible examinar el contenido y la estructura de la disposición normativa aprobada por el Gobierno (DCGE 16/2013, FJ 3.4) con el objeto de averiguar si hay congruencia entre la necesidad de dictarlo y las medidas que lo integran.
En el presente caso, al no haberse especificado cuál es la situación extraordinaria que quiere afrontarse y que hace necesaria la emisión de un decreto-ley, nos hallamos ante una indeterminación que difícilmente puede vincularse con las medidas que el Real decreto-ley adopta, de modo que se desacredita la conexión de sentido respecto de todo su contenido, cuestión esta que constituye un requisito exigido por la jurisprudencia constitucional. Además, el hecho de que las medidas respondan a subámbitos normativos diferentes parece advertir de la existencia de una pluralidad de situaciones que se desea encauzar, aspecto que tampoco queda aclarado ni fundamentado por el Gobierno del Estado.
D) Finalmente, una vez hemos verificado que la definición que el Gobierno ha efectuado de la situación de necesidad extraordinaria y urgente no ha sido ni explícita ni razonada, y hemos constatado la imposibilidad de vincular la situación que pretende afrontarse con las medidas previstas en la disposición citada, nos hallamos en condiciones de afirmar que el Gobierno del Estado no ha justificado el cumplimiento del requisito formal del presupuesto habilitante que legitima la validez constitucional del uso del decreto-ley ex artículo 86.1 CE, y, en consecuencia, el RDL 14/2019 vulnera este precepto constitucional.
2. Seguidamente, trataremos los límites del decreto-ley por razón del objeto regulado. Al respecto cabe decir que el ámbito material prohibido a dichas disposiciones ha sido analizado por la jurisprudencia constitucional y por nuestra doctrina consultiva. En particular, nos servirá de referencia tanto la temprana STC 111/1983, de 2 de diciembre (FJ 8), como la doctrina desarrollada en resoluciones posteriores, entre otras, las STC 182/1997, de 28 de octubre (FJ 6 y 7), y 329/2005 (FJ 8). Respecto al Consell, resumiremos los DCGE 2/2019, de 22 de febrero (FJ 2.3); 5/2015 (FJ 2.4), y 5/2012 (FJ 2.2).
El artículo 86.1 CE fija los límites materiales a los que necesariamente deberá atenerse el Gobierno cuando dicte un decreto-ley, entre los cuales, a nuestros efectos, no podrá afectar a los derechos, deberes y libertades de los ciudadanos regulados en el título I.
La jurisprudencia constitucional ha interpretado que la figura del decreto-ley no debe entenderse de manera tan restrictiva que impida su uso como instrumento normativo idóneo para regular y dar respuesta a circunstancias cambiantes de nuestra sociedad (STC 329/2005, FJ 8). Una interpretación estricta y expansiva de esta limitación material contenida en el artículo 86.1 CE lo vaciaría de contenido y lo haría inservible para regular, con mayor o menor incidencia, cualquier aspecto del título I de la Constitución (STC 111/1983, FJ 8; 329/2005, FJ 8). En definitiva, si se interpreta que la expresión «no podrán afectar» concierne cualquier regulación que incida en los derechos constitucionales regulados en el título I, «el decreto-ley, como instrumento normativo previsto en la Constitución y en el Estatuto, resultaría prácticamente inoperante» (DCGE 2/2019, FJ 2.3).
De conformidad con la jurisprudencia constitucional citada, no toda regulación que afecte a un derecho reconocido en el título I de la Constitución está prohibida materialmente en la figura del decreto-ley. Siguiendo esta interpretación, dicha norma no puede regular, en ningún caso, el régimen general del derecho ni tampoco sus elementos esenciales (STC 111/1983, FJ 8, y 182/1997, FJ 6 y 7).
Así, de acuerdo con el DCGE 5/2015, cuando un decreto-ley afecte los precitados derechos «deberá respetar el límite infranqueable de los elementos esenciales de su régimen general, sin alterarlo ni modificarlo de modo que no se innove en la configuración que lo hace reconocible como tal. La modulación y concreción del alcance y rigor del acotamiento [?] también variará, ha recordado el Tribunal Constitucional, según la naturaleza e, incluso, la ubicación sistemática del derecho en el texto constitucional, dentro de las diversas secciones y capítulos del título I» (FJ 2.4).
En todo caso, como dijimos en el DCGE 5/2012, cabe subrayar que la doctrina constitucional ha sido esencialmente concebida para evitar la inaplicación de hecho de la figura del decreto-ley, cosa que se derivaría de una interpretación literal y, por consiguiente, muy estricta, del concepto «afectar» que la Constitución incorporó, de forma que:
«A partir de aquí, podemos fijar dos criterios básicos que deben retenerse con el fin de determinar el alcance de la mencionada cláusula restrictiva sobre el decreto-ley y que se concretan en dos aspectos: por una parte, que la legislación de urgencia no regule el régimen general de los derechos, deberes y libertades del título I CE y que la interpretación constitucionalmente adecuada tenga en cuenta la configuración constitucional de los derechos en cuestión, su ubicación sistemática en el título I CE; y, de la otra, el mayor o menor grado de intensidad o rigor de las garantías de las que disfrutan, en virtud de lo que establece el artículo 53 CE.» (FJ 2.2)
De este modo, en el precitado Dictamen y fundamento se afirma que «entendemos que el ?régimen general? de un derecho, de un deber o de una libertad es equiparable al establecimiento de su régimen jurídico, es decir, a la ordenación de las reglas relativas a la titularidad, al objeto, a la forma o al procedimiento que definen el derecho, además de las referidas a los límites y las garantías para su ejercicio, todos ellos elementos esenciales del derecho» (DCGE 5/2012, FJ 2.2).
Así pues, nos corresponde examinar si los preceptos solicitados del Real decreto-ley «afectan» en el sentido del artículo 86.1 CE a algunos derechos fundamentales.
De entrada, podemos descartar una serie de preceptos que no tienen relación, ni siquiera indirecta, con los derechos fundamentales, como la regulación del DNI, en documento físico o electrónico (arts. 1 y 2 RDL 14/2019); la de los sistemas de identificación y firma electrónica de los interesados ante las administraciones públicas (art. 3.uno y .dos RDL 14/2019, con respecto a los art. 9.2.c y 10.2.c LPACAP); la coordinación en materia de seguridad de las redes (art. 7); las redes de comunicaciones electrónicas en régimen de autoprestación (disp. ad. única) y los títulos competenciales invocados por el Estado para dictar la norma (disp. final primera), cuyo contenido se tratará en los fundamentos jurídicos siguientes.
Otros, como analizaremos posteriormente con más detalle, regulan aspectos relacionados con el derecho a la protección de datos de carácter personal (art. 18.4 CE), puesto que inciden sobre la figura de las transferencias internacionales de datos personales, en cuanto se refieren a la ubicación territorial de los recursos para su tratamiento y la gestión de determinados sistemas de identificación y firma electrónica en el procedimiento administrativo (art. 3.uno y dos RDL 14/2019, con respecto a los artículos 9.3 y 10.3 LPACAP) o para la gestión de determinados sistemas de información y de comunicación de las administraciones públicas (art. 4.uno RDL 14/2019, respecto del nuevo artículo 46 bis LPACAP) y también a las comunicaciones de datos entre administraciones públicas (art. 4. dos RDL 14/2019, en cuanto al artículo 155 LRJSP). Ahora bien, podemos avanzar que los preceptos citados, como veremos, no establecen el régimen jurídico de este derecho, en la medida en que no ordenan las reglas relativas a la titularidad, objeto o conjunto de las facultades que lo conforman o definen, ni a los límites o garantías para su ejercicio, lo que se ha efectuado principalmente mediante la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
De hecho, y en este mismo sentido, el propio preámbulo del Real decreto-ley declara que dicha norma se limita a regular «aspectos meramente puntuales respecto del tratamiento de datos personales por parte de las Administraciones Públicas y sus contratistas al amparo de la habilitación contenida en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la Ley Orgánica 3/2018» (apdo. IV, párr. segundo).
La argumentación anterior, en relación con los artículos 3 y 4 del Real decreto-ley, puede hacerse extensiva a las disposiciones transitorias primera y segunda puesto que fijan el régimen transitorio de las modificaciones de estos preceptos.
En cuanto a los preceptos relacionados con las medidas para reforzar la seguridad en materia de telecomunicaciones, básicamente el artículo 6 del Real decreto-ley, en principio tampoco deberían constituir una real afectación de los derechos fundamentales. Sin embargo, por la técnica legislativa empleada, el apartado uno y el cinco del artículo 6 RDL 14/2019, en la regulación que efectúan de la intervención de las redes y servicios de comunicaciones electrónicas y del cese de una presunta actividad infractora, previo al inicio del procedimiento sancionador, respectivamente, pueden tener una cierta repercusión sobre algunos derechos fundamentales y serán examinados después, motivo por el cual nos remitirnos a las consideraciones que realizaremos en el fundamento jurídico cuarto. Como se verá posteriormente, su análisis se vincula a su calidad normativa, susceptible de afectar a derechos fundamentales (arts. 18 y 24 CE) pero sin que, en ningún caso, tengan por objeto regular los elementos nucleares de su régimen jurídico, que están incluidos entre los límites materiales de la figura del decreto-ley.
Así pues, de la lectura de las disposiciones solicitadas, y vista la regulación material de carácter sectorial y puntual que llevan a cabo, se desprende que ninguna pretende llevar a cabo una regulación del régimen general de los derechos citados ni desarrolla su contenido esencial, entendiendo por este las facultades o posibilidades de actuación que los hacen reconocibles, como tampoco comporta unas limitaciones sustanciales que los hagan impracticables.
Lo anterior, como hemos advertido, sin perjuicio de las precisiones que efectuaremos en los fundamentos jurídicos siguientes sobre el contenido y alcance de los concretos preceptos cuestionados y, cuando proceda, sobre la vulneración o no de los derechos recién citados.
En consecuencia, en aplicación de la doctrina constitucional y consultiva que acabamos de exponer, nos hallamos en condiciones de señalar que los preceptos solicitados del Real decreto-ley 14/2019, al no afectar al régimen o a los elementos esenciales de los derechos, no vulneran los límites materiales que exige el artículo 86.1 CE.
A modo de conclusión de lo que hemos expuesto en este fundamento jurídico, consideramos que el Real decreto-ley 14/2019 y, en concreto, los artículos 1, 2, 3, 4, 6, 7, las disposiciones adicional única y transitorias primera y segunda y la disposición final primera son contrarios al artículo 86.1 CE, porque no cumplen el requisito constitucional de la extraordinaria y urgente necesidad.
Tercero. El examen de la adecuación constitucional y estatutaria de los preceptos del Real decreto-ley 14/2019 relativos al documento nacional de identidad y a la identificación electrónica ante las administraciones públicas
En este fundamento jurídico trataremos primero las medidas introducidas en materia de documentación nacional de identidad (arts. 1 y 2 RDL 14/2019 que modifican los art. 8.1 LOPSC y 15.1 LFE, respectivamente) y en segundo lugar nos referiremos a las que se relacionan con la identificación electrónica ante las administraciones públicas (art. 3.uno y .dos RDL 14/2019, en lo referido a los art. 9.2 y 10.2 LPACAP).
Se trata de ámbitos regulatorios diferentes, relativos a la acreditación de la identidad de una persona física y a los sistemas de identificación electrónica validados por los interesados (ya sean persona física o jurídica) en su relación con las administraciones públicas. Como veremos a continuación, las particularidades y el contexto normativo del documento nacional de identidad (en lo sucesivo, DNI), por una parte, y los de los sistemas de identificación citados, por otra, nos ubican en materias competenciales diferentes, que permiten al Estado y a las comunidades autónomas unas facultades normativas y ejecutivas igualmente distintas. Sin embargo, el papel que el primero puede representar también como sistema de identificación de los interesados ante las administraciones públicas justifica que lo tratemos en este mismo fundamento jurídico.
1. Para dar adecuada respuesta a las dudas de naturaleza competencial que la solicitud plantea en relación con el primer bloque de preceptos cuestionados, sobre las medidas en materia de documentación nacional de identidad, deberemos encuadrar materialmente las normas cuestionadas, al objeto de determinar el título prevalente en que se ampara y su alcance, lo que llevaremos a cabo teniendo en cuenta la descripción del contenido y finalidad de los preceptos solicitados, la petición del Gobierno, la naturaleza y funciones del DNI, así como los precedentes y el contexto normativo de dichos preceptos.
A) Resumidamente, los artículos 1 y 2 RDL 14/2019 modifican el artículo 8.1 LOPSC y el artículo 15.1 LFE, que, respectivamente, regulan la naturaleza y los efectos del DNI, en formato físico y electrónico, en el siguiente sentido. Por un lado, el artículo 8.1 declara que los españoles tienen derecho a la expedición de su DNI y que este es un documento público y oficial. Además, como relativa novedad, lo declara ahora con más énfasis, al prescribir que es «el único documento» con suficiente valor por sí solo para la acreditación, «a todos los efectos», de la identidad y los datos personales de su titular. Por otro lado, el artículo 15.1 LFE indica que el DNI electrónico acredita la identidad personal de su titular, en este caso electrónicamente, y permite la firma electrónica de documentos, estableciendo, como novedad, una remisión a los términos en los que el artículo 8.1 LOPSC dispone que el DNI acredita dicha identidad personal.
La disposición final primera, apartado 1, del Real decreto-ley que dictaminanos establece que los artículos 1 y 2 se dictan al amparo del artículo 149.1.29 CE, que atribuye al Estado la competencia exclusiva en materia de seguridad pública. La solicitud del Gobierno no niega que la materia regulada por los citados preceptos se ubique en el aludido título competencial de seguridad pública (art. 149.1.29 CE), sino que centra su cuestionamiento en el posible efecto restrictivo que la concreta regulación que ahora se efectúa pueda tener sobre las competencias de la Generalitat para determinar los sistemas de identificación de los interesados ante las administraciones públicas, incidiendo en las competencias previstas en los artículos 150 y 159 EAC. En concreto, critica que la principal consecuencia de dicha modificación es que la creación de sistemas de identificación y firma deberá ir precedida de una identificación personal que solo podrá realizarse a través del DNI.
Al respecto, debemos empezar recordando que el DNI, que se expide a todos los españoles, se convierte en una consecuencia de la nacionalidad, de modo que todos los ciudadanos españoles tienen derecho a disponer de él (art. 8.1 LOPSC). Esta relación con la nacionalidad, sin embargo, es solo indirecta y no implica ningún tipo de encabalgamiento con el artículo 149.1.2 CE que, por otro lado, también atribuye en exclusiva al Estado la competencia para regular dicho ámbito material, como veremos al describir el canon competencial.
El derecho de los ciudadanos españoles a que el Estado les expida el DNI se relaciona con el derecho a la identidad o reconocimiento de la personalidad jurídica previsto en el artículo 6 de la Declaración universal de derechos del hombre y al artículo 16 del Pacto internacional de derechos civiles y políticos; relación que deriva de que el citado documento público es el medio ordinario de acreditación de dicha personalidad jurídica. Cabe tener en cuenta que la identidad de una persona física, como derecho, no solo se refiere a los rasgos y datos personales que la caracterizan e individualizan, sino también al derecho a conocer los propios orígenes y a la identidad sexual, entre otros, pero estos últimos aspectos, obviamente, quedan fuera de la identidad más básica a la que se refiere el DNI y, por consiguiente, estarán al margen del objeto del presente Dictamen. Aquí tan solo nos limitaremos a destacar que la importancia de este derecho ha sido puesta de relieve, últimamente, por la reciente STC 99/2019, de 18 de julio, señalando que «si bien este derecho no se reconoce como tal en la Constitución Española de 1978, se puede considerar tácitamente incluido en el art. 10.1 CE, aparte de que sí está reconocido tanto en el art. 8 de la Convención sobre los derechos del niño de 2006 como en la Carta europea de los derechos del niño de 1992» (FJ 8).
Por lo que interesa a los efectos de este Dictamen, cabe tener presente, igualmente, que la acreditación de la identidad de los ciudadanos es la premisa determinante e imprescindible para que los poderes públicos puedan cumplir su función de persecución de los delitos y garantizar a la vez la seguridad ciudadana y la paz social. Es en este ámbito material de la seguridad pública (art. 149.1.29 CE) donde, precisamente, se sitúan las medidas que atribuyen al DNI carácter exclusivo y excluyente, como único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y datos personales de su titular. De hecho, garantizar el cumplimiento de los fines que persigue la ley de seguridad ciudadana es el sentido al que responde toda esta regulación sobre la documentación e identificación de los ciudadanos españoles, el valor probatorio del documento nacional de identidad y el pasaporte, así como los deberes de sus titulares, y la incorporación de las posibilidades de acreditación electrónica de la identidad y el mantenimiento de la exigencia de exhibirlos a requerimiento de los agentes de la autoridad en los supuestos y con las garantías que prevé la ley (art. 9.2 y 16 LOPSC), tal como resulta de los apartados II y III del preámbulo de la LOPSC y ha afirmado también la STC 25/2004, de 26 de febrero (FJ 6).
El artículo 9.1 LOPSC, por las mismas razones de seguridad pública, remarca igualmente la relevancia de este documento de identificación estableciendo que ningún español puede ser privado del DNI, ni siquiera temporalmente, salvo en los casos y en la forma establecidos por las leyes según las cuales deba ser sustituido por otro documento.
Y todo ello es así prescindiendo, incluso, del hecho de que, tradicionalmente, la competencia para expedir el DNI se haya atribuido a la autoridad policial, concretamente al Ministerio del Interior (a través de la Dirección General de Policía) a la que, además, corresponde la custodia y responsabilidad de los archivos y ficheros que con él se relacionan; competencia orgánica prevista por el artículo 10 LOPSC (que el art. 12.1.A.a de la Ley orgánica 2/1986, de 13 de marzo, de fuerzas y cuerpos de seguridad asigna aún más concretamente al «Cuerpo Nacional de Policía») que, por cierto, no deriva de ningún mandato constitucional. Dicho esto, queremos destacar, aunque solo sea de paso, que esta atribución de la competencia para su otorgamiento a organismos responsables de la seguridad ciudadana, no significa que sea un documento que se relacione exclusivamente con el ámbito policial y con dicha seguridad. En efecto, como ya se ha indicado, el DNI es, destacadamente, un documento acreditativo de la personalidad jurídica (en expresión del art. 6 de la Declaración universal de derechos humanos de 1948) de su titular, motivo por el que quizás fuera más apropiado que dicha competencia orgánica se atribuyera al Registro Civil, pero esta es una cuestión que no nos corresponde entrar a valorar.
La vinculación de la presente regulación del DNI con la seguridad pública no excluye, como es obvio, que, como sistema de identificación de los ciudadanos españoles, este documento de identidad sea igualmente esencial en otros ámbitos ajenos a la seguridad pública, como puede ser, por ejemplo, el fiscal, a la hora de permitir que la Administración tributaria lleve a cabo las correspondientes actividades de control. En este sentido, aparte del hecho de que el DNI sea referente obligado para la expedición de otros documentos de especial relevancia como son el pasaporte o la identificación fiscal, y de las funciones específicas que la normativa sobre seguridad ciudadana le ha atribuido, debe resaltarse que en varios sectores del ordenamiento jurídico podemos encontrar ejemplos de otros medios admitidos para la identificación de los ciudadanos españoles.
A título ilustrativo, cabe mencionar la posibilidad de que la mesa electoral identifique a los electores también mediante pasaporte o permiso de conducir en que aparezca la fotografía del titular (art. 85 Ley orgánica 5/1985, de 19 de junio, del régimen electoral general); la acreditación de la nacionalidad e identidad de los otorgantes o comparecientes españoles en una escritura pública mediante DNI o pasaporte (art. 161 Reglamento de la organización y el régimen del notariado, aprobado por el Decreto de 2 de junio de 1944, modificado por el Real decreto 45/2007, de 19 de enero), o la identificación de las personas que se hagan cargo de envíos postales ante el operador postal que realice la entrega mediante la exhibición de DNI, pasaporte o permiso de conducir (art. 32.1 Real decreto 1829/1999, de 3 de diciembre, por el que se aprueba el Reglamento por el que se regula la prestación de los servicios postales, en desarrollo de la Ley 24/1998, de 13 de julio, del servicio postal universal y de liberalización de los servicios postales).
Una vez descritos la naturaleza y principales funciones del DNI, especialmente en lo que concierne al ámbito de la seguridad ciudadana, a continuación, antes de proceder al encuadre competencial definitivo de los preceptos cuestionados, formularemos algunas consideraciones generales sobre los precedentes y el contexto que delimitan la legislación y el marco regulador del DNI.
Los precedentes de la LOPSC los encontramos, primeramente, en el Decreto 196/1976, de 6 de febrero, por el que se regula el documento nacional de identidad que, en lo que aquí interesa, lo configuraba como «un documento público que acredita la auténtica personalidad de su titular, constituyendo el único y exclusivo justificante completo de la identificación de la persona. Será imprescindible para justificar por sí mismo y oficialmente la personalidad de su titular, haciendo fe, salvo prueba en contrario, de los datos personales que en él se consignen». Y, más adelante, en la Ley orgánica 1/1992, de 21 de febrero, sobre protección de la seguridad ciudadana, dictada también al amparo de la competencia estatal del artículo 149.1.29 CE sobre seguridad pública, que ya establecía el derecho y el deber de obtener el DNI a partir de los 14 años, el cual tenía por sí solo suficiente valor para acreditar la identidad de los ciudadanos españoles; la expedición del pasaporte o documento equivalente, y el deber de identificación de los extranjeros que se encontrasen en España (cap. II, sección III), así como las condiciones en que las fuerzas y cuerpos de seguridad podrían requerir la identificación de las personas (cap. III).
La actual normación del DNI se encuentra, principalmente, en la LOPSC; la Ley 84/1978, de 28 de diciembre, por la que se regula su tasa de expedición; la LFE, en cuanto al DNI electrónico, y el Real decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica.
Concretamente, el capítulo II de la LOPSC, intitulado «Documentación e identificación personal» (arts. 8 a 13) y dictado al amparo del artículo 149.1.29 CE, determina el valor probatorio del DNI y del pasaporte y los deberes de los titulares de dichos documentos, incorpora las posibilidades de identificación y de firma electrónica y exige la exhibición a requerimiento de los agentes de la autoridad, conforme a lo previsto por la Ley (art. 16, entre otros). En cuanto al pasaporte, la propia LOPSC lo configura como documento público, personal, individual e intransferible, que, a menos que haya una prueba en contrario, acredita la identidad y la nacionalidad de los ciudadanos españoles fuera de España y, dentro del territorio nacional, las mismas circunstancias de los españoles no residentes (art. 11 LOPSC). De todo ello resulta que ambos documentos acreditan, con carácter general y en los términos expuestos, la identidad de los españoles, aunque el DNI es el único que, en todo caso, tiene suficiente valor identificativo por sí solo.
En el entorno digital, el DNI electrónico, en el caso de los españoles mayores de edad que gocen de plena capacidad de obrar y de los menores emancipados, además de acreditar la identidad en el sentido tradicional, permite la identificación electrónica de su titular y la firma electrónica de documentos, en los términos previstos en la legislación específica (art. 8.3 LOPSC y art. 15.1 LFE), puesto que incorpora el certificado y la firma electrónicos. En este punto, la LFE se limita a fijar su marco normativo básico estableciendo el deber de todas las personas físicas o jurídicas, públicas o privadas, a reconocer la eficacia del documento nacional de identidad electrónico para verificar la identidad y el resto de datos personales del titular que consten en él, y para acreditar la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica que están incluidos (art. 15.2 LFE). En desarrollo de la Ley orgánica 1/1992 y de la regulación contenida en la LFE y el mandato recogido en su disposición final segunda, se aprobó el RD 1553/2005 antes citado, al que ya hemos hecho referencia.
Asimismo, respecto a la identificación de los interesados en el procedimiento administrativo, el artículo 9.1 LPACAP obliga a las administraciones a verificar la identidad de los interesados «mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente». En cuanto a su identificación electrónica, nos remitimos al análisis del artículo 3.uno y .dos RDL 14/2019 que realizaremos más adelante en este mismo fundamento jurídico.
B) Hechas las precisiones anteriores, pasaremos a exponer el parámetro de constitucionalidad relativo a las competencias del Estado en materia de seguridad pública (art. 149.1.29 CE), que es donde hemos determinado que se encuadran competencialmente los artículos solicitados.
Debemos empezar, consiguientemente, por definir de forma breve cuál es su significado, ya que lo volveremos a tratar otras veces en este Dictamen, al relacionarlo con otros títulos que inciden en los diferentes preceptos solicitados (como, por ejemplo, defensa en el art. 149.1.4 CE, bases del régimen jurídico de las administraciones públicas y procedimiento administrativo común, en el art. 149.1.18 CE, o régimen general de las comunicaciones, en el art. 149.1.21 CE).
La competencia sobre seguridad pública ha sido examinada en varias ocasiones por elConsell (DCGE 18/2015, de 26 de noviembre, FJ 2) y por la jurisprudencia constitucional (por todas, STC 25/2004, de 26 de febrero, FJ 6), que resumiremos más adelante.
De acuerdo con el artículo 149.1.29 CE, se trata de una competencia asignada constitucional y principalmente al Estado, si bien tendrá que desplegarse sin perjuicio de la creación de policías por parte de las comunidades autónomas. Donde estas existan habrá una cierta concurrencia competencial, por mandato constitucional, en el marco de una ley orgánica de reparto funcional. Dicha Ley orgánica es la 2/1986, de 13 de marzo, de fuerzas y cuerpos de seguridad del Estado. El artículo 13 del Estatuto de autonomía de 1979 (y ahora el 164 EAC) permitió asumir competencias en seguridad y crear los Mossos d?Esquadra como cuerpo policial de Cataluña.
El DNI se expide a todos los españoles, constituye a la vez una consecuencia de la nacionalidad, de modo que todos los españoles tienen derecho a él (art. 8.1 LOPSC), sin que ello quiera decir, no obstante, que afecte al título competencial del artículo 149.1.2 CE. En efecto, sobre el alcance material de la regulación de la nacionalidad podemos recurrir a la Declaración 1/1992 del Tribunal Constitucional, de 1 de julio, según la cual:
«El legislador de la nacionalidad debe, como es obvio, definir quiénes son españoles, es decir, quiénes tienen, potencialmente, capacidad para ser titulares de cualesquiera situaciones jurídicas en el ordenamiento y sobre ello no le da la Constitución pauta material alguna. Pero no puede, sin incurrir en inconstitucionalidad, fragmentar, parcelar o manipular esa condición, reconociéndola solamente a determinados efectos con el único objeto de conceder a quienes no son nacionales un derecho fundamental.» (FJ 5)
Es decir, la regulación del Estado sobre la nacionalidad y sus efectos comporta otorgar el derecho a obtener el DNI a los nacionales, como documento identificador. La regulación del DNI, en tanto que consecuencia de la nacionalidad, no constituye una ordenación de esta última(art. 149.1.2 CE), ya que no determina quién es y quién no es nacional, ni establece los requisitos necesarios para adquirir la nacionalidad, sino que prescribe uno de sus efectos: permitir acreditar que se dispone de la nacionalidad española, de modo que, como hemos dicho al inicio de este fundamento jurídico, la competencia en materia de nacionalidad no desplaza a la seguridad pública como prevalente en el supuesto que ahora se examina.
Así, para completar el parámetro de constitucionalidad y de estatutariedad que ha de guiar nuestro pronunciamiento sobre los artículos 1 y 2 RDL 14/2019 citados, nos referiremos muy brevemente a la jurisprudencia constitucional. La STC 104/1989, de 8 de junio, afirma que la seguridad pública se refiere a la «protección de personas y bienes y al mantenimiento de la tranquilidad u orden ciudadano» (FJ 3). En la STC 25/2004, el Tribunal Constitucional lo precisa diciendo que dicha materia incluye «un conjunto plural y diversificado de actuaciones, distintas por su naturaleza y contenido, aunque orientadas a una misma finalidad tuitiva del bien jurídico así definido» y sitúa en el seno del título, de forma predominante, «las organizaciones y los medios instrumentales, en especial los cuerpos de seguridad a que se refiere el art. 104 CE» (FJ 6). Sin embargo, también ha ampliado el concepto de seguridad pública más allá de la regulación de las intervenciones de la policía de seguridad (STC 148/2000, de 1 de junio, FJ 6). En este sentido, añade «[o]tros aspectos y otras funciones distintas de los cuerpos y fuerzas de seguridad, y atribuidas a otros órganos y autoridades administrativas» (STC 104/1989, de 8 de junio, FJ 3). De este modo, como hemos enunciado al tratar del encuadre competencial de ambos preceptos cuestionados, la STC 25/2004, refiriéndose a la ahora derogada LO 1/1992, incluye, entre los ámbitos a los que se constriñe la regulación efectuada por dicha ley, el establecimiento de la responsabilidad de las autoridades en lo que se refiere a la documentación personal de nacionales y extranjeros en España, entendiendo que son aspectos susceptibles «de originar riesgos ciertos que pueden afectar de modo directo y grave a la seguridad de personas y bienes» (FJ 6), sin la voluntad de extender la regulación a cualquier actividad que tenga una relación más o menos estrecha con la seguridad pública.
C) Una vez ha quedado concretado el parámetro competencial aplicable al núcleo principal de la materia que regula el Real decreto-ley en relación con el DNI, nos corresponde examinar ahora si los preceptos cuestionados se ajustan a él o, lo que es lo mismo, si, tal como denuncia la solicitud, comportan una restricción o un desplazamiento de las competencias de la Generalitat para determinar los sistemas de identificación de los interesados ante las administraciones públicas en sede del procedimiento administrativo regulado en la LPACAP (arts. 150 y 159 EAC). Y, de modo más concreto, si la principal consecuencia de esta previsión es que «inexcusablemente, la creación de sistemas de identificación y firma deberá ir precedida de una identificación personal que solo podrá acreditarse mediante DNI».
Para una mejor comprensión de su análisis, que realizaremos de forma conjunta dada la conexión indiscernible que existe entre ambos artículos, los reproduciremos seguidamente en su literalidad.
El artículo 1 RDL 14/2019 modifica el apartado 1 del artículo 8 LOPSC el cual queda redactado con el contenido siguiente:
«1. Los españoles tienen derecho a que se les expida el Documento Nacional de Identidad.
El Documento Nacional de Identidad es un documento público y oficial y tendrá la protección que a estos otorgan las leyes. Es el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular.»
Por su parte, el artículo 2 RDL 14/2019 modifica el apartado 1 del artículo 15 LFE en los términos siguientes:
«1. El documento nacional de identidad electrónico es el documento nacional de identidad que acredita electrónicamente la identidad personal de su titular, en los términos establecidos en el artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y permite la firma electrónica de documentos.»
Tal como ha quedado dicho al principio de este fundamento jurídico, la modificación introducida en el artículo 8.1 LOPSC consiste en añadir que el DNI es «el único documento» con suficiente valor por sí solo para acreditar «a todos los efectos» la identidad del titular y sus datos personales. Y, con respecto al artículo 15.1 LFE, la reforma se limita a incorporar una remisión al citado artículo 8.1 LOPSC.
Debemos comenzar recordando, nuevamente, que con la atribución al DNI, con carácter de único y exclusivo, de la condición de justificante completo de la auténtica personalidad de su titular, se recupera una característica que, según hemos expuesto en este mismo fundamento jurídico, al tratar de la naturaleza de dicho documento identificativo, ya le atribuía el artículo 1 del Decreto 196/1976, de 6 de febrero, que entonces regulaba el documento nacional de identidad.
A partir de aquí, entendemos que el sentido que debe darse al restablecimiento de esa exclusividad es que ninguna autoridad ni ningún particular puedan exigir en el ámbito de la seguridad pública un documento diferente al DNI para acreditar la identidad y datos personales de sus titulares. Cabe recordar, nuevamente, que se trata de normas que se sitúan en el ámbito material de la seguridad pública, en los que la identidad de las personas constituye la premisa determinante e imprescindible a fin de que los poderes públicos puedan desarrollar su función de garantizar dicha seguridad y la paz social.
Por esta razón y cuando se trate de otras situaciones, nada excluye que las administraciones públicas, para el ejercicio de determinados derechos o el disfrute de prestaciones públicas, puedan exigir, con arreglo a sus competencias, que los ciudadanos españoles tengan que estar en posesión de otro documento acreditativo o que en el procedimiento administrativo puedan identificarse electrónicamente también a través de sistemas diferentes al DNI.
En este sentido, la primera consecuencia que, con carácter general, puede extraerse del artículo 15.1 LFE es que los titulares del DNI electrónico son al mismo tiempo titulares de una firma electrónica reconocida, sin perjuicio de los otros sistemas de identificación que se prevén en este mismo artículo. Aparte de lo anterior, hay que tener presente, también, que la firma y el certificado electrónicos contenidos en el DNI electrónico tienen un carácter más reforzado que el resto de firmas electrónicas reconocidas, ya que todo el mundo, incluidas las diferentes administraciones públicas, debe reconocerlo en su doble vertiente: como identificador de su titular y como firma de documentos electrónicos (art. 15.2 LFE).
Ahora bien, la remisión del artículo 15.1 LFE al hecho de que la acreditación electrónica de la identidad personal del titular del DNI lo es «en los términos que establece el artículo 8 de la Ley orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana» no implica que los sistemas de identificación y firma deban ir precedidos de una identificación personal que solo pueda acreditarse mediante DNI.
Esta constatación se confirma con el hecho de que la modificación realizada por los artículos 1 y 2 RDL 14/2019 se ha producido sin cambiar la normativa básica estatal, salvo en lo que después diremos sobre la autorización estatal previa, en el caso de los sistemas de clave concertada y otros sistemas equiparados. Es decir, por un lado, se ha mantenido la regla según la cual las administraciones públicas pueden verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación del nombre y apellidos que consten en el DNI o documento identificativo equivalente (art. 9.1 LPACAP), y, por otro, se mantiene igualmente la posibilidad de que los interesados se identifiquen ante las administraciones públicas a través de sistemas basados en certificados electrónicos, de clave concertada o de cualquier otro sistema que las administraciones consideren válido (como, por ejemplo, el idCAT Móvil o el SIVCat), en los términos y condiciones que se establezca (art. 9.2 LPACAP), sin ningún otro requisito.
Las consideraciones efectuadas nos llevan a afirmar que la determinación del DNI como «único documento» con suficiente valor por sí solo para la acreditación «a todos los efectos» de la identidad y datos personales de su titular solo impide que pueda crearse otro equivalente con la misma consideración y eficacia que describe el artículo 8.1 LOPSC. Por consiguiente, la reforma no introduce ninguna debilitación respecto a la validez de otros sistemas de identificación y firma a través de diversos documentos identificativos como podría ser, por ejemplo, la tarjeta de identificación sanitaria de la Generalitat. Dicho con otras palabras, la modificación de ambos preceptos se circunscribe a la acreditación de la identidad y de los datos personales en el ámbito de la seguridad pública y no implica que en todos los procedimientos administrativos tenga que aportarse siempre el DNI como elemento adicional de acreditación.
Así, pues, a diferencia de lo que se sostiene en la solicitud, consideramos que establecer que el DNI sea el único documento con valor suficiente para acreditar, por sí solo, la identidad y los datos personales de su titular, en nada afecta a la competencia de la Generalitat de Cataluña para organizar su propia Administración (art. 150 EAC), ni tampoco a la que le corresponde en materia de régimen jurídico y procedimiento de las administraciones públicas catalanas (art. 159 EAC).
En consecuencia, los artículos 1 y 2 RDL 14/2019, de 31 de octubre, en la modificación que efectúan, respectivamente, del apartado 1 del artículo 8 de la Ley orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y del apartado 1 del artículo 15 de la
3. A continuación, analizaremos el artículo 3 RDL 14/2019, apartados primero y segundo, en lo que respecta a las modificaciones introducidas en los artículos 9.2 y 10.2 LPACAP, preceptos que contienen un conjunto de medidas en materia de identificación y firma electrónica de los interesados en el procedimiento administrativo. Por su vinculación con los mismos, también examinaremos el apartado 1 de la disposición transitoria primera del Real decreto-ley, que establece el régimen transitorio de las medidas anteriores.
Dado que los cambios introducidos en las letras a y b de los artículos 9.2 y 10.2 LPACAP no han sido cuestionados por el solicitante y responden, tal como manifiesta el preámbulo del Real decreto-ley, a la necesidad de adaptar su contenido al Reglamento (UE) núm. 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (en lo sucesivo, Reglamento eIDAS), limitaremos nuestro análisis, en cuanto a los citados preceptos, únicamente a la nueva redacción de su letra c.
Iniciaremos, pues, nuestra tarea consultiva con el examen de la vigente redacción de los artículos 9.2.c y 10.2.c LPACAP, así como de la disposición transitoria primera.1 RDL 14/2019.
Con carácter previo e introductorio al análisis de los citados preceptos, efectuaremos, de forma sucinta, varias consideraciones generales sobre el contexto en el que se insieren. Posteriormente, realizaremos su encuadre, expondremos brevemente el parámetro de constitucionalidad y estatutariedad que les resulte aplicable y, seguidamente, lo aplicaremos a las normas cuestionadas por el peticionario.
A) La creación de un clima de confianza en las transacciones electrónicas, en el mercado interior de la Unión Europea, para alcanzar interacciones electrónicas seguras entre los ciudadanos, empresas y administraciones públicas, ha impulsado la adopción del Reglamento eIDAS, que fue aprobado en cumplimiento del Plan de acción europeo de administración electrónica 2011-2015 y la Agenda Digital para Europa. El Reglamento tiene un doble objetivo: garantizar el correcto funcionamiento del mercado interior y, al mismo tiempo, alcanzar un nivel de seguridad de los medios de identificación electrónica y los servicios de confianza, y se limita a establecer las condiciones en que los estados miembros deben reconocer los medios de identificación electrónica notificados a la Comisión por otro Estado miembro, estableciendo un marco jurídico para el reconocimiento mutuo de los sistemas en cuestión (art. 1).
Esta norma europea, de aplicación directa, regula, entre otras figuras, la firma electrónica (avanzada y cualificada) y el sello electrónico (avanzado y cualificado). Así, en primer lugar, define la firma electrónica como los datos en formato electrónico anexos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar. En segundo lugar, precisa que la firma electrónica avanzada es aquella que está vinculada al firmante de manera única, permite su identificación, ha sido creada empleando datos de creación de la firma electrónica que el firmante puede utilizar con un alto nivel de confianza bajo su control exclusivo y está vinculada con los datos firmados de modo tal que cualquier modificación ulterior de los mismos sea detectable (art. 26). Finalmente, entiende la firma electrónica cualificada como aquella firma avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica (art. 3.12), es decir, un certificado expedido por un prestador cualificado de servicios de confianza que cumple los requisitos establecidos en el anexo I de la norma (art. 3.15).
El Reglamento diferencia entre firma electrónica, de persona física, y el sello electrónico, de persona jurídica, admitiendo también, en este caso, la firma electrónica cualificada del representante autorizado de la persona jurídica (considerandos 58 y 59).
En cuanto a los efectos jurídicos, la norma establece, por un lado, que no pueden denegarse efectos jurídicos ni su admisibilidad como prueba en procedimientos judiciales a una firma electrónica o a un sello electrónico por el simple hecho de ser electrónico o porque no cumpla los requisitos de la firma o del sello electrónico cualificado (art. 25.1 y 35.1). Y, por otro, indica que la firma electrónica cualificada tiene un efecto jurídico equivalente al de la manuscrita (art. 25.2), mientras que un sello electrónico cualificado disfrutará de la presunción de integridad de los datos y de la corrección del origen de los datos a los que el sello esté vinculado (art. 35.2).
En materia de firma electrónica, el Estado traspuso la Directiva 1999/93/CE, ya citada, mediante el Real decreto-ley 14/1999, de 17 de septiembre, de firma electrónica. Posteriormente, al haber decaído la iniciativa legislativa impulsada para la tramitación de esta norma como proyecto de ley, la traspuso a través de la LFE. Esta norma regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. En este sentido, la LFE define la firma electrónica en términos similares al Reglamento europeo. Distingue entre la firma avanzada (art. 3.2), que equivale a la firma homónima prevista en el Reglamento eIDAS, y la reconocida (art. 3.3), que se corresponde con la firma electrónica cualificada, y regula los certificados electrónicos de personas jurídicas (art. 7).
Igualmente, la identificación electrónica ha sido regulada en varias normas de desarrollo de la denominada administración electrónica, como la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos (actualmente derogada, salvo determinados artículos de acuerdo con la disposición final séptima de la LPACAP). Dicha Ley 11/2007 reconoció el derecho de los ciudadanos a relacionarse electrónicamente con las administraciones públicas y el deber de estas de dotarse de los medios y sistemas necesarios para que aquél pudiera ejercerse, y reguló las formas de identificación y autenticación admisibles, derecho y deber actualmente previstos en los artículos 9, 12 y 13 LPACAP.
Al respecto, una de las novedades que introdujo la LPACAP es la separación entre identificación y firma electrónica y la simplificación de los sistemas correspondientes. En lo referente a los sistemas de identificación, tras establecer el deber de verificar la identidad de los interesados en el procedimiento administrativo, mediante DNI o documento acreditativo equivalente, el artículo 9 LPACAP, en su redacción anterior, exigía, con carácter general, un registro previo como usuario para acreditar la identidad del titular. Además, admitía los sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica o de sello electrónico expedidos por prestadores autorizados y los de clave concertada o cualquier otro que se considerara válido, de modo que correspondía a cada administración determinar si autorizaba todos o algunos de los sistemas y la relación entre el tipo de identificación y el trámite o procedimiento. Ahora bien, como límite a la admisión de sistemas de identificación no basados en certificados electrónicos, se establecía la obligación para la Administración de aceptar el resto de sistemas.
En cuanto a los sistemas de firma, el artículo 10 LPACAP, tras establecer que se puede firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento firmado, señalaba como válidos, en su redacción inmediatamente anterior, los sistemas de firma reconocida o cualificada y avanzada o de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de firma electrónica o de sello electrónico, expedidos por prestadores autorizados, así como cualquier otro que las administraciones consideraran válido. Estos sistemas deben contar (como en el artículo 9.2.c LPACAP) con un registro previo de los usuarios que permita garantizar su identidad.
En el marco de las administraciones públicas catalanas, la Ley 26/2010, de 3 de agosto, de régimen jurídico y de procedimiento de las administraciones públicas de Cataluña, reconoce el derecho a obtener y utilizar cualquier sistema de firma electrónica, en los términos y con los límites que se establezcan normativamente (art. 24.5). A mayor abundamiento, dispone que las personas físicas puedan utilizar siempre, en las relaciones con las administraciones, los sistemas de firma electrónica incorporados en el documento nacional de identidad, si bien pueden utilizar también otros sistemas admitidos por las administraciones (art. 45). Acepta, también, la validez del sistema de identificación, autenticación y firma electrónica no avanzada en el ámbito de la Administración de la Generalitat y en sus relaciones con los ciudadanos, entidades, fundaciones y asociaciones inscritas en los registros públicos, empresas y otros organismos públicos. También permite el uso de claves concertadas en un registro previo, la información conocida por los ciudadanos y las administraciones, y los datos y códigos alfanuméricos que figuren impresos en tarjetas identificativas o de acceso a servicios públicos expedidas por las administraciones para verificar la identificación y autenticación de los ciudadanos y llevar a cabo su registro electrónico sin certificado digital (disp. ad. decimosexta).
En las relaciones electrónicas con la Administración de la Generalitat, las personas físicas pueden utilizar en todo caso los sistemas de firma electrónica incorporados en el documento nacional de identidad, los certificados idCAT e, igual que las personas jurídicas, los sistemas previstos en el protocolo de identificación y firma electrónica (arts. 29 y 30 Decreto 56/2009, de 7 de abril, para el impulso y el desarrollo de los medios electrónicos en la Administración de la Generalitat), aprobado por la Orden GRI /233/2015, de 20 de julio, que recoge los aspectos técnicos y organizativos necesarios para la implantación de los sistemas de firma electrónica para cada trámite o servicio, en función del grado de seguridad que se requiera.
Visto el contexto normativo en materia de identificación y firma electrónica en las relaciones entre particulares y administraciones, nos hallamos en disposición de analizar el contenido de las modificaciones introducidas en la LPACAP por el Real decreto-ley en los citados ámbitos materiales.
El artículo 3.uno del Real decreto-ley modifica el apartado 2 del artículo 9 LPACAP, sobre los sistemas de identificación de los interesados en el procedimiento, que queda redactado con el siguiente contenido:
«2. Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas siguientes:
a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ??Lista de confianza de prestadores de servicios de certificación??.
b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la ??Lista de confianza de prestadores de servicios de certificación??.
c) Sistemas de clave concertada y cualquier otro sistema, que las Administraciones consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad, previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses. Sin perjuicio de la obligación de la Administración General del Estado de resolver en plazo, la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios.
Las Administraciones Públicas deberán garantizar que la utilización de uno de los sistemas previstos en las letras a) y b) sea posible para todo procedimiento, aun cuando se admita para ese mismo procedimiento alguno de los previstos en la letra c).»
Asimismo, el artículo 3.dos modifica el apartado 2 del artículo 10 LPACAP, relativo a los sistemas de firma de los interesados admitidos en sus relaciones con las administraciones públicas, que queda redactado en los términos siguientes:
«2. En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma:
a) Sistemas de firma electrónica cualificada y avanzada basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ??Lista de confianza de prestadores de servicios de certificación??.
b) Sistemas de sello electrónico cualificado y de sello electrónico avanzado basados en certificados electrónicos cualificados de sello electrónico expedidos por prestador incluido en la ??Lista de confianza de prestadores de servicios de certificación??.
c) Cualquier otro sistema que las Administraciones Públicas consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad, previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses. Sin perjuicio de la obligación de la Administración General del Estado de resolver en plazo, la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios.
Las Administraciones Públicas deberán garantizar que la utilización de uno de los sistemas previstos en las letras a) y b) sea posible para todos los procedimientos en todos sus trámites, aun cuando adicionalmente se permita alguno de los previstos al amparo de lo dispuesto en la letra c).»
La disposición transitoria primera del Real decreto-ley prevé, en su apartado primero, el régimen transitorio de las modificaciones introducidas en el artículo 3 RDL 14/2019 en relación con los preceptos 9.2.c y 10.2.c LPACAP:
«1. Las entidades del Sector Público que quieran habilitar sistemas de identificación o firma conforme a las letras c) de los artículos 9.2 y 10.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, a partir de la entrada en vigor de este real decreto-ley, deberán solicitar la autorización prevista en dichos preceptos. Los sistemas que, antes de la citada entrada en vigor, ya estén validados y plenamente operativos en los procedimientos administrativos de que se trate, no requerirán someterse a dicha autorización.»
Como se ha expuesto al principio del presente fundamento jurídico, la solicitud de dictamen destaca que los títulos aplicables a estos preceptos son los artículos 150 y 159 EAC, considerando que el Real decreto-ley puede constituir una extralimitación y desbordar el título estatal en materia de seguridad pública, en la medida en que sujeta a previa autorización ciertos sistemas de identificación y firma electrónica.
El escrito de solicitud cuestiona también la disposición transitoria primera, por conexión, razón por la cual lo que se decida para la autorización previa prevista en los artículos 9.2.c y 10.2.c LPACAP será igualmente de aplicación a la disposición transitoria primera.1 RDL 14/2019.
B) En lo que ahora nos concierne, es relevante proceder conjuntamente al encuadre competencial de los apartados uno y dos del artículo 3 RDL 14/2019, ya que, como hemos tenido ocasión de ver, resulta común a los dos, habida cuenta de que tienen una estructura idéntica, aplicada a la identificación electrónica o a la firma, respectivamente.
Primeramente, hay que acudir a la disposición final primera RDL 14/2019, que es el precepto que menciona los títulos competenciales correspondientes a cada artículo. Concretamente, el artículo 3 RDL 14/2019, según la disposición precitada, se dicta al amparo del artículo 149.1.18 CE (bases del régimen jurídico de las administraciones públicas y procedimiento administrativo común) y del artículo 149.1.29 CE (seguridad pública). De hecho, se citan dos títulos para el conjunto de los artículos 3 y 4 RDL 14/2019. A continuación efectuaremos un análisis de otros elementos que nos pueden ayudar a discernir entre los dos títulos competenciales mencionados. A tal fin, nos referiremos al preámbulo del RDL 14/2019 cuando corresponda.
Por un lado, el segundo párrafo del apartado VI del preámbulo sitúa la competencia estatal en el artículo 149.1.18 CE, en la medida en que modifica las principales leyes relativas al régimen jurídico y al procedimiento administrativo común de las administraciones públicas, a nuestros efectos la LPACAP. Por otro, el cuarto párrafo cita expresamente las modificaciones de los artículos 9.2.c y 10.2.c de la LPACAP, al referirse a «la necesaria autorización previa por parte de la Administración General del Estado de los sistemas de identificación y firma» y entiende que están habilitadas por el artículo 149.1.29 CE.
En segundo lugar, la rúbrica general del RDL 14/2019 corrobora esta inicial dicotomía entre la finalidad de la disposición gubernativa, que tiene relación con la seguridad pública (art. 149.1.29 CE), y su objeto, que, por lo que ahora nos interesa, es el relativo a la administración digital (art. 149.1.18 CE).
En este sentido, las referencias generales del preámbulo del Real decreto-ley también inciden en los dos títulos citados. Así, se afirma que el desarrollo y la utilización de las nuevas tecnologías en las administraciones públicas precisan un marco jurídico que garantice la seguridad pública (apdo. I, párr. primero); se expone el carácter estratégico de la seguridad pública por los riesgos asociados a las nuevas tecnologías, siendo la ciberseguridad uno de los ámbitos prioritarios de la «seguridad nacional» (apdo. I, párr. segundo y tercero), y, por último, se considera que la administración electrónica aumenta la posibilidad de ataques y actividades ilícitas que impactan en la seguridad pública (apdo. I, párr. quinto).
En tercer lugar, y más concretamente sobre el contenido del artículo 3 RDL 14/2019, que dictaminamos, modifica, como hemos dicho, la LPACAP, dictada en virtud del artículo 149.1.18 CE de acuerdo con su disposición final primera, que identifica expresamente los títulos competenciales para establecer las bases del régimen jurídico de las administraciones públicas y el procedimiento administrativo común. El apartado primero de dicho artículo 3 modifica el artículo 9.2.c y el apartado segundo el artículo 10.2.c LPACAP, que forman parte del título I, capítulo II sobre identificación y firma de los interesados en el procedimiento administrativo (a diferencia del art. 40 LRJSP, que regula los sistemas de identificación de las administraciones públicas).
Nuevamente, el preámbulo sitúa el contenido de los artículos 3 y 4 RDL 14/2019 en el ámbito de las administraciones públicas (apdo. II, párr. tercero), aunque señala de forma explícita que la modificación de la letra c del apartado segundo de los artículos 9 y 10 tiene como finalidad garantizar la seguridad pública (apdo. II, párr. sexto), cuestión que trataremos específicamente más adelante.
a) El artículo 3 RDL 14/2019 ha adaptado, con un cierto retraso, la regulación que modifica (LPACAP) al Reglamento eIDAS (en vigor desde el año 2014, y aplicable con carácter general desde el 1 de julio de 2016), ya que, en caso de que el legislador hubiese estimado necesaria la adaptación, podría haberla llevado a cabo aprovechando incluso la aprobación de la propia LPACAP en el 2015. Esta norma europea se intitula y tiene por objeto el reconocimiento de los sistemas de identificación (art. 1.a Reglamento eIDAS), siendo necesaria y mostrando reiteradamente su preocupación por la seguridad técnica de los sistemas (considerandos 2, 12 y 19, entre otros). De hecho, solo en una ocasión se refiere a la protección ante posibles ciberataques, en el considerando cuarto, cuando menciona la ciberdelincuencia como obstáculo para la economía digital europea.
Aparte de dicha norma europea, en los últimos años la Unión Europea ha reforzado su marco normativo en materia de ciberseguridad. Así, por ejemplo, se adoptó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad en las redes y sistemas de información en la Unión, la cual, como veremos en el siguiente fundamento jurídico, ha sido traspuesta a nuestro ordenamiento jurídico mediante el Real decreto-ley 12/2018. Y, en particular sobre la cooperación con los estados miembros y en el ámbito de la defensa, en esta área se ha actualizado recientemente el Marco político de ciberdefensa de la Unión Europea, adoptado por el Consejo el 19 de noviembre de 2018, y se ha aprobado el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) 526/2013.
Desde la perspectiva del Reglamento eIDAS, la identificación electrónica se enfoca como un abanico de servicios públicos electrónicos que pueden utilizarse para el reconocimiento mutuo entre los estados, en base a unos requisitos mínimos de seguridad de las redes (considerandos segundo, noveno y decimocuarto). Los niveles de seguridad de un sistema de identificación electrónica dependen de un conjunto de procedimientos técnicos (como la prueba y verificación de la identidad o la autenticación), de actividades de gestión (entre las que puede señalarse la de la entidad que expide los medios de identificación y el procedimiento para expedirlos) y de los controles aplicados (considerando decimosexto). Lo que no prevé, lógicamente, el Reglamento eIDAS, son las autorizaciones, informes o controles entre administraciones distintas dentro de un Estado miembro, que es una de las novedades cuestionadas por la solicitud de dictamen.
En la medida que el Real decreto-ley modifica la LPACAP en relación con los sistemas de identificación que admite, podría considerarse que se trata del ejercicio de la competencia reservada al Estado de establecer el procedimiento administrativo común. Asimismo, los sistemas de identificación de los administrados ante las administraciones públicas constituyen también un elemento del régimen jurídico de las administraciones públicas, según el cual la Administración valida los sistemas mediante los que identifica a los ciudadanos y a las empresas. Por ello, la interrelación entre ciudadano y Administración es relevante. En este caso, el Estado puede establecer las bases con una cierta intensidad (art. 149.1.18 CE), mayor de la que podría establecer cuando el objeto es ad intra de la Administración (STC 50/1999, de 6 de abril, FJ 3).
No obstante, en lo que nos concierne, la autorización previa por parte del Ministerio de Política Territorial y Función Pública constituye un instrumento de tutela respecto al que deberá determinarse, conforme a la jurisprudencia y nuestra doctrina, si es legítimo en virtud de algún título competencial estatal. De hecho, el RDL 14/2019 afirma que la autorización previa de la Administración general del Estado, que eventualmente puede ser denegada, de acuerdo con un informe vinculante del Ministerio del Interior, está prevista por razón de seguridad pública, como indican el preámbulo (apdo. VI, párr. cuarto) y los artículos 9.2.c y 10.2.c LPACAP.
En las nuevas previsiones sobre los sistemas de identificación (art. 3.tres RDL 14/2019) se incluye también la disposición adicional sexta LPACAP, con dos apartados. El primero prohíbe autorizar los sistemas de identificación que utilicen una tecnología concreta, de registro distribuido, y los sistemas de firma basada en la misma, disposición que parece estar amparada en las bases del artículo 149.1.18 CE. La restricción es, en palabras del preámbulo, puntual y provisional, de forma que únicamente se proyecta en las relaciones de los interesados con la Administración y hasta la aprobación de un marco regulador (apdo. II, párr. noveno preámbulo RDL 14/2019). El segundo apartado impone el Estado como autoridad intermedia en el uso de la citada tecnología para garantizar la seguridad pública (art. 149.1.29 CE). La solicitud no critica expresamente la disposición adicional sexta, únicamente describe sucintamente su contenido, y no argumenta su inconstitucionalidad o antiestatutariedad, por lo que la introducción de dicha disposición del Real decreto-ley en la LPACAP no será objeto de nuestro pronunciamiento.
Por último, la disposición transitoria primera del Real decreto-ley se refiere a la implantación del artículo 3 RDL 14/2019 por las entidades del sector público. En cuanto a los sistemas de identificación y firma, la disposición transitoria primera.1 dispone que a los que estén en funcionamiento, validados y plenamente operativos, a la entrada en vigor del Real decreto-ley, no se les requerirá someterse a la autorización previa, mientras que los que se quieran habilitar deberán solicitarla. Respecto al título atributivo de competencias, como la disposición transitoria primera RDL 14/2019 solo se refiere a la necesidad de pedir o no autorización previa a la Administración general del Estado, lo que se diga sobre esta cuestión valdrá para la citada disposición.
b) Finalmente, antes de encuadrar competencialmente lo que interesa del artículo 3 RDL 14/2019, examinaremos el objetivo de dicho precepto, al objeto de verificar si coincide con la materia regulada y poder establecer el título competencial prevalente.
La finalidad de gran parte del artículo 3 RDL 14/2019 es regular los sistemas de identificación de los interesados admitidos por las administraciones públicas; por lo tanto, se insiere en el artículo 149.1.18 CE. Sin embargo, en tres incisos que resultan de las modificaciones aportadas por el artículo 3 RDL 14/2019 (art. 9.2.c, 10.2.c y disp. ad. sexta.2 LPACAP), se menciona incidentalmente la seguridad pública como elemento teleológico de parte de los preceptos reformados.
El preámbulo, aparte de señalar, como hemos indicado antes, cuál es el objeto de la regulación (referida a los arts. 3 y 4 RDL 14/2019), lo que nos lleva al título relativo a las bases del régimen jurídico de las administraciones públicas y del procedimiento administrativo común, también nos indica cuál es su finalidad, que concreta incluyendo también la de garantizar la seguridad pública (apdo. II, párr. tercero).
Además, el RDL 14/2019 prescribe, en el artículo 9.2.c LPACAP (sistemas de identificación de clave concertada y otros), refiriéndose a la autorización previa de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, «que solo podrá ser denegada por motivos de seguridad pública», sin que estos últimos se indiquen en el texto articulado. Dicción idéntica podemos encontrar en el artículo 10.2.c LPACAP (sistemas diferentes de los de firma y sello electrónicos). Ambos preceptos se modifican pues para garantizar la seguridad pública, según el preámbulo (apdo. II, párr. sexto), en el que se intenta delimitar mínimamente el alcance de la intervención estatal. El proemio expone que esta «tendrá por objeto, exclusivamente, verificar si el sistema validado tecnológicamente por parte de la Administración u Organismo Público de que se trate puede o no producir afecciones o riesgos a la seguridad pública, de modo que, si así fuera y solo en este caso, la Administración del Estado denegará dicha autorización con base en dichas consideraciones de seguridad pública», que no se especifican.
No obstante, la mención a la seguridad no aparece en la disposición transitoria primera relativa al artículo 3 RDL 14/2019; ni en la intitulación del capítulo II, que reza: «Medidas en materia de identificación electrónica ante las administraciones públicas, ubicación de determinadas bases de datos y datos cedidos a otras administraciones públicas»; ni en la rúbrica del artículo 3 RDL 14/2019, que es: «Modificación de la ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas», a diferencia de otras rúbricas de otros capítulos, donde sí se menciona directa o indirectamente (expresamente en los capítulos IV y V; de forma tácita en el I, respecto al art. 1 RDL 14/2019, ya que es, como hemos dicho, la competencia estatal que fundamenta la modificación y la norma modificada).
c) Entre estos dos títulos competenciales (art. 149.1.18 y .29 CE) en lo que ahora nos concierne, será necesario, pues, dilucidar cuál es el prevalente. Por ello, deberemos definirlos brevemente.
Cabe descartar la reiterada competencia en seguridad pública, porque supone un uso excesivamente expansivo en la utilización de este título competencial habida cuenta del objeto del Real decreto-ley. El Tribunal Constitucional, como hemos anticipado, ya ha delimitado restrictivamente dicho concepto cuando, en la STC 25/2004, de 26 de febrero, entre otras, ha afirmado que «no toda seguridad de personas y bienes, ni toda normativa encaminada a conseguirla o a preservar su mantenimiento, puede englobarse en aquélla, [?] cuando es claro que se trata de un concepto más estricto en el que hay que situar de modo predominante las organizaciones y los medios instrumentales» (FJ 6), habiendo de preservar necesariamente las competencias autonómicas (STC 184/2016, de 3 de noviembre, FJ 3). En Cataluña, corresponde de forma ordinaria a la policía de la Generalitat-Mossos d?Esquadra llevar a cabo la garantía y protección de la seguridad pública (DCGE 5/2017, de 29 de junio, FJ 3.4).
La seguridad pública es una expresión que tiene que acotarse de conformidad con el contexto en que se cita, puesto que puede remitir a contenidos tan diferentes como la «seguridad nacional» (donde interviene también la competencia reservada al Estado por el art. 149.1.4 CE) o la seguridad de las redes digitales (donde puede incidir el título competencial del art. 149.1.21 CE, relativo a la competencia estatal en telecomunicaciones), ya que, en el entorno de las administraciones públicas resultaría más adecuada la denominada ciberseguridad circunscrita a la administración electrónica (definida en el DCGE 5/2017, FJ 2.1), que se delimitaría teniendo en cuenta la competencia reservada al Estado por el artículo 149.1.18 CE y que admite la potestad legislativa de las comunidades autónomas en el marco de las bases estatales.
La ciberseguridad, de acuerdo con la STC 142/2018, de 20 de diciembre, se concibe como uno «conjunto de mecanismos dirigidos a la protección de las infraestructuras informáticas y de la información digital que albergan», definición a partir de la que «fácilmente se infiere que, en tanto que dedicada a la seguridad de las tecnologías de la información, presenta un componente tuitivo», y se proyecta sobre «el concreto ámbito de la protección de las redes y sistemas de información que utilizan los ciudadanos, empresas y administraciones públicas» (FJ 4).
Dado el contenido de los diferentes aspectos que configuran el concepto de ciberseguridad, se desprende que puede tener diferentes acepciones y extenderse a varias actividades (STC 142/2018, FJ 4), por lo que no es susceptible de reconducirse a un solo título competencial, entre los que se halla la administración electrónica, para garantizar la protección de las redes de comunicaciones electrónicas que esta genere y los derechos de los administrados en sus relaciones con la Administración a través de medios electrónicos (FJ 4 y 5). En este sentido, en el precitado DCGE 5/2017 distinguíamos tres acepciones: la que responde a situaciones más graves, que se identifica con seguridad nacional; la que encaja mejor con la seguridad pública, cuando se trate de la protección de determinadas infraestructuras de telecomunicaciones, y la referida a la adopción de medidas ordinarias de seguridad con respecto a la red y, en general, a las tecnologías de la información (FJ 2.1). Esta última acepción del término también ha sido recogida en la jurisprudencia constitucional (STC 142/2018, FJ 4, como «medidas ordinarias de prevención o seguridad de la red y [?] de las tecnologías de la información»), así como la ciberseguridad más grave, de alcance «nacional», la cual requerirá una intervención estatal (art. 149.1.4 y .29 CE, y STC 184/2016, FJ 3 y 4).
La ciberseguridad, cuando se refiere a ilícitos penales, queda fuera del ordenamiento administrativo, pero no toda protección de la seguridad de las redes necesita una actuación policial y judicial penal. La competencia ex artículo 149.1.29 CE estatal se encuentra limitada por las competencias que las comunidades autónomas hayan asumido respecto de la creación de su propia policía (STC 148/2000, de 1 de junio, FJ 5).
Por su parte, las diferentes administraciones públicas son competentes para la adopción de medidas de autoprotección en relación con sus infraestructuras y la seguridad de las tecnologías de la información y comunicación (STC 142/2018, FJ 5). De modo que la Generalitat «debe adoptar medidas en materia de ciberseguridad en tanto en cuanto se aplican a las relaciones que tiene con sus administrados y con otras administraciones, así como respecto de las infraestructuras tecnológicas, que pertenezcan a la estructura de la Administración de la Generalitat y a su sector público» (STC 142/2018, FJ 4). Así, la seguridad de las redes y sistemas de las tecnologías de la información de la Administración de la Generalitat serán protegidas por esta, en virtud de los artículos 159.1 y 150 EAC (DCGE 5/2017, FJ 2.2), siendo su finalidad «prevenir las amenazas y vulnerabilidades inherentes a sus redes interdependientes e infraestructuras de la información, tanto internamente como en sus relaciones con los administrados» (DCGE 5/2017, FJ 2.3).
Específicamente, se vinculan a las políticas de ciberseguridad las que pueden desarrollar el Gobierno y la Administración de la Generalitat en relación con la prestación de los servicios de identificación electrónica y de identidad y confianza digitales, al amparo de las competencias asumidas por los artículos 150 y 159 EAC (STC 142/2018, FJ 7), tal como dijimos en el DCGE 5/2017, FJ 3.5, donde indicábamos que la competencia principal de la Generalitat era la del artículo 159.1 EAC, afirmación que ratificamos nuevamente para los preceptos que estamos dictaminando.
C) Una vez determinado que los apartados uno y dos del artículo 3 RDL 14/2019 se inscriben dentro de la materia del régimen jurídico de las administraciones y del procedimiento administrativo, definiremos el régimen competencial aplicable de conformidad con la Constitución y el Estatuto.
En nuestra opinión, se trata de una regulación administrativa de índole procedimental (la definición de interesado se produce dentro de un procedimiento administrativo), para lo que es necesaria una cierta organización de los servicios electrónicos que se ponen a disposición de los interesados (los sistemas de identificación y de firma autorizados), con la consiguiente adopción de medidas de autoprotección y protección de los derechos de los ciudadanos. Por ello, lo encuadramos prevalentemente dentro del título del artículo 149.1.18 CE, aunque puede incidir excepcionalmente en el de seguridad pública del artículo 149.1.29 CE (respecto a la ciberseguridad, en los términos que se indicarán).
Por esta razón, en el DCGE 5/2017, indicábamos que:
«En este marco en el que la Generalitat concurre con el Estado para garantizar la ciberseguridad en las comunicaciones electrónicas y los sistemas de información, debemos afirmar que, [?], habrá que distinguir, como criterio general, entre las [funciones] relativas a la prevención de los incidentes de ciberseguridad del resto que comporten la adopción de medidas reactivas cuando estos se hayan producido. Y, más aún, dentro de este último tipo, deberemos diferenciar también, por un lado, entre las medidas de orden técnico que tengan como finalidad reparar, comprobar y restablecer el normal funcionamiento de las comunicaciones y los sistemas afectados y, por otro, las que se adopten como reacción a una actuación que pueda suponer la comisión de un acto que deba merecer una sanción penal. Porque, en ambos supuestos, las consecuencias en el orden competencial [?] serán diferentes.» (FJ 3.1)
En este sentido, la competencia sobre régimen jurídico de las administraciones públicas y procedimiento administrativo es una competencia compartida en la que incide particularmente el artículo 159.1 EAC, en lo no afectado por el artículo 149.1.18 CE: por una parte, el 159.1.a, sobre medios necesarios para ejercer funciones administrativas, y, por otra, el 159.1.c, respecto al procedimiento administrativo derivado de las especialidades de la organización de la Generalitat. No resulta directamente aplicable, porque no es el caso que ahora dictaminamos, la creación de órganos administrativos o las modalidades de organización de la Administración de la Generalitat (art. 150 EAC), aunque dicha competencia también está reconocida por la STC 142/2018, según la cual permitiría la autoorganización para «el diseño, creación y mantenimiento de ?servicios de administración electrónica?» (FJ 6).
Sobre ciberseguridad y administración electrónica, hay que referirse nuevamente al DCGE 5/2017 (FJ 2.3), que sintetiza la jurisprudencia constitucional y nuestra doctrina. En general, sobre el artículo 149.1.18 CE procede mencionar la STC 50/1999, de 6 de abril (FJ 3), en relación con las competencias del Estado para fijar las bases del régimen jurídico de las administraciones públicas, siendo referencia igualmente el DCGE 24/2015, de 17 de diciembre, FJ 4, y la STC 132/2018, de 13 de diciembre, FJ 4. Y, en cuanto al procedimiento administrativo común, cabe hacer alusión al DCGE 23/2015, de 17 de diciembre, FJ 2 y 3, y de la STC 55/2018, de 24 de mayo, FJ 4 y 9.
En cuanto al régimen jurídico de las administraciones públicas, dicho título competencial permite «establecer los elementos esenciales que garanticen un régimen jurídico unitario aplicable a todas las Administraciones públicas» (STC 50/1999, FJ 3), es decir, «los principios y reglas básicos sobre los aspectos organizativos y de funcionamiento de todas las Administraciones públicas, garantizando un régimen jurídico unitario para todas ellas (SSTC 32/1981, de 28 de julio, FJ 5, y 227/1988, de 29 de noviembre, FJ 24)» (STC 132/2018, FJ 4).
Al respecto, puede recordarse que la intensidad de las bases fijadas por el Estado es diversa. Así, la legislación básica estatal ex artículo 149.1.18 CE, como límite a las competencias de la Generalitat ex artículo 159.1 EAC, no tiene la misma extensión ni intensidad cuando se trata de aspectos meramente organizativos internos, que no afectan directamente a la actividad externa de la Administración ni a los administrados, que cuando, por el contrario, se trata de otros aspectos en los que sí que se da esta afectación (STC 50/1999, FJ 3, y DCGE 5/2017, FJ 3.5). El Tribunal Constitucional determina que la densidad de las bases «podrá ser tanto mayor cuanto más directa sea la finalidad de garantizar un trato común a los ciudadanos en sus relaciones con la Administración» (STC 50/1999, FJ 3, y 132/2018, FJ 4).
En cualquier caso, las bases del artículo 149.1.18 CE, sea cuál sea su finalidad, no pueden tener un nivel de detalle o completud que prácticamente impida la adopción de políticas propias autonómicas (STC 130/2013, de 4 de junio, FJ 6), facultad que también reconoce el artículo 111 EAC a la Generalitat en las materias de competencia compartida.
Además, hay que tener presente que el Reglamento eIDAS fija unos contenidos esenciales para las especificaciones técnicas mínimas, normas y procedimientos a fin de determinar los niveles de seguridad de la identificación electrónica, en referencia a su fiabilidad y calidad (art. 8.3 Reglamento eIDAS). Igualmente, el Real decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica, dictado al amparo de la competencia estatal sobre las bases del régimen jurídico de las administraciones públicas, define las medidas de seguridad mínimas que las administraciones deberán aplicar en relación con la identificación, autenticación y firma electrónica, que pueden ser ampliadas según las circunstancias del caso concreto.
En el DCGE 23/2015 se ha recordado que la competencia del Estado sobre el procedimiento administrativo común «es el aspecto del título competencial ex artículo 149.1.18 CE más directamente concernido por el objeto de la Ley 39/2015» (FJ 2). El Tribunal Constitucional, en la STC 166/2014, de 22 de octubre, resalta el adjetivo «común», entendiendo que «lo que el precepto constitucional ha querido reservar en exclusiva al Estado es la determinación de los principios o normas que, por un lado, definen la estructura general del iter procedimental que ha de seguirse para la realización de la actividad jurídica de la Administración y, por otro, prescriben la forma de elaboración, los requisitos de validez y eficacia, los modos de revisión y los medios de ejecución de los actos administrativos, incluyendo señaladamente las garantías generales de los particulares en el seno del procedimiento» (FJ 4), pero, al mismo tiempo, indica que no se incluye en esta materia competencial «toda regulación que de forma indirecta pueda tener alguna repercusión o incidencia en el procedimiento así entendido» (STC 50/1999, FJ 3).
El Estado, de acuerdo con la STC 166/2014, no puede interferir en la organización interna de las comunidades autónomas:
«señalando los órganos competentes para determinados trámites [?] o imponiendo órganos estatales de control frente a los propios de las Comunidades Autónomas [?] o, en general, establecer una regla competencial ?específica en la materia? [?], pues lo que sí tienen éstas reservado es la regulación de las ?normas ordinarias de tramitación del procedimiento?» (FJ 5).
En el citado Dictamen nos referimos a los artículos 9.2 y 10.2 LPACAP, en su redacción original, que no incorporaba la tutela estatal que ahora examinamos, no encontrando tacha de inconstitucionalidad o antiestatutariedad, porque las dos listas de confianza de prestadores de servicios de certificación a las que se refieren ambos preceptos y que entonces se discutían «no son un numerus clausus, sino al contrario, ya que, conforme se expresa en el supuesto de la letra c de los párrafos correspondientes de los dos artículos examinados, se admite en último lugar cualquier otro sistema que las administraciones públicas consideren válido, en los términos y las condiciones que se establezcan, y, consiguientemente, cada Administración puede adoptar uno de estos ?otros sistemas? y regular convenientemente los términos y las condiciones correspondientes para su uso y su validez» (FJ 3.1).
La STC 55/2018 describió el artículo 9 LPACAP a fin de resolver la impugnación de su apartado tercero, por lo que no entró a considerar la redacción anterior del apartado segundo, cuya modificación ahora dictaminamos (ni tampoco el artículo 10, que no fue impugnado), el cual tenía una redacción más respetuosa con la autonomía, aceptada por el Tribunal, por permitir un margen para definir los sistemas de identificación electrónica en el seno del procedimiento administrativo. Así, el Tribunal afirma que la regulación (antes de ser modificada) favorecía que cada administración diseñara sus propios sistemas de identificación electrónica y admitiera otros sistemas expedidos por otras entidades. De este modo, cabían diversas políticas, dotadas de más a menos nivel de seguridad, y, además, se garantizaba un tratamiento común a todos los ciudadanos porque podían utilizarse los sistemas admitidos por el Estado. En estos términos, el Tribunal concluye que la regulación entonces examinada no desbordaba los límites del artículo 149.1.18 CE ni invadía las competencias autonómicas en materia de organización y procedimiento administrativo (FJ 9).
Este es, pues, el parámetro competencial que tenemos que aplicar a la identificación y firma electrónica de los interesados ante la Administración electrónica de la Generalitat en relación con la preservación de la seguridad de esta última.
D) La cuestión debatida respecto de los artículos 9.2.c y 10.2.c LPACAP se centra en la autorización previa que el Real decreto-ley atribuye a la Administración general del Estado en idénticos términos para los dos preceptos. La Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública es el órgano estatal habilitado para efectuar dicha autorización. La Secretaría de Estado de Seguridad del Ministerio del Interior deberá de incorporar a la autorización un informe vinculante que podrá determinar la denegación si bien solo por motivos de seguridad pública. No obstante, la autorización tiene que emitirse en el plazo máximo de tres meses. En caso contrario, y sin perjuicio de la obligación de resolver en plazo, la falta de resolución tendrá efectos desestimatorios.
Según el parámetro competencial que hemos expuesto, el Estado solo puede establecer bases, es decir, un conjunto de principios y reglas para asegurar un tratamiento común de los interesados. En el supuesto que dictaminamos, los subapartados a y b de los artículos 9.2 y 10.2 LPACAP han condicionado la potestad legislativa de la Generalitat para establecer los sistemas validados. Efectivamente, dichos subapartados tienen que ponerse en relación con el segundo párrafo de los artículos 9.2.c y 10.2.c, de manera que las administraciones deben de garantizar que puedan utilizarse los sistemas previstos en los mismos en cualquier trámite del procedimiento. Además, el artículo 9.4 LPACAP determina que los sistemas que acepte la Administración estatal servirán para acreditar las identificaciones de los interesados ante el resto de administraciones, sin reciprocidad. Igualmente, los artículos 9.2.c y 10.2.c LPACAP establecen la obligación de que los usuarios estén registrados previamente para garantizar su identidad, requisito que antes de la reforma introducida por el Real decreto-ley estaba ubicado en la parte general de los artículos 9.2 y 10.2 y era aplicable, por consiguiente, a todos los sistemas de identificación y firma previstos.
La previa autorización estatal introducida por el artículo 3.uno y .dos RDL 14/2019 no se ajusta a lo permitido por el artículo 149.1.18 CE, en la medida en que dada su estructura normativa no constituye una base del régimen jurídico de las administraciones públicas, ni un elemento del procedimiento administrativo que deba ser necesariamente común, puesto que el mínimo común normativo ya se garantiza mediante los sistemas de identificación admitidos por el Estado, como se ha indicado.
Así, como se ha expuesto antes, este título competencial permite establecer los elementos esenciales que aseguran un régimen jurídico unitario aplicable a todas las administraciones, con mayor amplitud en la medida en que se trate de aspectos que afectan directamente la actividad externa de la Administración y de los administrados, a fin de garantizar un tratamiento común a los ciudadanos en sus relaciones con esta (STC 50/1999, FJ 3, y 132/2018, FJ 4).
Sin embargo, la previsión cuestionada por la solicitud de dictamen constituye más bien una tutela o control sobre la administración autonómica, en relación con lo cual existe una extensa doctrina constitucional, que tendremos en cuenta en el caso que dictaminamos, tras recordar brevemente los criterios principales utilizados por la jurisprudencia y en nuestra tarea dictaminadora que más nos interesan respecto a la citada cuestión.
Primero, cabe señalar que no existe en el Estado de las autonomías diseñado por la Constitución una institución general de control del Estado sobre las comunidades autónomas, sino una pluralidad de procedimientos específicos, de carácter y efectos diversos. Estos mecanismos e instrumentos de control de una instancia central sobre otra autonómica se hallan recogidos en la Constitución, básicamente en el artículo 153 CE, pero también podemos encontrarlos en otros preceptos constitucionales (arts. 150 y 161.2 CE, entre otros) o en el bloque de la constitucionalidad (STC 6/1982, de 22 de febrero, FJ 7; 76/1983, de 5 de agosto, FJ 12, y STC 79/2017, de 22 de junio, FJ 17).
Asimismo, la STC 118/1996, de 27 de junio, FJ 18, afirma que la autonomía prevista constitucionalmente (art. 2, 137 y 156 CE) no es compatible con un control de oportunidad política que pueda implicar una sustitución de la voluntad de las instituciones autonómicas por la del Estado (en el DCGE 19/2015, de 26 de noviembre, FJ 2.7, resumimos la jurisprudencia sobre la cuestión) si no está previsto en la Constitución, en los estatutos o en las leyes orgánicas del bloque de la constitucionalidad (STC 6/1982, FJ 7), que delimitan constitucionalmente las competencias. De ser así se constituiría una situación de dependencia jerárquica de las comunidades autónomas respecto de la Administración estatal contraria al principio de autonomía (STC 76/1983, FJ 12) y se legitimaría un tipo de control sobre la Administración autonómica que no se adecuaría al reparto competencial entre el Estado y las comunidades autónomas (DCGE 21/2014, de 30 de septiembre, FJ 3.4).
El Estado «ya dispone de medios para asegurar el cumplimiento por parte de las comunidades autónomas de sus obligaciones, respetando la posición institucional de estas, debiendo abstenerse de utilizar métodos de control jerárquico y limitarse a los instrumentos expresamente previstos por la Constitución, singularmente los de carácter general del artículo 153 CE» (DCGE 21/2014, FJ 3.4), como una comunicación previa o sistemas de colaboración.
Por otra parte, el Tribunal Constitucional distingue entre los controles jurisdiccionales y los administrativos. Estos últimos pueden ser a la vez ex ante o ex post a la adopción de la decisión. Entre los controles administrativos previos, el Tribunal Constitucional ha admitido la técnica de los informes vinculantes como medio de integración de dos competencias concurrentes de titularidad autonómica y estatal (STC 79/2017, de 22 de junio, FJ 17). Así, a partir de la STC 18/2011, de 3 de marzo, el Tribunal afirma que:
«la intervención del Estado mediante la técnica del informe preceptivo y vinculante debe reputarse constitucionalmente legítima cuando se funde en el ejercicio de una competencia propia sobre una determinada materia (?) que le habilite para actuar, distinta de la materia sobre la cual la Comunidad Autónoma ejerce su propia competencia de autorización.» (FJ 21.a)
Además, el Tribunal Constitucional ha indicado que los controles que se ejerzan constitucionalmente sobre las autonomías no pueden ser genéricos ni indeterminados (desde la STC 4/1981, de 2 de febrero, FJ 3, y, más recientemente, STC 85/2016, de 28 de abril, FJ 5), sino que deben ser concretos y precisos (STC 154/2015, de 9 de julio, FJ 6.b). Así, en caso de admitir algún instrumento de vigilancia de las comunidades autónomas debe ser en base a competencias estatales de coordinación, previstas constitucionalmente. En estos supuestos, la intervención administrativa tiene que estar suficientemente objetivada o determinada en normas de rango legal (STC 14/2018, de 20 de febrero, FJ 10.d).
La autorización estatal prevista en los artículos 9.2.c y 10.2.c LPACAP encaja con una tutela de carácter previo, según los citados preceptos, de modo que se trata de una actuación exigida antes de cualquier decisión de validación o no de los sistemas de clave concertada o de otros que realice la Administración de la Generalitat. Este hecho, por sí mismo, con independencia del sentido de la autorización estatal, condiciona el procedimiento administrativo autonómico de resolución.
Como acabamos de indicar, los informes previos preceptivos y vinculantes solo son legítimos si se sustentan en una competencia estatal. Únicamente son admisibles cuando efectivamente se dé dicha proyección de la competencia estatal y se resuelvan basándose en la misma (STC 18/2011, FJ 21.a, y DCGE 7/2014, de 27 de febrero, FJ 3.3).
Hemos descartado que sea de aplicación aquí el título competencial de seguridad pública, que, como hemos señalado en relación con la ciberseguridad, no es una materia reservada exclusivamente al Estado, ya que en la administración digital interviene fundamentalmente la seguridad ordinaria de las redes, la cual encaja mejor en el régimen competencial resultante del binomio artículos 149.1.18 CE y 159 EAC, en la materia del régimen jurídico de las administraciones públicas y del procedimiento administrativo. Campo este último en el que no caben las previsiones de autorización previa del artículo 9.2.c LPACAP, reiterada en el 10.2.c, porque no constituye un control amparado por las bases estatales ni por el establecimiento de un procedimiento común, como hemos indicado. Esta previsión del Real decreto-ley interfiere en la competencia de la Generalitat de permitir la autorización de sistemas, hasta podérselo impedir. Ciertamente, el artículo 3 RDL 14/2019 hace depender la decisión de la Generalitat de la de la Administración general del Estado, sin que esta disponga de competencias sobre la autorización de los sistemas de identificación de los interesados ante la Administración catalana.
En un caso reciente, en materia de servicios de administración electrónica (en el ámbito del art. 149.1.18 CE), el Tribunal Constitucional, en la STC 55/2018, considera inconstitucional que la Administración estatal condicione, con una cierta dosis de indefinición, la creación o mantenimiento de plataformas electrónicas autonómicas a la presentación ante el Ministerio estatal de su justificación en términos de eficiencia si la decisión autonómica queda supeditada a la valoración estatal de la justificación aportada (FJ 11). Más recientemente, abona la inconstitucionalidad de una intermediación estatal, porque puede producir perturbaciones en el funcionamiento de la Administración autonómica, situándola de forma subordinada y dependiente de una actuación ajena (STC 33/2018, de 12 de abril, FJ 11).
En este sentido, la previa autorización estatal, de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, no viene predeterminada en la norma por unos motivos concretos y precisos y, además, tiene unas consecuencias inadecuadas, ya que, en el caso de pronunciarse negativamente la Secretaría de Estado de Seguridad del Ministerio del Interior, los efectos son denegatorios y en el supuesto de que no dé respuesta en plazo, se entiende que la resolución es desestimatoria.
Igualmente, la disposición transitoria primera.1 RDL 14/2019, al exigir la mencionada autorización previa a partir de la entrada en vigor de este RDL 14/2019 a las entidades del sector público que quieran habilitar sistemas de identificación o firma, debe seguir la misma suerte que el artículo 3.uno y .dos, en relación con los artículos 9.2.c y 10.2.c LPACAP.
En consecuencia, la autorización de carácter previo que prevé el artículo 3.uno y .dos RDL 14/2019, con informe vinculante y efecto de silencio desestimatorio, constituye un control ilegítimo y vulnera las competencias de la Generalitat sobre la organización y la seguridad de sus redes (art. 159 EAC) y no está amparada por el título competencial sobre las bases del régimen jurídico de las administraciones públicas y del procedimiento administrativo común, ni tampoco por el de seguridad pública (art. 149.1.18 y .29 CE).
En conclusión, el artículo 3.uno y .dos RDL 14/2019, en la modificación de los artículos 9.2.c y 10.2.c LPACAP, concretamente en el inciso «previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses. Sin perjuicio de la obligación de la Administración General del Estado de resolver en plazo, la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios», vulnera las competencias de la Generalitat del artículo 159 EAC y no está amparado en el artículo 149.1.18 y .29 CE. Por conexión, también las vulnera la disposición transitoria primera.1 RDL 14/2019, la cual tampoco encuentra amparo en los citados preceptos constitucionales.
Asimismo, también por conexión, por interpretación sistemática de dicho precepto, debemos llegar a la misma conclusión de inconstitucionalidad y antiestatutariedad respecto de la disposición final primera, apartado 2, RDL 14/2019, en la medida en que fundamenta la competencia del Estado para dictar el artículo 3.uno y .dos del RDL 14/2019 en los títulos competenciales del artículo 149.1.18 y .29 CE.
Cuarto. El examen de constitucionalidad y de estatutariedad de los preceptos del Real decreto-ley 14/2019 relativos a las telecomunicaciones
En el presente fundamento jurídico analizaremos los preceptos del Real decreto-ley objeto de dictamen que contienen medidas dirigidas a reforzar la seguridad en materia de telecomunicaciones. En concreto, a la luz de las dudas enunciadas en la solicitud, y por su conexión temática, trataremos en primer lugar los apartados uno y cinco del artículo 6 RDL 14/2019, que reforman los artículos 4.6 y 81.1 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones (en lo sucesivo, LGTEL), respectivamente. Seguidamente, el apartado dos del mismo artículo 6 y la disposición adicional única RDL 14/2019, que introducen un nuevo apartado 3 al artículo 6 LGTEL y su régimen transitorio. Finalmente, procederemos al examen del artículo 7 RDL 14/2019, sobre medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información, que incorpora un apartado 3 al artículo 11 del Real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
1. El apartado uno del artículo 6 RDL 14/2019 modifica el apartado 6 del artículo 4 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, que queda redactado de la siguiente forma:
«6. El Gobierno, con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional. En concreto, esta facultad excepcional y transitoria de gestión directa o intervención podrá afectar a cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional. Asimismo, en el caso de incumplimiento de las obligaciones de servicio público a las que se refiere el Título III de esta Ley, el Gobierno, previo informe preceptivo de la Comisión Nacional de los Mercados y de la Competencia, e igualmente con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa o la intervención de los correspondientes servicios o de la explotación de las correspondientes redes.
Los acuerdos de asunción de la gestión directa del servicio y de intervención de este o los de intervenir o explotar las redes a los que se refieren los párrafos anteriores se adoptarán por el Gobierno por propia iniciativa o a instancia de una Administración Pública competente. En este último caso, será preciso que la Administración Pública tenga competencias en materia de seguridad o para la prestación de los servicios públicos afectados por el anormal funcionamiento del servicio o de la red de comunicaciones electrónicas. En el supuesto de que el procedimiento se inicie a instancia de una Administración distinta de la del Estado, aquella tendrá la consideración de interesada y podrá evacuar informe con carácter previo a la resolución final.»
A) A fin de poder identificar la finalidad y contenido de este precepto, previamente cabe situarlo en su contexto normativo, así como delimitar cuál es su ámbito de aplicación y hacer mención de otros conceptos y cuestiones generales de la materia de las telecomunicaciones que tienen una relación directa con el mismo, tal como se desprende de su propia configuración legal. Seguidamente, a fin de poder precisar los efectos que persigue el legislador estatal, resultará conveniente prestar atención a la versión anteriormente vigente del artículo 4, apartado 6, LGTEL y señalar los principales cambios que ha experimentado su redactado con la reforma que es objeto de este Dictamen.
Para empezar, pues, cabe recordar que el artículo 4.6 se insiere en la LGTEL, cuyo ámbito de aplicación es «la regulación de las telecomunicaciones, que comprenden la explotación de las redes y la prestación de los servicios de comunicaciones electrónicas y los recursos asociados» (art. 1.1 LGTEL). Hay que decir que la Ley delimita su ámbito de aplicación por exclusión, o sea, a partir de la enumeración de una serie de servicios que quedan fuera de su alcance: los servicios de comunicación audiovisual, los contenidos audiovisuales transmitidos mediante las redes, el régimen básico de los medios de comunicación social de naturaleza audiovisual, los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas, las actividades que consisten en el ejercicio del control editorial sobre dichos contenidos y los servicios de la sociedad de la información, actualmente regulados en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en lo sucesivo, LSSI), siempre y cuando no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas (art. 1.2 LGTEL). En este sentido, cabe indicar que un servicio de la sociedad de la información es el que se presta normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario, como, por ejemplo, la contratación de bienes o servicios, la organización y gestión de subastas, la gestión de compras, el envío de comunicaciones comerciales o el suministro de información por vía telemática (anexo a LSSI).
Consiguientemente, para dotar de significado a la expresión «redes y servicios de comunicaciones electrónicas» sobre los que recaen las medidas previstas en el nuevo artículo 4.6 LGTEL, se ha de acudir en primer término a las definiciones que contiene el anexo II de la citada Ley y, complementariamente, entre otras, a la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código europeo de las comunicaciones electrónicas. A modo de síntesis, por un lado, son «redes de comunicaciones electrónicas» los sistemas de transmisión y, cuando proceda, otros recursos que permitan el transporte de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos, con inclusión de las redes de satélites, redes terrestres fijas (de conmutación de circuitos y de paquetes, incluida internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transportada (anexo II.31 LGTEL). Del mismo modo, es una «red pública de comunicaciones electrónicas» la que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público y que soporta la transferencia de información entre puntos de terminación de la red (art. 2.8 Directiva [UE] 2018/1972).
Y, por otro, son «servicios de comunicaciones electrónicas» los prestados «por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión» (anexo II.35). Según la Directiva (UE) 2018/1972, los servicios de comunicaciones electrónicas comprenden los siguientes tipos de servicios (art. 2.4): a) el «servicio de acceso a internet», entendido como el servicio de comunicaciones electrónicas a disposición del público que proporciona acceso a internet y, por tanto, la conectividad entre prácticamente todos los puntos extremos conectados a internet, con independencia de la tecnología de red y del equipo terminal utilizados (art. 2.2 del Reglamento [UE] 2015/2120 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, por el que se establecen las medidas en relación con el acceso a una internet abierta); b) el «servicio de comunicaciones interpersonales», que es el que permite el intercambio interpersonal e interactivo de información (entre un número finito de personas físicas) y que comprende servicios como las llamadas de voz tradicionales entre dos personas, así como también todo tipo de correos electrónicos, servicios de mensajería o charlas en grupo, quedando excluidos, en consecuencia, la radiodifusión lineal, el vídeo a la carta, los sitios web, las redes sociales, los blogs o el intercambio de información entre máquinas (considerando 17), y c) los servicios consistentes, en su totalidad o principalmente, en el transporte de señales, como es el caso de los servicios de transmisión utilizados para la prestación de servicios máquina a máquina (tales como los vehículos conectados) y para la radiodifusión.
Estos conceptos se completan, en la Ley, por un lado, con los de los recursos asociados a las redes y a los servicios de comunicaciones electrónicas que, en resumen, comprenden las infraestructuras físicas, los sistemas, dispositivos y otros recursos o elementos asociados a una red o servicio que permitan o apoyen la prestación de servicios a través de dicha red o servicio o tengan potencial para ello (incluyen, entre otros, edificios, entradas en estos o su cableado y otras construcciones de soporte, conductos, distribuidores, etc.). Y, por otro, con servicios asociados a unas y otros, como la traducción de números, los sistemas de acceso condicional y las guías electrónicas de programas o servicios de identidad, localización y presencia (anexo II, LGTEL, núm. 30 y 34, respectivamente).
Ciertamente, la regulación de las telecomunicaciones no comprende los contenidos de los servicios prestados a través de las redes y servicios de comunicación electrónica, como son los contenidos de radiodifusión televisiva y sonora, los servicios financieros y los servicios de la sociedad de la información, ya que, en relación con estos últimos, las medidas adoptadas tienen como finalidad principal preservar la libertad de expresión y de información, la diversidad cultural y lingüística, el pluralismo de los medios de comunicación, la imparcialidad, la inclusión social, la protección de los menores o la de los consumidores. Pero es evidente que la separación de la regulación de las comunicaciones electrónicas y la regulación de los contenidos, a menudo de difícil delimitación, no permite ignorar la convergencia de ambos sectores ni los vínculos que existen entre ellos (considerandos 7 y 10 Directiva [UE] 2018/1972), como tampoco puede obviarse que las redes y servicios de comunicaciones electrónicas actúan como vía de entrada a los contenidos y a la sociedad de la información. Así, por ejemplo, un mismo operador de cable puede ofrecer un servicio de comunicaciones electrónicas, como el transporte de señales televisivas y servicios de la sociedad de la información no sometidos a la LGTEL, de modo que pueden imponerse a esta empresa obligaciones adicionales en relación con su actividad como proveedor o distribuidor de contenidos (considerando 11 Directiva [UE] 2018/1972).
Esta convergencia y la consideración de las redes y servicios de comunicaciones electrónicas como canales imprescindibles para la comunicación y la información, que, además, manejan datos de carácter personal en la gestión de los servicios que prestan, se confirma en el propio hecho de que el legislador estatal ha establecido un conjunto de procedimientos y cautelas para la protección de los derechos fundamentales y la preservación de otros bienes y derechos constitucionales (p. ej., la seguridad pública) que pueden resultar afectados cuando deban llevarse a cabo medidas limitativas sobre aquellas redes y servicios, los cuales se incorporan al propio estatuto de los operadores de telecomunicaciones,. En concreto, nos referimos a la prolija regulación contenida en el capítulo III, del título III, de la LGTEL (arts. 39 y ss.), sobre el secreto de las comunicaciones y la protección de datos personales y derechos y obligaciones de carácter público vinculados con las redes y servicios de comunicaciones electrónicas.
Para finalizar con esta caracterización de las redes y servicios de comunicaciones electrónicas, cabe recordar que las telecomunicaciones se califican como servicios de interés general que se prestan en libre competencia (art. 2.1 LGTEL), habida cuenta de que satisfacen necesidades básicas o fundamentales y constituyen un factor clave para el desarrollo económico, social y personal, de forma que, a su vez, deben responder a los principios de continuidad, universalidad, igualdad de acceso y transparencia (en este sentido, Protocolo 26 del TFUE sobre servicios de interés general, art. 1).
A fin de garantizar la existencia de servicios de comunicaciones electrónicos disponibles para el público, de adecuada calidad en todo el territorio a través de una competencia y libertad de elección reales, así como para hacer frente a las circunstancias en las que el mercado no pueda atender satisfactoriamente las necesidades de los usuarios finales, son exigibles a los operadores un conjunto de obligaciones de servicio público en la explotación de redes públicas y en la prestación de servicios de comunicaciones electrónicas (art. 23 LGTEL). Respecto a las categorías de dichas obligaciones de servicio público (art. 24 LGTEL), la Ley distingue la «obligación de servicio universal», que garantiza la prestación del servicio a todos los usuarios finales con independencia de su localización geográfica, con una calidad determinada y a un precio asequible (art. 25 a 27 LGTEL), de otras obligaciones de servicio público, que el Gobierno puede imponer adicionalmente a los operadores por razones de interés general, como, por ejemplo, por necesidades de defensa nacional, seguridad pública, seguridad vial o cuando se trate de servicios que afecten a la seguridad de las personas o a la protección civil (art. 28 LGTEL).
Además, solo tienen ya la consideración más tradicional de «servicio público» los servicios para la defensa nacional, la seguridad pública, la seguridad vial y la protección civil (art. 4 LGTEL).
B) Efectuadas las anteriores consideraciones, cabe señalar que el actual apartado 6 del artículo 4 LGTEL tiene su antecedente en la Ley general de telecomunicaciones 11/1998, de 24 de abril (entonces art. 5.5), con un contenido que se ha mantenido prácticamente invariable a lo largo de los años en las diferentes leyes de telecomunicaciones aprobadas (art. 4.5 Ley 32/2003, de 3 de noviembre, general de telecomunicaciones y, actualmente, art. 4.6 LGTEL) hasta la nueva redacción dada por el Real decreto-ley 14/2019, que ahora se dictamina.
A efectos indicativos, reproducimos a continuación la redacción hasta ahora vigente del artículo 4.6 LGTEL (derogada por el RDL 14/2019), que decía:
«6. El Gobierno, con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa de determinados servicios o de la explotación de ciertas redes de comunicaciones electrónicas, de acuerdo con el texto refundido de la Ley de Contratos del Sector Público, aprobado por el real decreto Legislativo 3/2011, de 14 de noviembre, para garantizar la seguridad pública y la defensa nacional. Asimismo, en el caso de incumplimiento de las obligaciones de servicio público a las que se refiere el Título III de esta Ley, el Gobierno, previo informe preceptivo de la Comisión Nacional de los Mercados y de la Competencia, e igualmente con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa de los correspondientes servicios o de la explotación de las correspondientes redes. En este último caso, podrá, con las mismas condiciones, intervenir la prestación de los servicios de comunicaciones electrónicas.
Los acuerdos de asunción de la gestión directa del servicio y de intervención de éste o los de intervenir o explotar las redes a los que se refiere el párrafo anterior se adoptarán por el Gobierno por propia iniciativa o a instancia de una Administración pública competente. En este último caso será preciso que la Administración pública tenga competencias en materia de seguridad o para la prestación de los servicios públicos afectados por el anormal funcionamiento del servicio o de la red de comunicaciones electrónicas. En el supuesto de que el procedimiento se inicie a instancia de una Administración distinta de la del Estado, aquélla tendrá la consideración de interesada y podrá evacuar informe con carácter previo a la resolución final.»
De la lectura del precepto transcrito se desprende que, anteriormente, el Gobierno podía acordar, con carácter excepcional y transitorio, que la Administración general del Estado asumiera la gestión directa de determinados servicios o de la explotación de ciertas redes de comunicaciones electrónicas conforme a lo previsto en la legislación en materia de contratación pública; en concreto, la entonces vigente Ley de contratos del sector público, aprobada por el Real decreto legislativo 3/2011, de 14 de noviembre.
El legislador establecía dicha posibilidad para dos situaciones diferentes. Por un lado, el Gobierno podía adoptar el citado acuerdo cuando fuera necesario para garantizar la seguridad pública y la defensa nacional (primer inciso del precepto). Y, por otro, ya fuera por propia iniciativa o a instancia de la administración autonómica competente en materia de seguridad o para la prestación de los servicios públicos afectados, y previo informe de la Comisión Nacional de los Mercados y de la Competencia, cuando el operador de telecomunicaciones incumpliera las obligaciones de servicio público impuestas por el legislador en la gestión del servicio o la explotación de las redes de comunicaciones electrónicas (inciso segundo), vista su condición de servicios económicos de interés general (art. 23 a 28 del título III, LGTEL). En este último supuesto de incumplimiento de las obligaciones de servicio público, la Administración estatal, con las mismas condiciones descritas, podía también «intervenir la prestación» de los servicios de comunicaciones electrónicas.
Como puede constatarse, el anterior artículo 4.6 LGTEL acotaba expresamente las potestades del Gobierno del Estado mediante la remisión a lo previsto en la legislación en materia de contratación administrativa. Consiguientemente, podía pensarse que la prerrogativa descrita tenía su razón de ser en el ámbito de los contratos de gestión del servicio público, en los que la Administración pública mantiene la titularidad de los servicios afectados y los poderes de policía necesarios para asegurar su buen funcionamiento y, por tanto, en el caso de su incorrecta prestación y de acuerdo con los procedimientos y las garantías establecidos en la ley, tiene la potestad para resolver el contrato, rescatarlo y asumir directamente su gestión (art. 279.2 y 287.2 Real decreto legislativo 3/2011).
Cabe decir que el precedente artículo 4.5 LGTEL 2003, de igual contenido que el artículo 4.6 LGTEL 2014, antes de ser reformado por el RDL 14/2019, fue impugnado por el Gobierno de la Generalitat ante la jurisdicción constitucional por razones competenciales y que el Tribunal lo declaró ajustado al marco constitucional y estatutario. En síntesis, consideró que el legislador estaba habilitado para dictarlo al amparo de las competencias previstas en el artículo 149.1.21 CE sobre régimen general de telecomunicaciones y que la intervención del Estado, de asunción transitoria de la gestión directa de redes y servicios, estaba determinada «por la necesidad de garantizar el servicio de telecomunicaciones en las situaciones acotadas por la norma», es decir, «a los puros efectos de garantizar la prestación del servicio». En este sentido, consideró que la norma no excluía la intervención de las comunidades autónomas que, en supuestos excepcionales y siempre y cuando contaran con competencias en materia de seguridad o para la prestación de los servicios públicos afectados por el anormal funcionamiento del servicio o la red, podían instar al Estado para que llevara a cabo dicha intervención (STC 72/2014, de 8 de mayo, FJ 8). De forma similar, en un posterior pronunciamiento, con motivo de la norma que ahora nos ocupa y efectuando un paralelismo con la argumentación entonces empleada, el Tribunal recordó que la «asunción directa por el Estado de la prestación de servicios de comunicaciones por incumplimiento por los operadores de sus obligaciones de servicio público» está determinada por la «necesidad de garantizar el servicio de telecomunicaciones en las situaciones acotadas por la norma impugnada» (STC 20/2016, de 4 de febrero, FJ 8).
C) Llegados a este punto, conviene ahora examinar cuáles son los cambios principales que introduce el artículo 6.uno RDL 14/2019 en el apartado 6 del artículo 4 LGTEL.
A primera vista, puede observarse que se elimina la remisión que hacía el redactado anterior a la legislación de contratos del sector público. Además, el nuevo precepto, objeto de dictamen, amplía las potestades de actuación de la Administración estatal en la primera situación (cuando se trata de garantizar la seguridad pública y la defensa nacional), ya que ahora puede igualmente asumir la gestión directa del servicio, pero también está facultada para llevar a cabo una «intervención», sin que se especifique su alcance. Por otro lado, se reduce la apariencia del carácter acotado de la medida, eliminando las palabras «ciertas» o «determinadas» de la definición de las redes y servicios destinatarios de la misma. Adicionalmente, se incrementan los presupuestos que habilitarían la actuación estatal: por una parte, ya no se habla de «garantía» sino de «afectación» y, por otra, se añaden los conceptos de «orden público» y «seguridad nacional» y se elimina el de «defensa nacional». Por último, se incorpora un nuevo inciso, tanto para la facultad estatal de gestión directa como de intervención, que declara quepodrán afectar a «cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional».
Respecto al segundo inciso de la versión anterior, con la redacción otorgada por el Real decreto-ley, se convierte en un nuevo párrafo según el cual la potestad «de intervenir» recae sobre «los correspondientes servicios» y «la explotación de las correspondientes redes», mientras que antes se proyectaba solo sobre «la prestación de los servicios de comunicaciones electrónicas».
2. Una vez hemos transcrito las distintas versiones que ha adoptado el artículo 4.6 LGTEL desde su aprobación inicial, nos toca ahora analizar la redacción que se corresponde con el objeto de nuestro Dictamen, es decir, la que le da el artículo 6, apartado uno, del Real decreto-ley 14/2019.
El primer elemento que cabe destacar de la norma es la atribución de una facultad general al Gobierno del Estado consistente en la capacidad para acordar la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas, en determinados supuestos, para preservar y restablecer el orden público, la seguridad pública y la seguridad nacional (primer párrafo del artículo 4.6 LGTEL). El mencionado poder se configura, por parte del propio precepto, «con carácter excepcional y transitorio», y con un alcance que puede «afectar a cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario» para conseguir el objetivo previsto.
Así pues, se trata de un precepto inserido en un decreto-ley aprobado por el Gobierno del Estado, por el que se modifica la Ley general de telecomunicaciones, con una finalidad y contenido (presupuesto y alcance de la actuación) que se articulan alrededor de tres conceptos amplios que, de hecho, son indeterminados, según el criterio mayoritario de la doctrina e, incluso, de la jurisprudencia constitucional, como son el del orden público, la seguridad pública y la seguridad nacional.
Nuestro análisis, de conformidad también con las dudas expresadas por la solicitud de dictamen, formulada por el Gobierno, se realizará desde dos vertientes: por un lado, respecto a la habilitación competencial del Estado para efectuar la reforma de la LGTEL en los términos en que lo hace y, por otro lado, sobre la eventual limitación de derechos y libertades fundamentales que puede comportar la medida que se prevé. Si bien el peticionario de nuestro pronunciamiento sitúa sus críticas de manera prevalente en el ámbito de las competencias, según se desprende de la redacción de su escrito, lo cierto es que cuando menciona la falta de autorización judicial para la activación de la capacidad de actuación del Estado, está aludiendo en definitiva a la esfera de las garantías de los derechos fundamentales. Cuestión, esta última, que, en nuestra opinión, es la que es susceptible de generar un examen más complejo y con más relevancia constitucional.
Asimismo, cabe añadir, como apunte metodológico de nuestro análisis, que quedaría fuera de esta segunda perspectiva la potestad de la Administración estatal de asunción de la gestión directa de la explotación de las redes y de la prestación de los servicios de comunicaciones electrónicas, que se encuentra acotada por la legislación de la contratación pública y que está prevista para los casos de incumplimiento de las obligaciones de servicio público definidas en la misma Ley (párr. segundo del nuevo art. 4.6 LGTEL).
A) Como primer asunto, en la medida en que resulta importante para ambos niveles del examen, planteados por la solicitud, trataremos la posible competencia del Estado para llevar a cabo esta regulación.
Sobre dicho aspecto, antes que nada, y tomando como base la descripción que acabamos de realizar del contenido del nuevo artículo 4.6 LGTEL y sus diversos párrafos, hay que encuadrarlo, desde el punto de vista competencial, en la materia de telecomunicaciones en relación con la seguridad pública. Esta clasificación nos sitúa en los títulos previstos en los artículos 149.1.21 y 149.1.29 CE, respectivamente, y, en el primer caso, según la jurisprudencia del Tribunal Constitucional, en la materia del régimen general de las comunicaciones, que tiene por objeto ordenar normativamente y asegurar la efectividad de las comunicaciones. Así, es competencia del Estado el adecuado despliegue de las redes como base del servicio y la regulación de las condiciones para su prestación y explotación, incluyendo el régimen jurídico de los operadores (entre otras, STC 72/2014, FJ 3).
En los dos supuestos, el régimen de atribución de las capacidades es, con carácter general, el de la exclusividad en favor del Estado, aunque con determinadas excepciones y particularidades que a continuación indicaremos. En ambas materias, el poder central cuenta con una amplia capacidad normativa, si bien en el nivel ejecutivo la configuración es más compleja, especialmente en el caso de la seguridad pública ya que cuando se trata de las telecomunicaciones, esta tiene un plus añadido en caso de que sean necesarias para garantizar la unidad o la uniformidad de las políticas sectoriales en el conjunto del territorio del Estado (STC 20/2016, FJ 3).
Una vez señalado lo anterior, cabe remarcar que la competencia del régimen general de comunicaciones incluye la regulación de las redes y servicios de la comunicación electrónica y los recursos asociados a unas y otros (infraestructuras físicas, sistemas, dispositivos, elementos, etc.), así como la regulación y la garantía ejecutiva, en su caso, del acceso y funcionamiento de los servicios universales (en este sentido, STC 8/2012, de 18 de enero, FJ 7, y 20/2016, FJ 5).
En cuanto a las infraestructuras y otros recursos para la canalización y despliegue de las redes de comunicaciones electrónicas, hay que tener en cuenta el artículo 140.7 EAC, que atribuye a la Generalitat una serie de facultades ejecutivas en dicho ámbito material que, como tales, no excluyen «que esta pueda realizar otras competencias de naturaleza similar, derivadas [?] de la puesta en práctica de la convergencia tecnológica y la sociedad digital, así como de la necesidad de garantizar la protección de las redes y sistemas de infraestructuras que les dan apoyo» (DCGE 5/2017, de 29 de junio, FJ 3).
Respecto a la seguridad pública, el Estado es el poder que cuenta con la potestad legislativa en la materia, con el debido respeto al modelo singular de distribución de competencias de aquellas comunidades autónomas que se doten de un cuerpo de policía propio. Como es evidente y conocido, la Generalitat es la responsable del cuerpo de Mossos d?Esquadra, y las competencias del autogobierno, en seguridad pública, están recogidas en el artículo 164 EAC.
Según este esquema competencial, en el caso de Cataluña se produce una cierta concurrencia competencial en materia de seguridad pública. Por un lado, el Estado es el titular de la competencia exclusiva de la seguridad pública, en los términos del artículo 149.1.29 CE y de la Ley orgánica 2/1986, y la Generalitat, en virtud del citado artículo 164 EAC, es competente para la administración de la seguridad ciudadana en territorio catalán, mediante el cuerpo de Mossos d?Esquadra, cuya titularidad también le otorga competencias no solo orgánicas sobre la policía sino también funcionales y normativas en los ámbitos conectados con la función policial, además de las de emergencias y protección civil y seguridad privada establecidas en el artículo 132 y 163 EAC (por todos, DCGE 18/2015, de 26 de noviembre, FJ 2).
Una vez expuesto en términos sintéticos el modelo de distribución competencial, si lo trasladamos al examen del precepto que estamos analizando, se obtiene la siguiente conclusión: el Estado es competente para legislar en el ámbito material de las comunicaciones electrónicas y, en concreto, en los supuestos en los que este se conecta con la seguridad pública, por razón, tal como hemos indicado, de su doble competencia ex artículo 149.1.21 y .29 CE. Asimismo, su capacidad no se agota en el nivel normativo sino que puede extenderse a la función ejecutiva en el caso de supuestos excepcionales que sean necesarios para garantizar el orden público, la seguridad pública y la seguridad nacional. Para precisar los términos, las condiciones y los procedimientos correspondientes de estos tres supuestos, han de tenerse en cuenta las respectivas leyes sectoriales (por citar algunas: Ley 36/2015, de 28 de septiembre, de seguridad nacional; Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil; Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas; Real decreto de 14 de septiembre de 1982, por el que se aprobó la Ley de enjuiciamiento criminal (LECr); etc.)
Por consiguiente, el Estado, desde el punto de vista del parámetro de constitucionalidad y estatutariedad, está habilitado competencialmente para legislar en la materia del régimen general de comunicaciones (art. 149.1.21 CE) en relación con la protección de la seguridad pública (art. 149.1.29 CE), sin perjuicio de hacerlo respetando las competencias de la Generalitat y el régimen jurídico de los derechos fundamentales protegidos por la Constitución y susceptibles de ser afectados.
En cuanto a las capacidades de la Generalitat, podemos remitirnos al DCGE 5/2017 (FJ 2 y 3), en el que señalamos que el autogobierno catalán ostenta las competencias inherentes al hecho de disponer de una policía propia en materia de protección del espacio de las comunicaciones electrónicas (ciberseguridad), incluido el ámbito de la investigación criminal en sede judicial. Una competencia concurrente, con contenido normativo orgánico y funcional, así como ejecutivo, que se proyecta con especial intensidad en la seguridad de las redes y sistemas de la Administración de la Generalitat y su sector público, así como el sometido a su control en razón de las competencias propias ex artículos 140.7 y 164 EAC.
Por otra parte, y a modo de información adicional, como hemos indicado anteriormente en este mismo fundamento jurídico, la jurisprudencia constitucional, que analizó la presente cuestión competencial en relación con el artículo 4.5 LGTEL 2003 (STC 72/2014, FJ 8), concluyó que la asunción provisional y excepcional por parte del Estado de la gestión directa de los servicios de telecomunicaciones con el fin de garantizar su normal funcionamiento y que se cumplan las obligaciones de servicio público que le son inherentes, no supone el desplazamiento de las competencias autonómicas sectoriales que resulten afectadas por los citados servicios (seguridad pública, protección civil o sanidad).
Sentado lo anterior, y vista la configuración del precepto que estamos examinando, es decir, los términos en los que está redactado, consideramos que, a continuación, procede examinarlo desde la perspectiva de su adecuación al sistema de los derechos fundamentales, en vez de continuar la exposición del parámetro de constitucionalidad en relación con la posible afectación a las competencias de la Generalitat. El propio hilo argumental, que se inicia seguidamente, aportará las razones por las que optamos por este método de análisis.
B) Así pues, seguidamente, trataremos la cuestión relativa a la posible o potencial afectación de derechos y libertades fundamentales por el artículo 6.uno RDL 14/2019 (art. 4.6 LGTEL), principalmente en lo que atañe al artículo 18.3 CE, relativo al derecho al secreto de las comunicaciones y, asimismo, la eventual incidencia, por la posible vía de su obstaculización o vulneración, de una heterogeneidad de derechos y libertades fundamentales como son la libertad de expresión y de información (art. 20 CE), el derecho a la intimidad (art. 18.1 CE) o el derecho a la protección de datos (art. 18.4 CE), tal como se verá más adelante.
La razón de plantear esta línea de escrutinio, además de los reproches efectuados en la solicitud de dictamen, responde al motivo principal siguiente: la norma prevé una facultad gubernativa de amplia intervención y de alcance general sobre el conjunto de las redes y servicios de comunicaciones electrónicas, amparada en una serie de conceptos jurídicos indeterminados, como son el orden público, la seguridad pública y la seguridad nacional, configurando un marco de actuación administrativa susceptible de afectar a diversos derechos fundamentales. Y ello es así en la medida en que el acceso a internet determina en gran parte la viabilidad de su ejercicio ?sería el caso de la libertad de expresión y de información? y, al mismo tiempo, porque opera como infraestructura e, incluso podríamos decir en la actualidad, como condición de viabilidad de las comunicaciones y la transmisión de datos, con la subsiguiente y potencial afectación del derecho formal al secreto de las comunicaciones y a la intimidad. En consecuencia, deberá determinarse si este esquema normativo cumple las condiciones y requisitos constitucionales y de la jurisprudencia europea exigidos a la legislación que tiene por objeto el establecimiento de límites a los derechos y libertades fundamentales.
La primera consideración que hay que efectuar es la del objeto material sobre el que se proyecta la potencial capacidad de actuación del Gobierno, es decir, las redes y servicios de comunicaciones electrónicas. Tal como lo hemos descrito, en términos prolijos, en la primera parte de este fundamento jurídico, la norma parte de una definición omnicomprensiva que, sintéticamente, incluye los servicios de transporte de señales y los correspondientes medios físicos de transmisión, junto con los recursos y servicios que están asociados a los mismos y les dan apoyo, como son las infraestructuras, sistemas, dispositivos, equipos, terminales, antenas, construcciones, sistemas de acceso condicional, guías electrónicas de programas o servicios de identidad, localización y presencia. Dicha expresión, pues, agrupa el conjunto de medios y servicios que hacen posible la operatividad de las comunicaciones telemáticas, es decir, todos aquellos que incorporan algún elemento digital o informático y que caracterizan la inmensa mayoría de los sistemas de comunicación actuales.
De manera más sintética, podríamos decir que se trata de internet y de los diferentes niveles de conectividad que dicha red global permite. Identificado lo anterior, es tan relevante como evidente señalar que actualmente las comunicaciones electrónicas, destacadamente internet, constituyen la principal tecnología en la que se genera y circula la comunicación y la información en la sociedad de nuestros días. De hecho, es tan decisiva su contribución que desde numerosos sectores académicos, científicos y también jurídicos, las tecnologías de la comunicación electrónica, en sus diferentes modalidades, se consideran más un nuevo paradigma cultural, incluida su vertiente política, que un mero instrumento o medio de comunicación más.
El Tribunal Constitucional, en los momentos incipientes de este mundo todavía emergente, ya indicaba el estrecho vínculo entre la protección de determinados derechos fundamentales ?el del secreto de las comunicaciones? en una «sociedad tecnológicamente avanzada» con el «desarrollo cultural, científico y tecnológico colectivo» (STC 123/2002, de 20 de mayo, FJ 5). Más adelante en el tiempo ya se habla de un derecho de nueva generación a la protección del propio entorno virtual, en el que se integraría toda la información almacenada masivamente en formato electrónico, ya sea de manera consciente o inconsciente, con voluntariedad o sin ella, que va generando el usuario, hasta el punto de dejar un rastro susceptible de ser seguido por los poderes públicos (STS 342/2013, de 17 de abril, y 462/2019, de 14 de octubre).
Igualmente, la importancia de internet tanto para la comunicación humana como para el desarrollo de la vida en sociedad se ha recogido en otros ámbitos, como en el seno de las Naciones Unidas, donde el relator especial de esta institución y un conjunto de altas autoridades internacionales de la libertad de expresión emitieron, el 1 de junio de 2011, la Declaración conjunta sobre libertad de expresión e internet, en la que, a pesar de carecer de valor normativo, dispone en su apartado 6 que la interrupción (cancelación) del acceso a internet o a una parte de esta, incluyendo la reducción de la velocidad de navegación, aplicada a una población o a un segmento de la misma, no halla justificación en ningún caso, ni siquiera por razón del orden público o seguridad nacional. Y, asimismo, que la negación de acceso a internet, a modo de sanción, constituye una medida extrema que debe adoptarse por la justicia siempre y cuando no existan medidas menos restrictivas habida cuenta del impacto que produce en el ejercicio de los derechos humanos. Dicha Declaración ha sido confirmada recientemente, el 10 de julio de 2019, mediante la Declaración conjunta del vigésimo aniversario: Desafíos para la libertad de expresión en la próxima década.
En consecuencia, la infraestructura y los servicios tecnológicos, en la actual etapa de la civilización humana, se han convertido en la práctica en una plataforma necesaria y casi indispensable para la comunicación y, por consiguiente, para el ejercicio de derechos y libertades de la importancia de la libertad de expresión. En realidad, sería difícil identificar algún derecho subjetivo que estuviese vinculado a la participación política en un sentido amplio, que no se vehiculara o relacionara, con mayor o menor intensidad, con las comunicaciones electrónicas.
La segunda consideración se referiría al alcance funcional de la potestad otorgada a la Administración del Estado, que la norma no precisa ni delimita. De entrada, si acudimos a la definición del concepto intervención, según el diccionario de la RAE, se observa que sus acepciones están asociadas a las actuaciones de «Examinar y censurar las cuentas»; «Controlar o disponer de una cuenta»; «Dicho de una autoridad: dirigir, limitar o suspender el libre ejercicio de actividades o funciones»; «Espiar, por mandato o autorización legal, una comunicación privada»; etc. Por otro lado, es una de las palabras más utilizadas en la Ley de enjuiciamiento criminal para calificar las actuaciones de los poderes públicos en relación con la intercepción de las comunicaciones en general (cap. IV y ss., título VIII, libro II, LECr).
Expuesto lo anterior, llegamos a una primera conclusión consistente en que existe una clara y estrecha vinculación entre la garantía y el ejercicio de determinados derechos y libertades fundamentales reconocidos en la Constitución y la gestión e intervención de las redes y servicios de comunicaciones electrónicas. De hecho, más allá de su tratamiento constitucional e individualizado, todos ellos convergen en el uso de las comunicaciones electrónicas, que los afectan de forma diversa en la medida en que son la vía de acceso a los contenidos y a la sociedad de la información: todo tipo de comunicaciones telefónicas o telemáticas, correos electrónicos, servicios de mensajería o chats en grupo, tutelados por el artículo 18.3, CE; contactos, fotografías y archivos personales, por el artículo 18.1 CE; datos personales y de geolocalización, por el artículo 18.4 CE; difusión de ideas y opiniones, por el artículo 20.1.a CE; emisión y recepción de información, por el artículo 20.1.d CE; etc.
Los citados derechos fundamentales han generado una numerosa regulación y jurisprudencia, tanto respecto a su seguridad y garantía como en relación con su ponderación respecto de otros derechos y bienes jurídicos susceptibles igualmente de protección. Aquí resulta imposible, por su extensión, reproducirla en su conjunto, pero sí que es apropiada y necesaria para nuestro examen la cita de la doctrina general sobre su limitación por la vía de la ley.
Es ampliamente sabido que estos derechos fundamentales no son derechos absolutos, sino que pueden ser sometidos a limitaciones en el marco de un estado democrático si se cumplen determinados requisitos y condiciones. Dicha configuración jurídica se halla recogida tanto en la Constitución (art. 53.1 CE) como en las normas internacionales y europeas que actúan como parámetro interpretativo del ordenamiento estatal, según el artículo 10.1 CE: la Declaración universal de derechos humanos (1948), el Pacto internacional de derechos civiles y políticos (1966), el Convenio para la protección de los derechos humanos y de las libertades fundamentales (1950) y la Carta de derechos fundamentales de la Unión Europea (2001). En el ámbito europeo es sobradamente conocido que la jurisprudencia emanada del Tribunal Europeo de Derechos Humanos ha resultado especialmente decisiva y determinante en esta cuestión..
De acuerdo con lo que acabamos de indicar, y de forma muy sintética, los derechos fundamentales pueden ser limitados siempre y cuando su restricción responda a una finalidad legítima constitucional y necesaria democráticamente, se lleve a cabo mediante una ley (reserva de ley) con la calidad normativa exigible para cumplir el principio de seguridad jurídica y se haga mediante medidas idóneas, proporcionadas, que sean lo menos lesivas y preservando un equilibrio entre el derecho y la limitación, de manera que el resultado de la constricción permita un ejercicio razonable y lo más amplio posible del derecho o la libertad que se somete a la regulación.
En cuanto a la finalidad perseguida, el Tribunal Europeo de Derechos Humanos ha aceptado como finalidad legítima de la restricción de los derechos y las libertades de los individuos, en términos generales, la preservación de otros bienes y valores dignos de protección, como sería el caso de garantizar la seguridad pública. Ahora bien, exige en todo caso la «calidad de la ley» que regule la limitación, en el sentido que sea accesible, clara y previsible. Así, la norma legal debe definir las modalidades y extensión del ejercicio del poder otorgado con la claridad suficiente para aportar al individuo destinatario una protección adecuada contra la arbitrariedad de los poderes públicos. Adicionalmente, tienen que poder preverse, en un grado razonable, según las circunstancias de cada caso, las consecuencias (formalidades, condiciones, restricciones o sanciones) que se derivan de su aplicación. Y las limitaciones deben fundamentarse en una ley de singular precisión cuando se trata de procedimientos de intercepción de las comunicaciones, que constituyen una intromisión en la vida privada y en la correspondencia, de forma que es indispensable que las normas que los regulan sean claras y detalladas, más aún habida cuenta de que la tecnología disponible es cada vez más sofisticada (STEDH 8691/79, de 2 de agosto de 1984, asunto Malone contra el Reino Unido; 11105/84, de 21 de abril de 1990, asunto Huvig contra Francia; 11801/85, de 24 de abril de 1990, asunto Kruslin contra Francia).
En aplicación de dicha doctrina, en varias ocasiones se han declarado contrarias al artículo 8 CEDH las regulaciones de la LECr sobre intervención de las comunicaciones telefónicas, porque la ley no definía con precisión la naturaleza de las infracciones que podían dar lugar a dicha intervención ni las condiciones para su aplicación (STEDH 27671/95, de 30 de julio de 1998, asunto Valenzuela Contreras contra España; 58496/00, de 18 de febrero de 2003, asunto Prado Bugallo contra España).
La ausencia de alguno de los elementos determinantes de la calidad de la ley comporta la vulneración del derecho afectado y, por consiguiente, en estos casos, el Tribunal Europeo ya no se pronuncia sobre el resto de los requisitos necesarios para que las injerencias o límites al derecho afectado sean legítimas (si el límite es necesario en una sociedad democrática para conseguir un fin legítimo y proporcional en relación con este fin). A modo de ejemplo, podemos mencionar las STEDH ya citadas de los asuntos Kruslin contra Francia y Valenzuela Contreras contra España.
Por su parte, el Tribunal Constitucional ha reiterado que toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas, ya sea porque incide directamente en su desarrollo (art. 81.1 CE) o porque limita o condiciona su ejercicio (art. 53.1 CE), requiere una habilitación legal (STC 49/1999, de 5 de abril, FJ 4). Paralelamente, ha destacado la importancia de que la medida restrictiva esté prevista en una norma legal que la avale y que reúna las condiciones mínimas que requiere las exigencias de la seguridad jurídica y la certeza en el derecho (art. 9.3 CE). En otras palabras, es un requisito «previo e insoslayable» la existencia de una cobertura legal expresa y clara de la injerencia, que defina las modalidades y extensión del ejercicio del poder otorgado con la suficiente claridad para aportar al individuo una protección adecuada contra la arbitrariedad (STC 84/2018, de 16 de julio, FJ 2 y 3, citando la STC 217/2015, de 22 de octubre, FJ 2).
Así, considera que es insuficiente, desde la perspectiva de la calidad de la ley, la habilitación genérica que no prevé los presupuestos, condiciones y duración máxima de la intervención (STC 169/2001, de 16 de julio, FJ 6 y 8), como también lo es la que suscita una indeterminación sobre los casos a los que se aplica la restricción, defecto que impide el cumplimiento de su función de garantía y que, por el contrario, otorga el control de la restricción a la libre voluntad de quien lo ejecuta (STC 292/2000, de 30 de noviembre, FJ 15, y 76/2019, de 22 de mayo, FJ 5).
Igualmente, este Consell, en el DCGE 7/2015, de 4 de junio, en relación con la obligación de que las medidas que limitan derechos fundamentales deben estar previstas en la ley y, a la vez, deban reunir ciertas exigencias de «calidad», dijimos que «la norma debe ser suficientemente clara y debe permitir prever, en un grado razonable según las circunstancias de cada caso, las consecuencias que derivan de su aplicación. Por otra parte, el grado de precisión depende en gran medida del contenido y del ámbito de aplicación de la restricción, así como de sus destinatarios. De la misma manera, la noción de previsibilidad se aplica, no solo a un comportamiento respecto del que cualquier ciudadano pueda prever las consecuencias que se derivan, sino también a las formalidades, condiciones, restricciones» (FJ 4).
Llegados a este punto, hay que insistir en que el requisito de calidad en la ley debe cumplirse siempre que quiera restringirse legítimamente el ejercicio de un derecho fundamental, sin perjuicio de que en determinados supuestos, como es el caso del secreto de las comunicaciones, se parta, por mandato constitucional (art. 18.3 CE), de un nivel de protección más alto, dado que es necesaria una autorización judicial previa para la intervención de su ejercicio. Cabe decir, sin embargo, que el Tribunal Constitucional, invocando el derecho a la intimidad para otorgar protección constitucional al cúmulo de información personal derivada del uso de los instrumentos tecnológicos (art. 18.1 CE), ha declarado que la regla general también debería ser la limitación de este derecho mediante resolución judicial motivada. Ahora bien, puesto que no hay reserva constitucional en ese sentido, ha admitido que la ley autorice la limitación de los derechos y libertades siempre y cuando esta se lleve a cabo respetando los principios de proporcionalidad y de razonabilidad. Exige, en consecuencia, la estricta observancia del principio de proporcionalidad de la medida restrictiva, en sus tres dimensiones: juicio de idoneidad (si la medida permite alcanzar el objetivo propuesto y es congruente con este); juicio de necesidad (si no existe otra medida más moderada y de menor intensidad coactiva para la consecución de la finalidad con igual eficacia); juicio de proporcionalidad en sentido estricto (si la medida es ponderada o equilibrada, de forma que se derivaran más ventajas o beneficios para el interés general que perjuicios sobre otros bienes o valores en conflicto) (por todas, STC 173/2011, de 7 de noviembre, FJ 2, y en el mismo sentido, DCGE 7/2015, de 4 de junio, FJ 3, y 2/2019, de 22 de febrero, FJ 3).
C) Una vez hemos expuesto brevemente el parámetro de limitación de los derechos fundamentales, cabe proyectarlo sobre la norma que es objeto de nuestro Dictamen. En primer lugar, examinaremos la finalidad del precepto; analizaremos el sentido y alcance de su contenido a fin de determinar si puede afectar ilegítimamente al ejercicio de derechos fundamentales, y, según el resultado, nos pronunciaremos sobre su adecuación a la Constitución.
Respecto de la finalidad, si ubicamos el precepto en el seno de la norma legal en la que se insiere la Ley general de telecomunicaciones y, a la vez, también tenemos en cuenta su título y contenido regulador, resulta claro, como hemos visto ampliamente en el inicio de este fundamento jurídico, que se trata de un supuesto en el que concurren las materias de régimen general de las comunicaciones y de seguridad pública, en un sentido amplio (orden público y seguridad nacional).
En relación con el orden público, la seguridad pública y la seguridad nacional debemos formular las siguientes consideraciones:
El orden público es un concepto jurídico indeterminado, con origen y apogeo en la gobernanza española del siglo XIX y de la etapa de la dictadura franquista, que con la entrada en vigor del nuevo régimen constitucional perdió buena parte de su sentido tradicional en la medida en que resultaba incompatible con las garantías constitucionales propias de una democracia. De esta forma, el orden público pasó de la vieja y obsoleta construcción como cláusula preventiva y represiva de intervención gubernativa, orientada a la restricción de derechos y libertades, especialmente los de naturaleza política, a una noción actualizada y más acotada denominada seguridad pública. Así, la norma fundamental de 1978 abandonó el uso legislativo anterior, hasta el punto que únicamente lo prevé de manera explícita en tres ocasiones y en unos términos bien diferentes: como límite al derecho de reunión y manifestación (art. 21.2 CE) y al ejercicio de la libertad religiosa en espacios públicos (art. 16.1 CE), para asegurar el respeto simultáneo a otros derechos y como bien jurídico susceptible de ser protegido mediante la función de la seguridad ciudadana, que es ejercida de forma principal por las fuerzas y cuerpos de seguridad (art. 104 CE). Dicho de otro modo, el orden público en el estado de derecho actual es concebido como aquel bien, o, con otras palabras, aquel valor o espacio de tranquilidad y de convivencia social, que actúa como condición necesaria para el ejercicio de otros derechos fundamentales y libertades públicas.
El citado cambio de paradigma jurídico ya fue fijado por la incipiente jurisprudencia del Tribunal Constitucional (STC 33/1982, de 8 de junio, FJ 3), que estableció que el concepto de seguridad pública era una noción más precisa y propia del nuevo sistema constitucional, de forma que el orden público quedaba circunscrito a los aspectos arriba indicados. Desde aquella época, ya lejana, lo cierto es que el Tribunal no ha desarrollado una posterior doctrina delimitante del orden público, en cuanto a su contenido y contornos, y lo mismo podríamos decir de la doctrina del Tribunal Europeo de Derechos Humanos. Este último, más allá de aceptar, según un análisis ponderado, caso por caso, la validez de este concepto jurídico indeterminado como límite legítimo en el ejercicio de ciertos derechos fundamentales, sí que ha recordado que el orden público no puede ser utilizado por la legislación de los estados de modo excesivamente expansivo hasta el punto de devenir un instrumento de restricción u obstaculización de las libertades y derechos fundamentales, especialmente en la esfera de la libertad de expresión y los derechos de participación política, en un sentido amplio (con un énfasis destacado en los derechos de reunión, asociación y manifestación, y de disidencia en general: STEDH 31684/05, de 5 de marzo de 2009, asunto Barraco contra Francia; 17843/11, de 16 de enero de 2018, asunto Dinçer contra Turquía; 11798/85, de 23 de abril de 1992, asunto Castells contra España, entre otros). En todo caso, si procedemos a llevar a cabo una cierta destilación de su doctrina, obtendríamos el principio de que el orden público es legítimo para garantizar la ausencia de violencia, en un contexto de existencia de un riesgo cierto, claro e inminente en que esta puede llegarse a desencadenar.
En consecuencia, a modo de resumen, podemos sostener que, aunque se trata de un concepto jurídico indeterminado, la previsión del orden público en las leyes es legítima si tiene por objeto prevenir y combatir un supuesto claro de afectación de la paz y de la convivencia social. Sin embargo, su invocación por parte del legislador debe ser restrictiva y respetuosa con el ejercicio de los derechos fundamentales y las libertades, de forma que no obstaculice ni desincentive su práctica, condición que requiere una técnica precisa y clara en su regulación, tanto respecto a la concreción de los supuestos habilitantes para su activación como en relación con las condiciones y previsibilidad de su uso por los poderes públicos.
En cuanto a la seguridad pública, como acabamos de exponer, emerge como nuevo concepto con la Constitución de 1978, y se configura como materia de distribución competencial, en este caso en régimen de atribución exclusiva al Estado ex artículo 149.1.29 CE y con la participación destacable de las comunidades autónomas que se doten de policía propia, siendo uno de los dos casos más relevantes el catalán, y a la vez como bien jurídico que garantiza la tranquilidad ciudadana, principalmente a través de la seguridad ciudadana y la protección civil. La jurisprudencia constitucional en seguridad pública ha resultado ser mucho más extensa que en el caso del orden público, y ha sido dictada sobre todo en supuestos de conflictividad competencial o en el examen de constitucionalidad de las leyes sectoriales de cabecera de las citadas submaterias (Ley orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana y Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil). A modo de resumen, podríamos decir que el alto tribunal ha equiparado en gran medida la seguridad pública a la actividad funcional y orgánica orientada a la protección de las personas y los bienes y, con el fin de limitar su potencial expansivo, ha tendido a vincularla, aunque sin excluir otros espacios materiales conexos, con la esfera de las funciones que despliegan los cuerpos de seguridad y de prevención y reacción en las emergencias (entre otras, STC 58/2017, de 11 de mayo, FJ 3 y 4; 87/2016, de 28 de abril, FJ 5; 86/2014, de 29 de mayo, FJ 2 a 4).
Últimamente, sin embargo, el alcance de la seguridad pública se ha ampliado a dos nuevos ámbitos de actuación que hasta el año 2015 eran inéditos, como mínimo respecto a su explicitación formal y al hecho de disponer de una legislación sectorial propia: nos estamos refiriendo a la seguridad nacional y a la ciberseguridad. En sendas sentencias recientes, el Tribunal Constitucional ha optado por no considerarlos una nueva competencia sino que los ha reconducido y subsumido, en buena parte, en la seguridad pública. En el caso de la seguridad nacional ha hecho concurrir en ella, junto con la seguridad pública, la materia de la defensa (STC 184/2016, de 3 de noviembre, FJ 3), y en el supuesto de la ciberseguridad, ha establecido el vínculo con las competencias de telecomunicaciones y la seguridad nacional (STC 142/2018, de 20 de diciembre, FJ 4 a 6).
Respecto a esta última, y dada su evidente conexión con el presente Dictamen, creemos oportuno reproducir el siguiente razonamiento:
«En suma, puede afirmarse que la evolución de las tecnologías de la información y de la comunicación ha hecho que las redes y sistemas de información desempeñen actualmente un papel crucial en nuestra sociedad, siendo su fiabilidad y seguridad aspectos esenciales para el desarrollo de las actividades económicas y sociales. Prueba de ello es que los operadores de redes y servicios de comunicaciones electrónicas disponibles al público están obligados a gestionar ?adecuadamente los riesgos de seguridad que puedan afectar a sus redes y servicios a fin de garantizar un adecuado nivel de seguridad y evitar o reducir al mínimo el impacto de los incidentes de seguridad en los usuarios y en las redes interconectadas? (art. 44.1 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones). Atendiendo a lo que se ha expuesto, puede concluirse que la ciberseguridad se incluye en materias de competencia estatal en cuanto, al referirse a las necesarias acciones de prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas y el régimen en general de telecomunicaciones.» (FJ 4)
Así, de acuerdo con lo que hemos expuesto, puede concluirse que los conceptos de orden público, seguridad pública y seguridad nacional, con las correspondientes modulaciones, son conceptos interconectados, susceptibles de legitimar la intervención del Estado en situaciones de riesgo para las personas y los bienes, en el amplísimo abanico de ámbitos en los que se proyecta el espacio público, incluido el tecnológico, y los cuales se caracterizan en todo caso por su contenido indeterminado, con el subsiguiente margen de apreciación y discrecionalidad en cuanto a los límites de la intervención y, en consecuencia, también en su potencial capacidad de afectar al ejercicio de derechos y libertades individuales. Respecto de la citada configuración, cabe añadir, para completar la síntesis, que la jurisprudencia de los más altos tribunales relativa a la interpretación de los derechos constitucionales tampoco los ha precisado ni acotado más allá de vincularlos, caso por caso, a la protección y a la tranquilidad ciudadana, a la necesidad de preservar el orden pacífico y no violento y, en consecuencia, los ha identificado con la vertiente orgánica y funcional de los servicios públicos de policía y emergencias.
Sin embargo, tanto el Tribunal Constitucional como el Tribunal Europeo de Derechos Humanos han establecido la necesidad de que la regulación de estos conceptos como límites para el ejercicio de los derechos y libertades de los ciudadanos se efectúe mediante por ley, responda a una necesidad democrática y se formule en términos acotados y lo menos constrictivos posibles, así como que su aplicación se lleve a cabo con la mínima y proporcionada intensidad, de modo que el resultado los dificulte o restrinja lo menos posible.
Volviendo al examen de la norma que nos ocupa, el nuevo redactado del artículo 4.6 LGTEL que reforma el Real decreto-ley se articula en torno a estos tres conceptos que operan como finalidad u objetivo de la norma: la preservación o restablecimiento del orden público, la seguridad pública y la seguridad nacional, y, al mismo tiempo, los prevé como supuestos de aplicación o habilitantes para la activación de la facultad de intervención del Gobierno del Estado.
De entrada, dicha conformación normativa contribuye a generar un marco muy amplio e, incluso, imprevisible respecto de su régimen de aplicación: se recurre a tres conceptos jurídicos indeterminados para justificar la atribución del poder al Gobierno, sin necesidad de autorización judicial sin ni siquiera requisito procedimental administrativo específico alguno para intervenir el conjunto de las redes y servicios, los cuales simultáneamente se establecen como objetivo y presupuesto habilitante.
Se trata de una construcción tan imprecisa y poco concreta que contrasta con la regulación de la legislación procesal penal actualmente vigente para la intervención de las comunicaciones personales en supuestos de investigación policial y penal. La comparación que realizamos a continuación es relevante porque se trata del supuesto más destacado del que dispone el ordenamiento jurídico en cuanto a la intervención de comunicaciones por parte de los poderes públicos, susceptible de afectar al ejercicio de los derechos fundamentales ex artículo 18.3 CE, y que ha sido sometido a una intensa y recurrente tarea de escrutinio por parte de los tribunales (Tribunal Supremo, Tribunal Constitucional y Tribunal Europeo de Derechos Humanos). En este sentido, es importante recordar que en el caso del derecho al secreto de las comunicaciones se trata de un derecho esencialmente formal, que se vulnera por el mero hecho de la intercepción ilegítima, al margen o independientemente de los contenidos de la comunicación. Así, los artículos 588 bis.a a 588 octies LECr, tras varias sentencias contrarias al Estado español por parte del Tribunal Europeo de Derechos Humanos, establecen una serie de requisitos concretos previos a la autorización judicial que dará lugar a la intercepción de una comunicación, ya sea de naturaleza privada o pública.
En primer lugar, la ley procesal exige que los indicios delictivos que justifiquen la solicitud se refieran a tipos penales con penas superiores a los tres años, a delitos cometidos en el seno de un grupo o una organización criminal, o que se trate de delitos de terrorismo. Acto seguido, corresponde al juez la decisión de la intervención, según el imperativo constitucional consignado en el artículo 18.3 CE, último inciso, el cual la adoptará solo si procede y en unos términos acotados conforme a los principios de especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad de la medida.
Si volvemos al precepto que estamos examinando (art. 6.uno RDL 14/2019), también puede comprobarse que se proyecta sobre el conjunto de las redes y servicios de comunicaciones electrónicas con un potencial de intervención integral y casi ilimitado. Así se desprende de manera inmediata de la literalidad del texto:
«6. El Gobierno, con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional. En concreto, esta facultad excepcional y transitoria de gestión directa o intervención podrá afectar a cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional.»
La combinación de la atribución de una enorme discrecionalidad al Gobierno del Estado a la hora de activar la intervención de las comunicaciones electrónicas, su carácter potencialmente omnicomprensivo sobre el conjunto de la red y los servicios en los que puede operar, junto con la ausencia de previsión de cualquier tipo de delimitación funcional, de procedimiento específico o de garantía adicional en cuanto a los contenidos y sujetos susceptibles de ser afectados por la intervención, convierten a dicho precepto en una verdadera cláusula genérica de intervención gubernamental.
La eventual refutación a la afirmación que acabamos de sostener, que consistiría en aseverar que la capacidad del Gobierno del Estado solo afectaría al soporte instrumental de las comunicaciones, es decir, a las infraestructuras físicas o técnicas (cableado, servidores, antenas, etc.), y no a los contenidos ni a la información, que quedarían preservados de la afectación administrativa, así como el razonamiento de que tan solo se intervendrían con una finalidad de restablecimiento del servicio universal en supuestos de caída del sistema (lo que ya está previsto expresamente en otro párrafo del mismo precepto), no es ni mucho menos la interpretación que consideramos que se desprende de manera inmediata, natural y razonable de la literalidad del texto. Y, en caso de que así fuera ni que sea en parte, tampoco destierra la potencial afectación que implica, para el ejercicio de determinados derechos como la libertad de expresión, el bloqueo, la interrupción o la obstaculización del acceso universal a la red por la que circula la información y la comunicación.
Creemos importante insistir en que el texto del primer párrafo del artículo 4.6 LGTEL opera en términos tan genéricos e indeterminados que resultan incompatibles con una regulación garante de los derechos fundamentales. Respecto del concepto «intervención», incluye una potencial actuación tan amplia como imprecisa respecto a su predeterminación o previsibilidad; interpretación que se refuerza cuando el precepto no se limita a indicar una finalidad reparadora (el restablecimiento del orden público, la seguridad pública o la seguridad nacional) una vez se ha producido un daño o riesgo de daño inminente y cierto sino que también da cobertura a una actuación preventiva («en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional»).
Esta configuración, según nuestra opinión, sustenta la interpretación de la cláusula como genérica e imprevisible. Defectos, estos, en la calidad normativa del artículo 6, apartado uno, RDL 14/2019 que también se reflejan en la justificación vaporosa e inaprehensible del preámbulo. Así, con carácter general se expone en este que:
«Los recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin, cuyo objetivo último sea proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos.» (apdo. I, párr. sexto)
O también que:
«Como se ha justificado en los apartados anteriores, las medidas contenidas en el presente real decreto-ley tienen como finalidad incrementar el estándar de protección de la seguridad pública frente a las crecientes amenazas que plantea el uso de las nuevas tecnologías y a la luz siempre de los últimos sucesos en territorio español.» (apdo. VI, párr. quinto)
Y, más concretamente, respecto al precepto que ahora se analiza:
«Así, en concreto, se modifican los artículos 4.6 y 6.3 de la Ley 9/2014, de 9 de mayo, para reforzar las potestades del Ministerio de Economía y Empresa para llevar a cabo un mayor control y para mejorar sus posibilidades de actuación cuando la comisión de una presunta actuación infractora a través del uso de las redes y servicios de comunicaciones electrónicas pueda suponer una amenaza grave e inmediata para el orden público, la seguridad pública o la seguridad nacional o cuando en determinados supuestos excepcionales que también puedan comprometer el orden público, la seguridad pública y la seguridad nacional sea necesaria la asunción de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas.» (apdo. II, párr. vigesimosexto)
Así, la reforma que opera el Real decreto-ley en la LGTEL, según las propias palabras del legislador, confirmaría la tesis de la evolución de la finalidad y el objeto del precepto, ya que la justificación del preámbulo, la desvinculación de la ley de contratos públicos y los cambios sutiles pero significativos de su literalidad evidencian su colisión con la intención originaria de la Ley, la cual debía ser interpretada conforme a los principios del artículo 5 LGTEL y que, por el contrario, en su versión actual se manifiesta con sustantiva disconformidad con dichos principios.
De acuerdo con lo anterior, podemos llegar a la conclusión que, a pesar de que la nueva redacción del artículo 4.6 LGTEL (según la versión del Real decreto-ley) ha variado en pocos y limitados aspectos respecto a la redacción de la Ley general de telecomunicaciones (en su versión del año 2014), en realidad su objeto y finalidad han mutado de forma sustantiva hasta el punto que el actual redactado es incompatible no solo con el principio de seguridad jurídica ex artículo 9.3 CE, sino también con lo que debe ser una adecuada garantía constitucional de las condiciones para el ejercicio de determinados derechos fundamentales.
Si desarrollamos el argumento anterior, podemos precisar que su texto genera un grave marco de imprevisibilidad dado el carácter amplísimo e indeterminado de la casuística que puede abarcar la norma, ni que sea formalmente, bajo el paraguas de conceptos como el del orden público, la seguridad pública o la seguridad nacional. Hipótesis, esta, que confirma el propio preámbulo cuando se manifiesta incapaz de concretar los motivos que justifican la reforma de este precepto más allá de las referencias eufemísticas y veladas que apunta respecto a las amenazas de las nuevas tecnologías y a los conflictos o disturbios sucedidos recientemente en «parte del territorio español» y que justificarían por razones de urgencia y seguridad la aprobación del Real decreto-ley en la parte que contiene la reforma en cuestión.
Desde la perspectiva de las condiciones para el ejercicio de determinados derechos fundamentales, la indefinición e indeterminación del precepto resulta aún más grave. Los presupuestos habilitantes, así como el alcance de la intervención, abren un espacio de amplísima discrecionalidad administrativa, respecto al cuándo y al qué, los supuestos concretos de la activación y el objeto material sobre el que puede proyectarse, pero también en relación con el cómo, con una evidente indeterminación funcional en cuanto a las medidas limitativas que puede amparar. Así, queda a la libre apreciación del Gobierno estatal una facultad de intervención que además no requiere ni de un procedimiento específico mínimamente articulado (en contraste, por ejemplo, con el caso de la Ley de seguridad nacional) ni de la autorización judicial. En un marco como este, se abren espacios a la aplicación de la norma lesivos, tanto de la libertad de expresión y de información (con la red intervenida por la acción gubernamental no se dan las condiciones para su libre y completo ejercicio) como de potencial afectación al secreto de las comunicaciones, la intimidad y la debida protección de los datos.
En cuanto a estos últimos derechos fundamentales, no debemos olvidar y aquí resulta primordial recordarlo, que hoy en día las redes y servicios de comunicaciones electrónicas son mucho más que una mera infraestructura o tecnología para la comunicación, hasta el punto de que se han convertido en auténticas condiciones de posibilidad o básicas para el ejercicio de los precitados derechos fundamentales, verdaderos pilares de las sociedades democráticas y plurales. El propio Tribunal Europeo de Derechos Humanos, en la decisión del asunto Ahmet Yildirim contra Turquía, STEDH 3111/10, de 18 de diciembre de 2012, resultando definitiva el 18 de marzo de 2013, ya indicó con motivo de una restricción gubernamental de acceso a internet que, aunque fuera limitada, suponía una vulneración de los derechos del Convenio europeo para la protección de los derechos humanos y las libertades fundamentales en la medida en que «Internet es en la actualidad el principal medio de la gente para ejercer su derecho a la libertad de expresión y de información: se encuentran herramientas esenciales de participación en actividades y debates relativos a cuestiones políticas o de interés público» (apdo. 54). En nuestra era, la distinción tradicional entre instrumento y contenido en determinados casos, y en concreto en el ámbito de las nuevas tecnologías y el derecho o el contenido que este pretende garantizar, ha terminado diluyéndose y se ha convertido más en un artificio conceptual, fruto de la pervivencia de las clasificaciones académicas e intelectuales de los siglos XIX y XX, que en una realidad, ya no incipiente sino consolidada, en la que a menudo el instrumento determina e, incluso, crea el contenido.
Dicho esto, conviene ahora recuperar la ya expuesta doctrina del Tribunal Constitucional, a través de la STC 169/2001, en la que, acogiendo el criterio iniciado por la STC 27/1981, de 20 de julio (FJ 10) y reflejado en la STC 49/1999, de 5 de abril (FJ 4), argumenta que «la legitimidad constitucional de cualquier injerencia del poder público en los derechos fundamentales requiere que haya sido autorizada o habilitada por una disposición con rango de Ley, y que la norma legal habilitadora de la injerencia reúna las condiciones mínimas suficientes requeridas por las exigencias de seguridad jurídica y certeza del derecho».
En el mismo sentido, y de hecho con motivo de varios asuntos en los que ha sido parte el propio Estado español, la doctrina del Tribunal Europeo de Derechos Humanos ha establecido reiteradamente que una ley que tenga por objeto la limitación de un derecho fundamental, como sería el caso de los previstos en los artículos 18 (intimidad y secreto de las comunicaciones) y 21 (derecho de reunión y de asociación), aparte de los ya citados criterios de la legitimidad de la finalidad y de la necesidad democrática de la medida y la subsiguiente proporcionalidad de la regulación, debe cumplir, antes de nada, una primera condición vinculada a la reserva de ley, que es, precisamente, la calidad normativa de la misma, conectada al principio de seguridad jurídica, es decir, a la previsibilidad. Y dicha propiedad o atributo se identifica con una regulación lo bastante específica y detallada como para evitar un margen de apreciación de los poderes públicos, a la hora de actuar restringiendo los derechos afectados, que devenga ilimitado o muy amplio. Así, la característica de la nitidez y la claridad en el alcance, las condiciones habilitantes para su ejercicio y los términos y límites de la actividad constrictiva son elementos primordiales en la valoración de la validez y legitimidad de la norma según las prescripciones del Convenio europeo para la protección de los derechos humanos y las libertades fundamentales.
Este canon debe cumplirse con un especial cuidado cuando la propia ley no prevé la intervención judicial en el proceso de limitación gubernativa o administrativa de los derechos, y de modo aún más exigente en actuaciones de los poderes públicos que pueden ser de tipo preventivo o anticipatorio, al amparo del supuesto legal de «la imperiosa necesidad» de prevenir un potencial daño o hacer frente a un «riesgo claro inmediato» sobre las personas y los bienes.
De acuerdo con todo lo anterior, podemos concluir que la regulación examinada, el primer párrafo del apartado 6 del artículo 4 LGTEL, no respeta los estándares mínimos de calidad normativa que exigen tanto la jurisprudencia del Tribunal Constitucional como la del Tribunal Europeo de Derechos Humanos. Y ello es así porque, tal como lo hemos razonado, el precepto se configura sobre una finalidad, unos supuestos habilitantes y un procedimiento que lo convierten en una regulación falta de la previsibilidad necesaria que se exige a una ley que es susceptible de constreñir derechos fundamentales protegidos por el Convenio europeo de derechos humanos y la Constitución. Así, no cumple el primer requisito de validez exigible a este tipo de legislación, la cual, además, dicho sea a efectos de completar el test de validez, una vez alcanzada la mínima calidad normativa, debería acreditar también su legítima necesidad para un estado democrático, su idoneidad respecto al contenido de la medida, además de la proporcionalidad en su conjunto a la hora de garantizar el equilibrio entre la restricción y la viabilidad del ejercicio del derecho o derechos afectados. Estos últimos elementos, sin embargo, aunque han sido apuntados, ya no serán examinados respecto de la norma que nos ocupa, puesto que la primera condición de validez, la calidad de la ley, como acabamos de argumentar, se incumple.
De los razonamientos recién expuestos se desprende que el apartado 6 del artículo 4 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, en su nueva redacción, vulnera el artículo 9.3 CE, en cuanto a las exigencias de calidad de la ley para legitimar la injerencia de los poderes públicos en los derechos fundamentales y las libertades públicas, y al mismo tiempo también es contrario a la jurisprudencia del Tribunal Europeo de Derechos Humanos, de relevancia constitucional en virtud del artículo 10.1 CE, relativa a la calidad de las leyes susceptibles de afectar a los derechos y libertades del Convenio europeo.
En consecuencia, cabe concluir que el apartado uno del artículo 6 RDL 14/2019, de 31 de octubre, en la redacción que da al primer párrafo del apartado 6 del artículo 4 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, en cuanto a la facultad de «intervención» administrativa estatal, es inconstitucional porque vulnera el artículo 9.3 CE.
Finalmente, nos corresponde realizar una última observación sobre la cuestión competencial, que hemos indicado al inicio del presente fundamento jurídico y que hemos dejado inconclusa al haber tratado primeramente la vertiente del precepto relacionada con la afectación de derechos fundamentales. Y, llegados a este punto, consideramos que no se puede reanudar la tarea orientada a obtener una conclusión sobre la eventual vulneración de las competencias de la Generalitat porque, como acabamos de exponer, la falta de calidad normativa impide identificar con precisión el alcance y los límites de la potencial intervención administrativa y gubernamental por parte del Estado. Condición que resulta imprescindible para poder proceder al examen de la delimitación de funciones y responsabilidades entre las administraciones que son titulares de competencias concurrentes en las materias objeto de la norma. Es decir, la insuficiente precisión e imprevisibilidad del tenor literal del precepto dejan sin sentido efectuar la operación jurídica de la delimitación de competencias según los términos de su redactado por causa de la inconstitucionalidad ya apreciada, pero también por la falta de la definición mínima exigible para poder hacerlo.
3. A continuación, nos corresponde pronunciarnos sobre el apartado 5 del artículo 6 RDL 14/2109, que reformula el apartado 1 del artículo 81 LGTEL dándole la redacción siguiente:
«1. Previamente al inicio del procedimiento sancionador, podrá ordenarse por el órgano competente del Ministerio de Economía y Empresa, mediante resolución sin audiencia previa, el cese de la presunta actividad infractora cuando existan razones de imperiosa urgencia basada en alguno de los siguientes supuestos:
a) Cuando exista una amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional.
b) Cuando exista una amenaza inmediata y grave para la salud pública.
c) Cuando de la supuesta actividad infractora puedan producirse perjuicios graves al funcionamiento de los servicios de seguridad pública, protección civil y de emergencias.
d) Cuando se interfiera gravemente a otros servicios o redes de comunicaciones electrónicas.
e) Cuando cree graves problemas económicos u operativos a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o demás usuarios del espectro radioeléctrico.»
Como se desprende de su contenido, el precepto objeto de dictamen, insertado en el cuerpo normativo de la Ley general de telecomunicaciones sobre la inspección y su régimen sancionador, regula las «Medidas previas al procedimiento sancionador». En concreto, atribuye a un órgano de la Administración del Estado (el Ministerio de Economía y Empresa) la potestad para ordenar, antes de que se inicie el procedimiento sancionador y mediante una resolución sin audiencia previa, cuando existan razones de imperiosa urgencia, el cese de la presunta actividad infractora. Dicha urgencia debe proyectarse sobre uno de los cinco supuestos que se han transcrito antes, todos ellos recogidos por el artículo 81.1: cuando exista una amenaza inmediata y grave para el orden público, la seguridad pública, la seguridad nacional o la salud pública (letras a y b); cuando se puedan producir graves perjuicios para el funcionamiento de los servicios de seguridad pública, protección civil y emergencias como consecuencia de la actividad infractora (letra c); cuando se interfiera gravemente en otros servicios o redes de comunicaciones electrónicas (letra d), y cuando dichaactividad cree graves problemas económicos u operativos para otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o para los restantes usuarios del espectro radioeléctrico (letra e).
A fin de obtener la correspondiente conclusión, en primer lugar, describiremos la caracterización del régimen jurídico de este tipo de medidas provisionales en el seno del procedimiento administrativo, así como su encaje en el orden constitucional y la legislación básica del procedimiento administrativo.
A) Las medidas previas al procedimiento sancionador, también llamadas provisionalísimas, son un tipo de medidas cautelares que pueden ser adoptadas con carácter previo al inicio de un procedimiento administrativo de naturaleza sancionadora. Su finalidad tiene por objeto asegurar determinados derechos, bienes o intereses dignos de ser protegidos por parte de la Administración pública ante un riesgo de afectación por daño o pérdida, antes de que se sustancie y finalice un procedimiento administrativo mediante la correspondiente resolución del órgano competente.
Cabe recordar que las medidas cautelares, con carácter general, y por el hecho de que anticipan una decisión previa, aunque sea de manera parcial y provisional, al cierre, o incluso al inicio, de un procedimiento, suponen una excepción al régimen general del procedimiento y de la actuación administrativa, dado que su contenido puede colisionar con el derecho a la presunción de inocencia, modulado en el ámbito sancionador administrativo, y protegido por la Constitución a través del derecho fundamental del artículo 24 CE.
Así, una medida cautelar que suponga una pérdida o menoscabo, aunque sea transitorio, de derechos individuales, puede significar en realidad una sanción encubierta, la cual no tiene amparo en un estado democrático, entre otras razones, porque podría conculcar, como se ha dicho, el principio de inocencia (STC 22/1985, de 15 de febrero, FJ 6). Ahora bien, su adopción se admite, en un procedimiento sancionador, siempre y cuando se lleve a cabo mediante una resolución fundamentada en derecho que, cuando no es reglada, se base en un juicio de razonabilidad sobre la finalidad pretendida y las circunstancias concurrentes, pues una medida desproporcionada o irrazonable no sería cautelar sino que tendría un carácter punitivo en cuanto al exceso (STC 108/1984, de 26 de noviembre, FJ 2.b).
Igualmente, el uso de las medidas provisionales previas al principio del procedimiento administrativo debe ser extremadamente acotado y restringido por el hecho de que tienen lugar antes del inicio de las actuaciones administrativas y pueden incidir en un derecho, bien o interés de un tercero sin que se hayan practicado las pruebas que prevé el proceso ni el administrado haya contado con los trámites y garantías que el ordenamiento jurídico le reconoce. Y ello, en gran medida, como hemos dicho, porque pueden producir una situación de anticipación provisional de la decisión final con un contenido que puede ser sancionador.
Dicha configuración, en consecuencia, es susceptible de afectar a los derechos del ciudadano concernido y de interferir en el principio constitucional de actuación objetiva de la Administración, establecido en los artículos 9.3 y 103 CE. No debemos olvidar, como ha recordado insistentemente la jurisprudencia del Tribunal Constitucional, que la objetividad al servicio de los intereses generales se sitúa en las antípodas de la arbitrariedad y la falta de garantía de los derechos de los administrados, que se aseguran mediante el cumplimiento estricto de los diversos procedimientos y condiciones que vinculan a los poderes públicos mediante la sujeción a las leyes (por todas, STC 34/1995, de 6 de febrero, FJ 3).
En cuanto a la legislación que las regula, esta tipología de medidas cautelares está prevista actual y expresamente en el artículo 56.2 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas (LPACAP), si bien tiene su antecedente en el artículo 72.2 de la Ley 30/1992, de 26 de noviembre, de régimen jurídico de las administraciones públicas y del procedimiento administrativo común (LRJAPC), como consecuencia de la modificación operada por la Ley 4/1999, de 13 de enero, que introdujo la posibilidad de adoptar tales medidas antes del inicio del procedimiento administrativo.
A modo de síntesis, y por lo que ahora interesa, el artículo 56.2 LPACAP admite la legitimidad de las medidas cautelares antes de comenzar el procedimiento administrativo, siempre y cuando se sometan a los requisitos siguientes: que se trate de una situación de urgencia inaplazable, que su finalidad sea la protección provisional de los intereses implicados, que se adopten de forma motivada y que resulten necesarias y proporcionadas. Adicionalmente, exige que se confirmen, levanten o modifiquen en el acuerdo de inicio del procedimiento, que se dictará en un plazo breve de quince días y puede ser objeto del correspondiente recurso. Y, finalmente, afirma que las medidas quedan sin efecto en caso de no iniciarse el procedimiento en el plazo citado o cuando el acuerdo de iniciación no contenga un pronunciamiento expreso sobre las mismas. Por añadidura, también resultaría aplicable la previsión general de que no se pueden adoptar las que puedan causar un perjuicio de difícil o imposible reparación a los interesados o que impliquen una violación de los derechos amparados por las leyes (art. 56.4 LPACAP).
Cabe decir que la normativa actual de las medidas provisionales en el procedimiento administrativo común, incluyendo las de carácter previo al inicio de este (art. 56 LPACAP), resulta también aplicable al procedimiento sancionador, que ha pasado a considerarse como un procedimiento administrativo común sometido a las mismas reglas generales que este, sin perjuicio de algunas especialidades en su tramitación, recogidas en el articulado de la propia Ley (art. 1 LPACAP). Ciertamente, ello constituye una diferencia significativa con la regulación anterior (art. 72 LRJAPC), que no se proyectaba sobre los procedimientos administrativos sancionadores, en los que solo se podían adoptar medidas provisionales si así lo preveían las normas sectoriales que las regularan «mediante acuerdo motivado» y para asegurar «la eficacia de la resolución final que pudiera recaer» (art. 136 LRJAPC). Completaba esta regulación el también ya derogado Reglamento de procedimiento para el ejercicio de la potestad sancionadora (art. 15), aprobado por el Real decreto 1398/1993, de 4 de agosto.
Ahora bien, pese a lo anterior, el ámbito de aplicación objetivo de la vigente LPACAP se ha visto reducido en base a lo que prescribe su disposición adicional primera sobre las especialidades por razón de la materia, cuando prevé que «[l]os procedimientos administrativos regulados en leyes especiales por razón de la materia que no exijan alguno de los trámites previstos en esta Ley o regulen trámites adicionales o distintos se regirán, respecto a éstos, por lo dispuesto en dichas leyes especiales» (apdo. 1). Por otra parte, a continuación, la misma disposición establece una lista de las actuaciones y procedimientos que se rigen por su normativa específica y, supletoriamente, por la LPACAP, entre los cuales (aplicación de los tributos en materia tributaria y aduanera, así como su revisión en vía administrativa; gestión, inspección, liquidación, recaudación, impugnación y revisión en materia de Seguridad Social y desempleo; sanciones en materia tributaria y aduanera, en el orden social, en materia de tráfico y seguridad vial y en materia de extranjería, y extranjería y asilo) no se encuentra el procedimiento sancionador en materia de redes y comunicaciones electrónicas (apdo. 2).
En consecuencia, pues, y como regla general, debe interpretarse que, cuando una ley sectorial regula el trámite procedimental para la adopción de medidas provisionales en un procedimiento sancionador (incluidas las adoptadas previamente a su inicio) de forma diferente a como lo hace el artículo 56 LPACAP, prevalece la aplicación de dicha especialidad por razón de la materia, de manera que se plantearían serias dudas sobre si deberían observarse o no en todo caso las garantías que prevé la LPACAP en relación a la actuación cautelar a la que acabamos de hacer referencia.
B) A continuación, nos corresponde examinar el contenido del precepto que ha sido objeto de una nueva redacción por parte del Real decreto-ley sometido a nuestro escrutinio.
No obstante, antes resulta de utilidad referirnos a los cambios principales que ha experimentado su contenido respecto de la versión de la LGTEL vigente hasta el momento de la aprobación del Real decreto-ley 14/2019. Así, debe indicarse que la potestad de adoptar la medida provisional de cese de la actividad infractora con carácter previo al inicio del procedimiento sancionador que se atribuye a la Administración estatal ya estaba prevista en la redacción original de la LGTEL de 2014, y que lo que ha variado es la configuración de los supuestos habilitantes. En efecto, por un lado, se mantienen los previstos anteriormente, pero se amplía su alcance, como es el caso de la letra a, que ahora incorpora los conceptos «de orden público» y de «seguridad nacional» o el de la letra b, que ha sustituido el concepto de «vida humana» por el más amplio de «salud pública». Y, por otra, se introduce el supuesto de la letra e, que habilita el cese de la presunta actividad infractora cuando ocasione graves problemas económicos u operativos a un amplio abanico de destinatarios del sector (a proveedores o usuarios de redes o servicios de comunicaciones electrónicas y, en general, a todos los usuarios del espectro radioeléctrico).
Por su parte, a efectos de la interpretación del conjunto de la norma, resulta ilustrativo referirnos al apartado 2 del artículo 81 LGTEL, pese a no ser objeto de la solicitud por no haber sido reformado, que dispone que la resolución que determine la orden de cese de la actividad afectada puede prever el apoyo de los cuerpos y fuerzas de seguridad para la ejecución forzosa, a través de la autoridad gubernativa. Adicionalmente, dispone que la citada resolución determine el ámbito objetivo y temporal de la medida, que no puede exceder de un mes.
La razón de la modificación del apartado 1 del artículo 81 LGTEL no consta claramente en el preámbulo del Real decreto-ley, que, en una alusión genérica, se limita a decir que «en necesaria correlación con este reforzamiento de funciones públicas en estas situaciones excepcionales, se potencia igualmente la potestad sancionadora del Ministerio de Economía y Empresa con el objetivo de hacer efectivas y reales las actuaciones que pueda adoptar en uso de estas nuevas facultades de actuación dirigidas a preservar o restablecer el orden público, la seguridad pública y la seguridad nacional» (apdo. II, párr. vigésimo octavo).
Como acabamos de indicar, el nuevo redactado del artículo 81.1 LGTEL incorpora, en la línea de lo que ya hemos analizado en este mismo fundamento jurídico con motivo del artículo 4.6 LGTEL, nuevos supuestos habilitantes para la adopción de medidas previas vinculados a los conceptos de orden público y seguridad nacional; salud pública, o en casos de «graves problemas económicos u operativos a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o demás usuarios del espectro radioeléctrico».
Resulta claro, pues, que el margen de supuestos en los que la Administración puede apreciar la necesidad de aplicar el cese previo de la actividad antes de empezar el procedimiento sancionador se ha incrementado respecto de la versión anterior del precepto, incluso en el caso de la seguridad pública, que pasa de una posible «actividad infractora» que pueda producir «perjuicios graves al funcionamiento de los servicios de seguridad pública, protección civil y de emergencias» al más extenso de «cuando exista una amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional». Así, este último supuesto se amplía sustancialmente, en el sentido de evolucionar de una afectación más precisa y acotada a determinados servicios públicos a un riesgo más genérico, más impreciso o más difundido, a pesar de la utilización, con similitud restrictiva, de la expresión de amenaza «inmediata y grave».
Por tanto, de manera objetiva, el régimen de las situaciones que justifican la adopción de medidas previas del artículo 81.1 LGTEL, más allá de la comparación con su redacción del año 2014, es en sí mismo destacablemente amplio, con la inserción de evidentes conceptos jurídicos indeterminados, los cuales, y ello es también relevante, se desvinculan del régimen del esquema normativo sancionador de la materia telecomunicaciones para situarse en el de las presuntas amenazas sistémicas: orden público, seguridad pública, salud pública, etc.
Esta caracterización de la norma, adopta especial relevancia para nuestra tarea examinadora cuando se conecta con la ausencia de previsión en su texto de determinadas garantías que son puntales en el régimen jurídico de protección en el ámbito del derecho administrativo de los derechos fundamentales previstos en la Constitución. Nos estamos refiriendo, como hemos indicado más arriba y también anteriormente en este fundamento jurídico, a que el artículo 81.1 LGTEL no recoge expresamente en su redacción la exigencia de que la adopción de medidas previas requiere necesariamente la motivación de la resolución que las acuerda o el propio trámite de audiencia del interesado.
Es cierto que el último párrafo del apartado 2 del artículo 81 LGTEL (que no se ha modificado por el Real decreto-ley) dice que en la resolución «se determinará el ámbito objetivo y temporal de la medida, sin que pueda exceder del plazo de un mes». Sin embargo, este inciso es insuficiente para cumplir, como veremos, las exigencias que requiere el contenido de la ley para habilitar una restricción legítima de los derechos y libertades de los ciudadanos por parte de la Administración pública. No consta en la norma la regla general de que la medida provisional de cese deba ser necesaria y proporcionada; tampoco que debería ser confirmada, levantada o modificada en el acuerdo de inicio del procedimiento si tiene lugar antes del plazo establecido de un mes. Igualmente, no se hace referencia al posible recurso de la resolución que se adopte y no se recoge la circunstancia de que la medida debería quedar sin efecto en caso de no iniciarse el procedimiento en el citado plazo o cuando el acuerdo de iniciación no contenga un expreso pronunciamiento sobre la misma. Finalmente, se echa en falta la cautela general de que no pueden acordarse cuando puedan causar un perjuicio de difícil o imposible reparación a los interesados o impliquen una violación de los derechos de los administrados.
A mayor abundamiento, cabe hacer una última consideración crítica sobre la exclusión expresa que efectúa el artículo 81.1 LGTEL de la audiencia en la tramitación de la medida provisional previa al inicio del procedimiento. Respecto a esta cuestión, es evidente que la audiencia del afectado por la medida es una garantía para el administrado que debería preservarse siempre que así fuera posible y como regla general, a fin de evitar la vulneración de los derechos de los interesados o que se puedan ocasionar perjuicios de difícil o imposible reparación. El hecho de que el precepto la descarte de manera sistemática y apriorística, presumiblemente por las mismas razones de imperiosa urgencia a la que se refiere, no debe impedir que este trámite se realice cuanto antes mejor, una vez adoptada la medida de suspensión y antes del inicio del procedimiento sancionador, a fin de valorar y, si procede, paliar los perjuicios que puede producir al destinatario de la medida. Si se inicia el procedimiento, resulta claro que deben aplicarse las reglas comunes de participación de los interesados, incluida la correspondiente al trámite de la audiencia (art. 82 LPACAP).
Como hemos reiterado, las medidas previas deben ser excepcionales y limitadas a casos en los que sea estrictamente necesaria su adopción para proteger un interés, derecho o bien de interés público que merece ser salvaguardado y que, de lo contrario, correría el riesgo de ser dañado o de desaparecer, debiendo consistir en una intervención eficaz y, al mismo tiempo, lo menos constrictiva posible en relación con los derechos y libertades de la persona afectada, la cual debe poder tener la capacidad de defenderse mediante el subsiguiente sistema de recursos administrativos y judiciales.
Pues bien, si volvemos al artículo 81.1 LGTEL, comprobamos que tanto respecto a los supuestos de justificación de la necesidad, a la falta de previsión explícita de garantías primordiales, como, por ejemplo, la motivación o la exclusión expresa de la audiencia, obtenemos la convicción de que la regulación del artículo 81.1 LGTEL sufre de graves defectos en cuanto a su calidad legislativa, de manera que se trata de una norma que, por su objeto de aplicación, es susceptible de restringir ilegítimamente derechos y libertades amparados constitucionalmente. Si a dicha situación le añadimos que la LGTEL es una norma con rango de ley, sectorial y que no figura entre la legislación a la que se le aplica con carácter supletorio el artículo 56 LPACAP, podemos llegar a la conclusión, o como mínimo se nos generan serias dudas, del todo razonables, de que el precepto que estamos examinando exonera de motivación la resolución mediante la que se adopten las medidas previas al procedimiento sancionador, así como de otras garantías que hemos visto que deberían acompañar a este tipo de medidas cautelares.
Sobre la objetividad en las actuaciones administrativas (art. 9.3 y 103 CE), el derecho a la presunción de inocencia y el derecho a la tutela judicial efectiva (art. 24 CE), debemos recordar que la jurisprudencia constitucional ha valorado con frecuencia el requisito esencial de la motivación como condición necesaria para escrutar el objetivo y proporcionalidad de una medida dictada por los poderes públicos y, así, poder descartar o, en su caso, apreciar, la arbitrariedad en el ejercicio de la potestad pública sometida al imperio de la ley.
De hecho, la doctrina constitucional ha declarado que las garantías procesales establecidas en el artículo 24 CE son aplicables también a los procedimientos administrativos sancionadores, habida cuenta de que son manifestación de la potestad punitiva del Estado, con las matizaciones que resulten de su propia naturaleza (STC 17/2009, de 26 de enero, FJ 2). Y, en el sentido expuesto, ha resaltado que una de dichas garantías es el deber de motivación que, cuando se trata de los actos de la Administración en el ejercicio de sus potestades sancionadoras, adquiere una dimensión constitucional, en la medida en que limitan o restringen el ejercicio de derechos fundamentales (STC 82/2009, de 23 de marzo, FJ 2). Según lo anterior, destaca que una motivación satisface las exigencias de la tutela judicial siempre que exteriorice los elementos de juicio sobre los que se basa la decisión y cuando de su fundamentación resulte una aplicación no irracional, no arbitraria o no manifiestamente errónea de la legalidad (STC 21/2008, de 31 de enero, FJ 3). Asimismo, ha declarado que la exigencia de que una resolución esté motivada permite su posterior control y, de este modo, se evita cualquier arbitrariedad (STC 140/2009, de 15 de junio, FJ 3).
Precisamente, es la motivación de la resolución el elemento que aporta la fundamentación de la justificación de la necesidad, es decir la conexión razonable entre causa (riesgo) y efecto (potencial daño), así como la proporcionalidad de la medida previa, consistente en la ponderación entre la eficacia o idoneidad de la acción acordada y el coste de proteger el derecho o interés que pretende asegurarse. Sin la explicitación de estos argumentos, apoyo cognitivo del derecho como expresión de la razón, difícilmente puede distinguirse entre discrecionalidad y arbitrariedad, y aún más difícil es garantizar el aparato de derechos y libertades de los ciudadanos sometidos al poder de policía de la Administración.
Sin embargo, y partiendo de la validez de los razonamientos que acabamos de exponer, somos conscientes de que alternativamente también podría realizarse, aunque entendemos que de manera forzada, una interpretación en el sentido de que el artículo 56 LPACAP podría ser de aplicación supletoria al artículo 81.1 LGTEL, dado el silencio que manifiesta el precepto en cuestión, pero lo cierto es que, como hemos indicado, las condiciones que evidencia su regulación nos mantienen firmes en nuestra conclusión negativa. Así, el hecho de que una norma con rango de ley, reformada con posterioridad a la LPACAP, y de carácter más sectorial, como es la LGTEL, prevea un procedimiento sancionador específico que incluye un trámite singular de medidas provisionales previas al inicio de las actuaciones administrativas sancionadoras, que guarda silencio sobre garantías tan primordiales como la motivación y que excluye expresamente el trámite de audiencia previa y no hace mención de su posterior sustanciación, a la vez que prevé un plazo propio y diferente para su levantamiento, más largo que el establecido en la normativa administrativa general (1 mes en lugar de 15 días), y que puede ser aplicado para constreñir derechos constitucionales, nos conduce a apreciar, de modo natural y razonable, la evidente insuficiencia, por no decir deficiencia, de su calidad normativa, que, en términos de técnica legislativa clara y previsible, es de difícil adecuación constitucional. Defender una interpretación de constitucionalidad, nos parece en todo caso un ejercicio tan esforzado como voluntarista, que no debería tener cabida ni puede ser válido cuando se trata de preceptos que limitan los derechos e intereses de los ciudadanos, sobre todo por parte de las autoridades gubernativas o administrativas, y al margen de un procedimiento con todas las debidas garantías. Y más aún tratándose de una medida de cese de la actividad, que anticipa un cierto carácter sancionador y que puede comportar graves perjuicios para los intereses de los afectados.
En conclusión, el apartado cinco del artículo 6 RDL 14/2019, de 31 de octubre, en la modificación que efectúa del apartado 1 del artículo 81 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, es inconstitucional porque adolece de unos defectos de calidad normativa, en lo referente a las condiciones de ejercicio de la potestad para dictar medidas previas al procedimiento sancionador en materia de telecomunicaciones, tanto respecto a la incorporación de las garantías de los ciudadanos como a la previsibilidad de su aplicación, que lo hacen incompatible con el principio de seguridad jurídica ex artículo 9.3 CE, así como con las exigencias de la jurisprudencia del Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos para las leyes que limitan derechos fundamentales, en este caso el derecho a la presunción de inocencia y a la tutela judicial efectiva aplicados al ámbito del derecho administrativo sancionador (art. 24 CE).
4. El artículo 6.dos RDL 14/2019 introduce un nuevo apartado 3 al artículo 6 LGTEL, en los siguientes términos:
«3. Las Administraciones Públicas deberán comunicar al Ministerio de Economía y Empresa todo proyecto de instalación o explotación de redes de comunicaciones electrónicas en régimen de autoprestación que haga uso del dominio público, tanto si dicha instalación o explotación vaya a realizarse de manera directa, a través de cualquier entidad o sociedad dependiente de ella o a través de cualquier entidad o sociedad a la que se le haya otorgado una concesión o habilitación al efecto.
El régimen de autoprestación en la instalación o explotación de dicha red puede ser total o parcial, y por tanto dicha comunicación deberá efectuarse aun cuando la capacidad excedentaria de la citada red pueda utilizarse para su explotación por terceros o para la prestación de servicios de comunicaciones electrónicas disponibles al público.
En el caso de que se utilice o esté previsto utilizar, directamente por la administración pública o por terceros, la capacidad excedentaria de estas redes de comunicaciones electrónicas en régimen de autoprestación, el Ministerio de Economía y Empresa verificará el cumplimiento de lo previsto en el artículo 9. A tal efecto, la administración pública deberá proporcionar al Ministerio de Economía y Empresa toda la información que le sea requerida a efecto de verificar dicho cumplimiento.
La obligación establecida en este apartado se entiende sin perjuicio de la prevista en el artículo 7.3 de esta ley.»
A) El análisis del precepto citado requiere que, en primer lugar, efectuemos una referencia previa al régimen de actuación de la Administración pública en el ámbito de las telecomunicaciones.
La LGTEL, como hemos visto, prevé dos tipos de intervenciones de las administraciones públicas en el ámbito de las comunicaciones electrónicas: por una parte, las actuaciones de explotación de redes y/o prestación de servicios de comunicaciones electrónicas a terceros y, por otra parte, las actuaciones en régimen de autoprestación.
En el primer supuesto, las administraciones públicas únicamente pueden actuar como operadores a través de entidades o sociedades controladas directa o indirectamente, cuyo objeto social incluya la instalación y explotación de redes o la prestación de servicios de comunicaciones electrónicas (art. 9.2 y 9.3 LGTEL). Dicha actividad de la Administración queda sujeta al régimen de la LGTEL, con el fin de garantizar la prestación de los servicios bajo condiciones de mercado y criterios de inversor privado, conforme a los principios de separación de cuentas, neutralidad, transparencia, no distorsión de la competencia y no discriminación, así como de cumplir con la normativa sobre ayudas de Estado, evitando de este modo que se produzcan perturbaciones de la competencia (apdo. III, párr. quinto preámbulo y art. 9 LGTEL). Antes de iniciar la actividad, se prevé la obligación de comunicación al Registro de operadores, que depende del Ministerio de Industria, Energía y Turismo (aunque su gestión corresponde transitoriamente a la Comisión Nacional de los Mercados y la Competencia ?en lo sucesivo, CNMC? según la disposición transitoria décima LGTEL), en el que se inscribirán los datos relativos al operador controlado directa o indirectamente por la Administración con carácter declarativo (art. 6.2 y 7 LGTEL y art. 5.4, 5.5, 7 y siguientes del Real decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios). Una vez realizada la notificación, el interesado adquiere la condición de operador y puede comenzar la prestación del servicio o la explotación de la red (art. 5.1 Real decreto 424/2005).
En el caso de autoprestación, objeto del presente análisis, la Administración pública puede desarrollar su actividad al margen del régimen general de libre competencia inherente a la explotación de redes y a la prestación de servicios de comunicaciones electrónicas (art. 5 LGTEL). No obstante, está obligada a notificar al Registro de operadores el proyecto de instalación o explotación de las redes de comunicaciones electrónicas que hagan uso del dominio público, tanto si dicha instalación o explotación se realiza de manera directa como a través de cualquier entidad o sociedad (art. 7.3 LGTEL). La citada comunicación únicamente debe referirse a los proyectos y no es objeto de inscripción en el Registro de operadores en la medida en que, como veremos en seguida, no se trata de una explotación de redes disponibles para el público en general (art. 6 LGTEL; art. 5.4 Real decreto 424/2005).
En cuanto al significado del término «autoprestación», la Comisión del Mercado de las Telecomunicaciones (actualmente integrada en la CNMC) ha precisado que se entiende como tal la explotación de redes y la prestación, por una administración pública, de servicios de comunicaciones electrónicas «para la satisfacción de sus necesidades, esto es, las vinculadas al desempeño de las funciones propias del personal al servicio de la Administración Pública de que se trate y que contribuyan al cumplimiento de los fines que le son propios» (art. 3.1 Circular 1/2010, de 15 de junio de 2010, por la que se establecen las condiciones para la explotación de redes y la prestación de servicios de comunicaciones electrónicas por las administraciones públicas). En el presente supuesto se incluyen los centros de educación o formación de enseñanza reglada, a saber, escuelas, institutos, colegios y centros universitarios así como el área de sus campus, entendiendo que tanto alumnos como profesores forman parte del personal indispensable para el desarrollo de las tareas del centro (art. 3.2 Circular 1/2010). Se asimilan a la autoprestación, entre otros, el servicio de acceso a internet limitado a las páginas web de las administraciones que tengan competencias en el ámbito territorial en las que se preste dicho servicio, el servicio general de acceso a internet en bibliotecas (anexo Circular 1/2010) y las actividades que no se consideran dirigidas al público en general, como el acceso a internet en museos, mercados u hospitales públicos (Acuerdo CNMC de 13 de febrero de 2019, CNS/DTSA/131/19, con cita de varios acuerdos de la Sala de Supervisión Regulatoria del organismo).
Dicho esto, cabe puntualizar que en los supuestos en los que la red tenga capacidad excedentaria y se utilice la misma infraestructura para prestar servicios mayoristas o minoristas a terceros, la Administración pública tiene la consideración, en cuanto a los mismos, de explotadora de redes o prestadora de servicios de comunicaciones electrónicas a terceros y, por consiguiente, queda sujeta al régimen para la explotación de redes y la prestación de servicios de comunicaciones electrónicas por las administraciones públicas que prevé la Circular 1/2010 (art. 3.3).
El artículo 6.3 LGTEL, según redacción dada por el Real decreto-ley objeto de dictamen, incorpora al régimen de autoprestación un nuevo deber de comunicar al Ministerio de Economía y Empresa el proyecto de instalación o explotación de redes en régimen de autoprestación que hagan uso del dominio público, tanto si la actividad se realiza de forma directa como indirecta, deber que se añade a la obligación de notificación al Registro de operadores que ya hemos visto que prevé el artículo 7.3 LGTEL (primer párr.). Asimismo, dispone que en caso de que la citada red de comunicaciones electrónicas en régimen de autoprestación tenga capacidad excedentaria y se utilice o esté previsto que se use, directamente por la Administración pública o por terceros, el Ministerio verifique el cumplimiento de las exigencias del artículo 9 LGTEL. Esto es, si se respetan o no las normas aplicables a la explotación de redes y la prestación de servicios de comunicaciones electrónicas en régimen de prestación a terceros por parte de las administraciones públicas y, por lo tanto, a través de operadores controlados por estas. De forma complementaria, se añade que la Administración pública afectada «deberá proporcionar al Ministerio de Economía y Empresa toda la información que le sea requerida a efecto de verificar dicho cumplimiento» (tercer párr.).
Adicionalmente, las administraciones públicas deben comunicar al Ministerio de Economía y Empresa, en el plazo de un mes desde la entrada en vigor del Real decreto-ley, las redes de comunicaciones electrónicas en régimen de autoprestación que utilicen el dominio público a las que se refiere el artículo 6.3 LGTEL, y que hayan sido instaladas o estén en proceso de instalación o explotación (disp. ad. única RDL).
B) El peticionario cuestiona desde una perspectiva competencial el nuevo artículo 6.3 LGTEL y, más concretamente, la facultad «de intervención y control preventivo» mediante la «técnica de la comunicación» que reconoce a la Administración general del Estado, entendiendo que podría constituir una extralimitación de la competencia estatal del artículo 149.1.21 CE y una invasión de la competencia de la Generalitat reconocida en el artículo 140.7 EAC, particularmente en cuanto a la competencia ejecutiva sobre la promoción de la existencia de un conjunto mínimo de servicios de acceso universal.
Para dar respuesta a la solicitud, y efectuadas las consideraciones anteriores, debemos encuadrar competencialmente los preceptos dictaminados y determinar si el Estado está legitimado para su adopción de conformidad con el bloque de la constitucionalidad.
La disposición final primera RDL 14/2019 identifica como título competencial habilitante del artículo 6 la competencia estatal del artículo 149.1.21 CE en materia de régimen general de comunicaciones.
A la vista de su contenido y finalidad, el artículo 6.3 LGTEL y la disposición adicional única RDL 14/2019 inciden efectivamente en el régimen de explotación de las redes y de prestación de los servicios de comunicaciones electrónicas, inserido en la materia del régimen general de comunicaciones (STC 8/2012, FJ 7), sobre la que, como hemos visto, corresponde al Estado ex artículo 149.1.21 CE la totalidad de la competencia normativa e incluso la función ejecutiva necesaria para configurar un sistema materialmente unitario.
Dicho título comprende, en lo que ahora interesa, la regulación de la competencia en el mercado y las obligaciones de hacer y de no hacer de los operadores del sector (STC 8/2016, de 21 de enero, FJ 2). Y, por consiguiente, en palabras del Tribunal Constitucional, el Estado, en ejercicio de su competencia del artículo 149.1.21 CE, «ha decidido caracterizar [el sector] como un sector abierto a la libre competencia cuyas particulares características, sin embargo, determinan no solo una regulación más intensa por parte de los poderes públicos, sino también la posibilidad de establecer excepciones a aquel principio cuando sea necesario para alcanzar determinados objetivos [?]. Y es también la Administración del Estado la que define los servicios cuya prestación por los poderes públicos no supone una distorsión de la libre competencia del sector, bien por tratarse de una autoprestación bien porque, aun prestándose de forma gratuita e ininterrumpida por el poder público, se entiende que no alteran la estructura del mercado» (STC 8/2016, FJ 6).
Una vez determinada la inserción del artículo 6.dos RDL 14/2019 en la materia del régimen general de las comunicaciones, se ha de averiguar si dicha competencia admite el establecimiento de un deber de comunicación a la Administración del Estado de los proyectos relativos a redes de comunicaciones electrónicas en régimen de autoprestación que hagan uso del dominio público. Una comunicación que, en última instancia, le permite verificar el cumplimiento de los requisitos para el uso de la capacidad excedentaria de estas redes, los cuales tienen como finalidad salvaguardar los principios de inversor privado, neutralidad, transparencia, no distorsión de la competencia y no discriminación propios de un mercado liberalizado como es el de las telecomunicaciones, pero con fuerte intervención pública, según hemos señalado al principio de este fundamento jurídico (arts. 107 y 108 TFUE y art. 9 LGTEL).
A los efectos del presente Dictamen, cabe recordar que la LGTEL, además de la comunicación al Registro del artículo 7.3, ya prevé mecanismos de suministro de información al Estado por parte de las personas físicas o jurídicas que explotan redes o prestan servicios de comunicaciones electrónicas y agentes que intervienen en el mercado a petición de las autoridades nacionales de reglamentación de telecomunicaciones (art. 10), es decir, el Gobierno, los órganos superiores y directivos del Ministerio de Industria, Energía y Turismo y del Ministerio de Economía y Competitividad competentes y la CNMC (art. 68). La Ley dedica también su título VIII a la regulación de las potestades de inspección y sanción en la materia.
Pese al citado marco (art. 7.3 y 10 LGTEL), el Real decreto-ley 14/2019 impone ahora nuevas obligaciones a las administraciones públicas: la comunicación al Ministerio del proyecto de instalación o explotación de redes en régimen de autoprestación que «vaya a efectuarse de manera directa» o indirecta y la obligación de suministro de información «[e]n el caso de que se utilice o esté previsto utilizar» la capacidad excedentaria de dichas redes, en el último caso, con objeto de que la Administración estatal verifique el cumplimiento de los requisitos previstos en el artículo 9 LGTEL.
Ahora bien, este régimen de control específico no está suficientemente explicitado por el legislador estatal, puesto que el precepto no concreta los aspectos procedimentales ni los efectos de la comunicación o verificación realizada por la Administración del Estado, siendo por lo tanto inciertas cuáles serían las consecuencias del incumplimiento o cumplimiento defectuoso por parte del operador/Administración pública, a criterio de aquella, de los requisitos previstos en el artículo 9 LGTEL.
En consecuencia, se plantea la pregunta primordial consistente en determinar cuál es el motivo de esta doble comunicación y de una facultad de verificación añadida que incorpora de nuevo el Real decreto-ley 14/2019. Y, si bien no se deduce inmediatamente del texto del precepto, la respuesta sí que podría desprenderse del preámbulo de la norma.
Así, este último justifica el artículo 6 y las reformas que impulsa de la LGTEL «para afrontar situaciones que pueden afectar al mantenimiento del orden público, la seguridad pública o la seguridad nacional». En concreto, respecto a los artículos 4.6 y 6.3 LGTEL, alega que los modifica para reforzar las potestades del Ministerio de Economía y Empresa de cara a un mayor control y mejorar «sus posibilidades de actuación cuando la comisión de una presunta actuación infractora a través del uso de las redes y servicios de comunicaciones electrónicas pueda suponer una amenaza grave e inmediata para el orden público, la seguridad pública o la seguridad nacional o cuando en determinados supuestos excepcionales que también puedan comprometer el orden público, la seguridad pública y la seguridad nacional sea necesaria la asunción de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas» (apdo. II, párr. vigésimo quinto preámbulo RDL 14/2019).
Dicha afirmación, como manifestación de los objetivos perseguidos por el legislador estatal, nos conecta necesariamente con el artículo 4.6 LGTEL, que hemos analizado en este mismo fundamento jurídico y evidencia, consiguientemente, su carácter instrumental: los mecanismos previstos en la nueva versión del artículo 6.3 LGTEL, de doble comunicación y de potestad de verificación estatal, tienen como objetivo contribuir a la obtención de información relevante para la activación de la facultad de «intervención» gubernamental en las redes de comunicaciones electrónicas.
En cuanto a los razonamientos sobre la falta de calidad normativa vinculada a dicha capacidad genérica e indeterminada de injerencia administrativa, nos remiten a lo ya expuesto, y a efectos del presente análisis nos basta con recordar que la facultad de «intervención» amparada en los supuestos habilitantes de la seguridad pública y el orden público, desvinculada del régimen de la contratación administrativa (a diferencia de la versión de la LGTEL de 2014 que la situaba en este marco legal) y sin prever ninguna autorización judicial, es incompatible con las garantías normativas exigibles a toda ley que pueda afectar a derechos y libertades constitucionales.
Por consiguiente, consideramos que si el artículo 6.3 LGTEL que examinamos se aplicara en el sentido de utilizar los mecanismos que prevé (el deber de comunicación y la función de supervisión) de forma mediata o subordinada en relación con el artículo 4.6 LGTEL, estaría actuando de manera espuria respecto a su contenido objetivo. Y, en consecuencia, dicha práctica no sería legítima ni ajustada al sentido literal de su configuración ni al contexto normativo que conforma el conjunto de la LGTEL.
Sobre el supuesto de la asunción transitoria de la gestión directa por parte del Estado, también en el mismo sentido en el que hemos resuelto el artículo 4.6 LGTEL, no apreciamos reproche de inconstitucionalidad alguno, puesto que permite una interpretación vinculada a la garantía de la prestación de los servicios de telecomunicaciones, por su condición de servicio de interés general económico y servicio universal, en situaciones acotadas por la norma; es decir, situaciones excepcionales en las que resulten afectadas la seguridad pública y la seguridad nacional. Por tanto, con carácter ordinario, la Generalitat de Cataluña puede adoptar las medidas que considere adecuadas para garantizar la prestación de los servicios y las redes de comunicación electrónicas que sean de su competencia (art. 140.7 EAC).
En conclusión, el apartado tres del artículo 6 y la disposición adicional única RDL 14/2019, pese a que puede interpretarse que manifiestan una conexión instrumental con el artículo 4.6 LGTEL, según se desprende del preámbulo, y que su contenido resulta superfluo o innecesario teniendo en cuenta las facultades de obtención de información y control que la LGTEL, en sus diversos ámbitos, atribuye al Estado, por sí solos y en los términos en que están redactados no evidencian tacha de inconstitucionalidad respecto a la distribución de competencias entre el Estado y la Generalitat ex artículos 149.1.21 CE y 140.7 EAC.
5. El artículo 7 RDL 14/2019 introduce un nuevo apartado 3 al artículo 11 del Real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que establece:
«3. El Centro Criptológico Nacional (CCN) ejercerá la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) en materia de seguridad de las redes y sistemas de información del sector público comprendido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Los CSIRT de las Administraciones Públicas consultarán, cuando proceda, con los órganos con competencias en materia de seguridad nacional, seguridad pública, seguridad ciudadana y protección de datos de carácter personal y colaborarán con ellos en el ejercicio de sus respectivas funciones.
El CCN ejercerá la función de enlace para garantizar la cooperación transfronteriza de los CSIRT de las Administraciones Públicas con los CSIRT internacionales, en la respuesta a los incidentes y gestión de riesgos de seguridad que les correspondan.»
A) Antes de delimitar el parámetro aplicable a la norma, debemos precisar el objeto y finalidad del apartado 3 del artículo 11 del Real decreto 12/2018, así como su contexto y marco normativo, configurado por normas europeas, estatales y autonómicas.
Respecto al marco europeo donde se inserta principalmente el artículo examinado, cabe mencionar la Directiva 2016/1148, de 6 de julio de 2016, del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS, por las siglas Network and Information Systems), la cual, ante niveles de seguridad fragmentados dentro de la Unión, tiene por objeto alcanzar dicho nivel mínimo e igual para todos los estados miembros. Y lo anterior, por un lado, porque las redes y sistemas de información, sobre todo internet, contribuyen de manera decisiva al desarrollo de las actividades sociales y económicas y del mercado interior, y por otro, por la constatación de la magnitud, frecuencia y efectos de los incidentes de ciberseguridad que, con independencia del lugar donde se produzcan, pueden afectar a diferentes estados miembros y a la Unión en su conjunto, dado el carácter transversal de las redes y sistemas (considerandos 2, 3 y 5 y art. 1).
A fin de dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información, la citada norma europea contiene un planteamiento global que integra requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad aplicables a los operadores de servicios esenciales (que son los que identifican a los estados miembros, y están vinculados con infraestructuras) y a los operadores de servicios digitales (que son los que tienen carácter transfronterizo y por este motivo se someten a un régimen de armonización máxima) (considerando 6 y arts. 5 y 16). Cabe decir que la Directiva NIS solo resulta aplicable a las administraciones públicas cuando hayan sido identificadas como operadores de servicios esenciales. De esta forma, respecto al resto de las redes y sistemas de información de las administraciones públicas, declara que corresponde a los estados la responsabilidad de garantizar su seguridad (considerando 45).
En definitiva, se trata de preservar la seguridad de las redes y sistemas de información evitando toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios ofrecidos por estas redes y sistemas de información o accesibles a través de ellos (art. 4.2). Entre las medidas de prevención, detección, respuesta y mitigación de los incidentes y posibles riesgos, destaca la obligación de designar en cada estado una o más autoridades públicas competentes en materia de seguridad de las redes y sistemas (art. 8.1), así como la creación de una red de equipos de respuesta a incidentes de ciberseguridad informática o CSIRT, que son los que reciben las notificaciones de los incidentes de seguridad (considerando 32 y art. 9). Los estados miembros deben asegurarse de que disponen de CSIRT que funcionen adecuadamente y con capacidad para hacer frente a los incidentes y riesgos y deben velar por una cooperación eficaz a nivel de la Unión. Adicionalmente, tienen que garantizar que todos los operadores se encuentren cubiertos por un CSIRT designado (considerando 34 y art. 9.1). Y, puesto que la mayor parte de las redes y sistemas de información son de gestión privada, la Directiva considera de vital importancia la cooperación de este sector con el sector público y anima a los primeros a crear sus propios mecanismos de cooperación informal (considerando 35).
Además, cada Estado miembro ha de designar un punto de contacto único en materia de seguridad de las redes y sistemas de información (art. 8.3). Dicho punto de contacto actuará de enlace para garantizar la cooperación transfronteriza entre las autoridades de los estados miembros, con las autoridades competentes en los otros estados miembros y con el grupo de cooperación (formado por representantes de estados miembros, la Comisión y ENISA), encargado de dar apoyo y facilitar la cooperación estratégica e intercambio de información entre los estados miembros y desarrollar confianza y seguridad, y la red de CSIRT nacionales (art. 8.4)
Esta red de CSIRT nacionales, creada por la Directiva 2016/1148 con funciones de intercambio de información, apoyo y asistencia mutua, cooperación operativa y sede de debate y análisis, está formada por representantes de los CSIRT de los estados miembros, por la Comisión, que participa en calidad de observador, y por ENISA, que se hace cargo de la secretaría, promoviendo activamente la cooperación entre los CSIRT (art. 12).
Visto lo anterior, resulta claro que son pilares básicos de la regulación europea en el ámbito que nos ocupa los mecanismos de cooperación y colaboración, tanto a nivel estatal como europeo e internacional, y el sistema de notificación de incidentes. En concreto, cuando en un mismo estado sean órganos distintos la autoridad pública competente, el punto de contacto único y los CSIRT, estos deberán cooperar entre ellos respecto al cumplimiento de las obligaciones establecidas en la Directiva, así como los dos primeros deberán informar a los últimos sobre las notificaciones de los incidentes de seguridad objeto de dicha regulación (art. 10.1 y .3).
Cabe señalar que la red de CSIRT, creada por la Directiva 2016/1148, también ejerce funciones de apoyo, asistencia, asesoramiento y colaboración a las administraciones públicas para combatir riesgos e incidentes de seguridad y velar por la integridad y disponibilidad de las redes de comunicaciones electrónicas públicas, aunque, como hemos visto, aquellas no están incluidas en su ámbito de aplicación específico [así lo dispone la Directiva (UE) 2018/1972, del Código europeo de comunicaciones electrónicas, en su considerando 98]. En otro orden de cosas, sobre denuncias que pueden contribuir a la revelación de infracciones de la Directiva NIS, podemos citar la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019.
En el ámbito estatal, hay que hacer mención del Real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, modificado por la norma objeto del Dictamen, que ha traspuesto el contenido de la Directiva 2016/1148, si bien con un ámbito de aplicación subjetivo más amplio con el fin de alcanzar un enfoque global (art. 2). Para garantizar la citada seguridad, el Real decreto-ley 12/2018 establece un sistema de notificación de incidentes y un marco institucional de coordinación entre autoridades competentes y con los órganos de cooperación relevantes del ámbito comunitario (art. 1). En este sentido, designa cuáles son las autoridades competentes (art. 9) y desarrolla a nivel estatal la red CSIRT creada por la Directiva, definiendo a dichos organismos como los equipos de respuesta a incidentes que analizan riesgos y supervisan incidentes a nivel estatal, difunden alertas sobre dichos incidentes y aportan soluciones para mitigar sus efectos (arts. 11 y 12). Cabe decir que el legislador declara haber optado por el término CSIRT, que es el comúnmente utilizado en Europa, en lugar del término CERT (Computer Emergency Response Team), registrado en los EE.UU.
En cuanto al punto de contacto único exigido por la Directiva NIS, se atribuye dicha función al Consejo de Seguridad Nacional (art. 13). A efectos del presente Dictamen, hay que decir que el RDL 12/2018 declara que tiene la condición de CSIRT de referencia en materia de seguridad de las redes y sistemas de información respecto de la comunidad constituida por las entidades públicas incluidas en la LRJSP el Centro Criptológico Nacional (CCN-CERT) (art. 11.1.a.1), que fue creado por el Real decreto 421/2004, de 12 de marzo, adscrito al Centro Nacional de Inteligencia (Ley 11/2002, de 6 de mayo). Este organismo se configura como una línea de defensa frente a los ciberataques, asumiendo la responsabilidad en ciberataques sobre sistemas clasificados, así como de las administraciones públicas y empresas y organizaciones de interés estratégico. Su misión es reducir los riesgos y amenazas provenientes del ciberespacio, potenciando las acciones no únicamente defensivas sino primordialmente preventivas, correctivas y de contención, ofreciendo servicio tanto a las administraciones públicas como a las empresas de interés estratégico, como, por ejemplo, el «Servicio de Alerta Temprana», y el desarrollo de diferentes herramientas, como las APT (Advanced Persistent Threat) y la Lista de coordinación de incidentes y amenazas, el «Informe Nacional del Estado de Seguridad», el «Motor de análisis remoto de troyanos avanzado», las guías CCN-STIC o los centros de seguridad.
Los CSIRT y/o los CERT que, como hemos señalado, son el grupo de expertos responsables del desarrollo de las medidas preventivas y reactivas ante incidentes de seguridad en los sistemas de información, pueden ser públicos o privados. En el supuesto de que una organización no tenga su propio equipo de respuesta puede informar de incidentes a los CSIRT o CERT públicos, lo que ayuda a asegurar su diagnóstico y a prever incidentes futuros.
Otras normas relacionadas con el tema de la seguridad en las redes de comunicación y sistemas de información son la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y el Esquema Nacional de Ciberseguridad 2019, publicado por la Orden PCI/487/2019, de 26 de abril, y aprobado por el Consejo de Seguridad Nacional.
En el ámbito autonómico, cabe destacar la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, que atribuye a esta autoridad pública la misión de garantizar la ciberseguridad, entendida como la seguridad de las redes de comunicaciones electrónicas y de los sistemas de información (art. 2.1). Asimismo, ejerce las funciones de equipo de respuesta a emergencias (CERT), incluyendo la de relación con otros organismos de ciberseguridad estatales e internacionales, y la de coordinación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito territorial. Además, le corresponde ejercer las citadas funciones como equipo de respuesta a emergencias del Gobierno (art. 2.4.c); colaborar con los organismos judiciales y policiales conforme a lo establecido por la normativa vigente, y, en especial, se coordina con los cuerpos policiales para la ciberseguridad y protección de los sistemas de información, de acuerdo con las competencias que tienen reconocidas en la materia (art. 2.6).
Cabe decir que la citada Ley 15/2017 ha sido objeto de pronunciamiento por el Tribunal Constitucional en la STC 142/2018, a la que ya hemos hecho referencia en el fundamento jurídico tercero y volveremos a tratar más adelante. Puede anticiparse, no obstante, que la mencionada Resolución ha avalado su creación y sus funciones con carácter general, si bien las ha circunscrito al ámbito de Cataluña, entendiendo que se dirigen a proteger y mejorar la seguridad de las redes y a alertar ante la existencia de ciberamenazas relacionadas con la Administración de la Generalitat y sus sistemas de información y comunicaciones propios, así como los de los particulares y otras administraciones públicas que se relacionen con ella por medios electrónicos (FJ 7).
En este sector, recientemente, se ha aprobado la Estrategia de Ciberseguridad de la Generalitat de Cataluña para el periodo 2019-2022, que define la estrategia a seguir por esta última a lo largo de este periodo en materia de ciberseguridad y en el ámbito de las administraciones públicas de Cataluña, su sector público, la ciudadanía y aquellas entidades que, en cuestiones de relaciones administrativas y/o comerciales, tratan la información, activos o infraestructuras TIC titularidad de la Generalitat de Cataluña. En el citado documento se confirma la Agencia de Ciberseguridad de Cataluña (en lo sucesivo, ACC) como el principal organismo público competente en este ámbito de actuación.
Por último, más allá de la normativa europea, estatal y autonómica, cabe hacer énfasis en que el bien a proteger es la propia respuesta a los incidentes de seguridad informática de tal manera que actores públicos y privados relacionados con la ciberseguridad se encuentren en lo que se ha llamado Information Sharing, concepto centrado en el procedimiento que permite recopilar, almacenar y distribuir la información necesaria para actuar de forma homogénea, rápida y eficaz contra las ciberamenazas.
B) Una vez descrito a grandes rasgos el panorama normativo actual, dilucidaremos la distribución constitucional y estatutaria de competencias aplicable a la materia objeto de examen, teniendo en cuenta que, como es sabido, la trasposición al ordenamiento interno del derecho europeo debe respetar en todo caso dicha distribución competencial.
La disposición final primera del Real decreto-ley declara que su artículo 7 se ha dictado al amparo de las competencias estatales sobre régimen general de las telecomunicaciones y seguridad pública, previstas en el artículo 149.1 CE, apartados 21 y 29, respectivamente.
El solicitante, citando doctrina constitucional (STC 142/2018, de 20 de diciembre), recuerda que la Generalitat es competente, «como administración electrónica y en cumplimiento de la legislación estatal, para la adopción de las medidas dirigidas a proteger las redes, sistemas de información e infraestructuras tecnológicas de la Administración de la Generalitat y su sector público y de los particulares y otras administraciones públicas que se relacionen con ella por medios electrónicos». Y, en concreto, afirma que «[l]as nuevas previsiones de coordinación del artículo 7 RDL 14/2019, además de incidir en los ámbitos competenciales de la Generalitat desplazando su competencia en la materia, también podrían considerarse desproporcionadas, visto lo previsto en la Directiva (UE) 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, donde uno de los objetivos reconocidos es la contribución y el desarrollo de la confianza y seguridad entre Estados».
La norma objeto de dictamen, transcrita al inicio de este apartado, atribuye al Centro Criptológico Nacional (CCN) la coordinación estatal de todas las autoridades o equipos de respuesta a incidentes de seguridad informática (CSIRT) en materia de seguridad de las redes y sistemas de información. Adicionalmente, obliga a todos los CSIRT de las administraciones públicas a colaborar en el ejercicio de las funciones respectivas y a consultar, cuando proceda, a los órganos con competencias en materia de seguridad nacional, seguridad pública, seguridad ciudadana y protección de datos de carácter personal. Finalmente, atribuye al CCN la función de enlace para garantizar la cooperación transfronteriza de los CSIRT de las administraciones públicas con los CSIRT internacionales, cuando se trate de la respuesta a los incidentes y la gestión de los riesgos de seguridad que les corresponden.
Visto lo anterior, está claro que el precepto objeto de dictamen, por su contenido y finalidad, se insiere en el ámbito de las competencias sobre ciberseguridad, al que nos hemos referido en este mismo fundamento jurídico y en el fundamento jurídico tercero del presente Dictamen. Y lo hemos hecho tomando como punto de partida lo que expusimos profusamente en nuestro Dictamen 5/2017 (FJ 2 y 3).
A modo de síntesis, recordaremos algunos de nuestros razonamientos allí expuestos. Así, pusimos de manifiesto la importancia de la seguridad en las diversas operaciones que tienen lugar en el ciberespacio, y precisamos que los llamados ciberataques son acciones que comprometen la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, la degradación o la destrucción de los sistemas de información y telecomunicaciones o de las infraestructuras que les dan apoyo. En este sentido, señalamos que la «ciberseguridad» tiene varias acepciones: por una parte, presenta un aspecto directamente relacionado con la autoprotección de la Administración de la Generalitat, que tiene como finalidad última prevenir las amenazas y vulnerabilidades inherentes a sus redes interdependientes e infraestructuras de la información, tanto internamente como en sus relaciones con los administrados y con otras administraciones o entidades públicas.
Recordemos que la Generalitat tiene competencias para la organización, diseño, creación y mantenimiento de los servicios de administración electrónica, ya que este es un aspecto fundamental de la potestad de autoorganización que es inherente a la autonomía (arts. 150 y 159.1 EAC), así como tiene atribuidas funciones ejecutivas para la implementación de la convergencia tecnológica y la sociedad digital, y la protección de las redes y sistemas de información de la Administración catalana y su sector público, tanto los propios como los de los particulares y los de otras administraciones que se relacionan con ella por medios electrónicos. Desde esta perspectiva, la Generalitat puede adoptar todo el abanico de medidas de protección de la seguridad, de carácter ordinario y preventivo que considere necesarias, como también las que requiera el restablecimiento de la normalidad de los sistemas (art. 140.7 EAC).
Y, por otra parte, comprende cuestiones, igualmente relevantes, que inciden en ámbitos conectados a las telecomunicaciones y el régimen general de comunicaciones, la defensa y la seguridad pública (art. 149.1.4, .21 y .29 CE y art. 140.7 y 164 EAC) (DCGE 5/2017, FJ 2). De este modo, se identifican con la defensa militar y la seguridad nacional aquellos supuestos de más gravedad, urgencia y mayor dimensión, que pueden afectar a la prestación de los servicios esenciales para la ciudadanía y la convivencia social básica, y se conectan con la seguridad pública los que traten de la protección de determinadas infraestructuras de telecomunicaciones o de la investigación, prevención y persecución de delitos. Y, finalmente, tienen relación con las telecomunicaciones los que se proyectan sobre aspectos más técnicos que permitan asegurar el despliegue y la efectividad de las redes y, en general, de las tecnologías de la información (DCGE 5/2017, FJ 2 y 3).
Por su parte, también respecto del encuadre competencial de la materia de ciberseguridad como sinónimo de seguridad en la red, el Tribunal Constitucional, en la antes citada STC 142/2018, ha razonado que no existe un título competencial autonómico específico respecto de la materia «ciberseguridad», y que «debe partirse del carácter transversal e interconectado de las tecnologías de la información y las comunicaciones y de su conceptuación como conjunto de mecanismos dirigidos a la protección de las infraestructuras informáticas y de la información digital que albergan los sistemas interconectados. Componente tuitivo al que se ha aludido ya y que determina que las cuestiones discutidas en el presente recurso deban resolverse a partir de su encuadramiento material en el ámbito de la seguridad pública en relación con las telecomunicaciones y la seguridad nacional» (FJ 5).
Consiguientemente, tal como hemos indicado en el presente fundamento jurídico, el Estado está habilitado para legislar sobre el régimen general de comunicaciones (art. 149.1.21 CE) en relación con la protección de la seguridad pública (art. 149.1.29 CE). Más aún, confrontando la seguridad nacional con la ciberseguridad, permanece el vínculo establecido entre las competencias de telecomunicaciones y la seguridad nacional (STC 142/2018, FJ 4 a 6).
Finalmente, en ese mismo pronunciamiento, el Tribunal ha declarado que corresponde a la Generalitat «adoptar medidas en materia de ciberseguridad en tanto en cuanto se aplican a las relaciones que tiene con sus administrados y con otras administraciones, así como respecto de las infraestructuras tecnológicas, que pertenezcan a la estructura de la Administración de la Generalitat y a su sector público» (FJ 4). Y refiriéndose a la ACC, ha reconocido que la potestad de autoprotección comprende, entre otras, las funciones «dirigidas a prevenir y mitigar los efectos de los ciberataques [?], para lo que ha de ejercer las funciones de análisis, investigación y respuesta necesarios para restablecer sus propios servicios y garantizar su seguridad». Y que, por otra parte, dicha función «solo se lleva a cabo respecto de los sistemas de información, servicios de tecnologías de la información y la comunicación ?en los que la Agencia intervenga por razón de su competencia?»; es decir, como reitera a lo largo de su pronunciamiento, en relación con la protección exclusivamente de los sistemas de información y comunicación de la Administración de la Generalitat y su sector público (FJ 7).
Por lo que ahora interesa, la citada ACC, creada al amparo de las competencias de autoorganización y provisión de los medios necesarios para el ejercicio de las funciones de la administración electrónica (arts. 150 y 159.1 EAC), tiene atribuidas las funciones de equipo de respuesta a emergencias (CERT) competente en Cataluña, incluyendo la relación con otros organismos de ciberseguridad nacionales e internacionales, y la coordinación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito territorial (art. 2.4.c Ley 15/2017). Sobre esta cuestión, en el Dictamen tantas veces citado dijimos que la ACC ejercerá las citadas funciones en el ámbito de las competencias de la Administración de la Generalitat, con los efectos territoriales que prevé el artículo 115 EAC. Por tanto, es competente en Cataluña como equipo de respuesta a las emergencias que se produzcan, respetando siempre las facultades de otros organismos estatales y supraestatales o internacionales, cuando estén habilitados competencialmente para actuar en el territorio de Cataluña (este podría ser el caso, por ejemplo, del CCN-CERT, INCIBE-CERT o CERT-EU).
Y asimismo, «en cuanto a la atribución de la función de ?coordinación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito territorial?, debe entenderse que únicamente puede ser ejercida en el marco de sus competencias estatutariamente asumidas. Es decir, en relación con los equipos de respuesta a ciberincidentes o a emergencias de la Administración de la Generalitat y su sector público, creados en los diferentes ámbitos sectoriales y que afecten a las personas físicas y jurídicas sobre las que puede actuar la ACC» (DCGE 5/2017, FJ 3).
Llegados a este punto, hay que recuperar la idea de coordinación que preside todo el entramado de mecanismos orgánicos y funcionales establecidos para la prevención y respuesta a los incidentes de ciberseguridad de las redes. Sobre esta cuestión, cabe recordar que la «coordinación, en general, permite al Estado configurar una instancia o un procedimiento de participación o bien establecer unos criterios de decisión que vinculan a las comunidades autónomas, con el fin de alcanzar una orientación coherente en el ejercicio de las respectivas competencias, pero no puede sustituir la decisión que corresponde a cada una de las partes. El Tribunal Constitucional ha rechazado sistemáticamente que el Estado pueda adoptar las decisiones de carácter sustancial, y ha vinculado la coordinación a la fijación de medios y sistemas de relación que hagan posible la información recíproca, una cierta homogeneidad técnica y la acción conjunta de las autoridades (STC 148/2000, de 1 de junio, FJ 13.d), lo que se conoce como concepto adjetivo o procesal de coordinación» (DCGE 15/2012, de 20 de noviembre, FJ 2).
Respecto al principio de colaboración entre administraciones públicas para el ejercicio de las competencias respectivas en un determinado ámbito de actuación, cabe decir también, a modo de recordatorio, que las fórmulas racionales de actuación conjunta (de cooperación, consulta, participación, concertación o acuerdo) son fundamentales para la efectividad de dicho principio, que es inherente y consustancial al Estado autonómico, pero «no pueden servir para eludir responsabilidades propias ni para ejercer las competencias que el sistema constitucional ha atribuido a otras administraciones» (por todas, STC 132/2018, de 13 de diciembre, FJ 10, y 53/2017, de 11 de mayo, FJ 16).
En los términos expuestos, y puesto que no se desprende lo contrario de los párrafos primero y segundo del nuevo apartado 3 del artículo 7 RDL 13/2018, ninguna objeción puede realizarse a la función de coordinación de los CSIRT a nivel estatal atribuida al CCN, como tampoco al mandato, dirigido indistintamente a los equipos de respuesta a incidentes de ciberseguridad (CSIRT) de todas las administraciones públicas, de consultar a los órganos con competencias específicas en materia de seguridad nacional, seguridad pública, seguridad ciudadana y protección de datos de carácter personal y de colaborar con ellos en el ejercicio de las funciones atribuidas a cada uno.
En cuanto a la función de enlace, también atribuida al CCN por el tercer y último párrafo del mismo artículo 7.3, resulta de la transposición de la Directiva NIS que, como hemos anticipado, exige a cada Estado miembro la designación de un único punto de contacto en materia de seguridad de las redes y sistemas de información para garantizar la cooperación transfronteriza entre las autoridades de los estados miembros y con las autoridades competentes en otros estados miembros y con el grupo de cooperación y la red de CSIRT (art. 8, apdos. 3 y 4). Además, los estados miembros deben velar para que los puntos de contacto único dispongan de recursos adecuados para ejercer sus funciones de forma eficiente y efectiva y cumplan así con los objetivos establecidos por la Directiva NIS (art. 8, apdo. 5). En caso de que proceda, tanto los puntos de contacto único como las autoridades competentes de los estados, de conformidad con el derecho interno, consultarán a las autoridades policiales competentes y a las autoridades responsables de la protección de datos y cooperarán con ellas (art. 8, apdo. 6). Por último, los estados miembros notificarán sin dilación a la Comisión el punto de contacto único, la cual publicará la lista de todos los designados (art. 8, apdo. 7).
Sobre las relaciones de la Generalitat con la Unión Europea, cabe recordar que, con carácter general, la Generalitat participa, en los términos que establezcan el Estatuto y la legislación del Estado, en los asuntos con los que tenga relación, que afecten a las competencias o intereses de Cataluña (art. 184 EAC). Asimismo, la Generalitat aplica y ejecuta el derecho de la Unión Europea en el ámbito de sus competencias, de tal forma que la existencia de una regulación europea no modifica la distribución interna de competencias que establecen la Constitución y el Estatuto. En caso de que la ejecución del derecho europeo requiera la adopción de medidas internas de alcance superior al territorio de Cataluña que las comunidades autónomas competentes no pueden adoptar por medio de mecanismos de colaboración o coordinación, el Estado debe consultar a la Generalitat sobre esas circunstancias antes de que se adopten dichas medidas. A mayor abundamiento, la Generalitat tiene que participar en los órganos que adopten las citadas medidas o, si esta participación no es posible, debe emitir un informe previo (art. 189 EAC).
En nuestro DCGE 3/2011, de 24 de marzo (FJ 2), ya indicamos que «el derecho de la Unión Europea no es canon de constitucionalidad para la resolución de los conflictos de competencia que puedan producirse en el seno del Estado español. En efecto, el principio de autonomía institucional reconocido por el ordenamiento comunitario (art. 4.2 TUE) comporta dos consecuencias importantes que conviene no olvidar, como son que la ejecución y la transposición del derecho comunitario deben realizarse precisamente por las instituciones y poderes públicos que disponen de la competencia constitucional para hacerlo y, sobre todo, que el orden constitucional y estatutario de competencias no puede resultar modificado ni alterado por las disposiciones del derecho comunitario derivado». Ahora bien, citando doctrina constitucional, dijimos que «?no cabe ignorar que la propia interpretación del sistema de distribución competencial entre el Estado y las Comunidades Autónomas tampoco se produce en el vacío? (STC 102/1995, de 26 de junio, FJ 5). Por ello, prestar atención a cómo se ha configurado una institución por la normativa comunitaria puede ser no sólo útil, sino incluso obligado para proyectar correctamente sobre ella el esquema interno de distribución competencial? (STC 33/2005, de 17 de febrer, FJ 4)».
Del mismo modo, recientemente, el Tribunal Constitucional, haciéndose eco de una consolidada doctrina, ha afirmado que no existe en la Constitución, ni en los Estatutos de autonomía o en el bloque de la constitucionalidad, una «?competencia específica? para la ejecución del Derecho comunitario» o «en general para el cumplimiento de los tratados internacionales válidamente celebrados por España [?], sino que esa ejecución o cumplimiento ?corresponde a quien materialmente ostente la competencia, según las reglas de Derecho interno?» (STC 87/2019, de 20 de junio, FJ 6).
Lo anterior significa que el Estado, en un principio, no puede ampararse en la competencia exclusiva sobre relaciones internacionales (art. 149.1.3 CE) para extender su ámbito competencial a cualquier actividad que constituya desarrollo, ejecución o aplicación del Derecho derivado europeo. Ahora bien, no puede ignorarse tampoco la necesidad de proporcionar al Gobierno estatal los instrumentos indispensables para ejercer la función que le atribuye el artículo 93 CE, es decir «?para adoptar las medidas necesarias a fin de garantizar el cumplimiento de las resoluciones de los organismos internacionales en cuyo favor se han cedido competencias? función que solo una interpretación inadecuada de los preceptos constitucionales y estatutarios puede obstaculizar». Y lo anterior teniendo en cuenta que, según la distribución competencial afectada, principalmente si se trata de materias compartidas o concurrentes entre el Estado y las comunidades autónomas, el ejercicio de las competencias propias de uno y otros ha de articularse sin invadir el ámbito competencial ajeno (ibidem).
En el caso que ahora nos ocupa, la designación de un organismo como punto de enlace único de coordinación internacional está amparada por las competencias del Estado en materia de relaciones internacionales (art. 149.1.3 CE) en relación con sus potestades exclusivas sobre telecomunicaciones, seguridad pública y defensa (art. 149.1, subapdos. 4, 21 y 29 CE). A su vez, esta designación no es obstáculo para que las comunidades autónomas designen sus propias autoridades públicas para velar por la seguridad de las redes y sistemas de información que son de su competencia, como tampoco excluye que establezcan los CSIRT que consideren necesarios, que formarán parte de la red de CSIRT creada por la citada Directiva NIS.
Por ello, en conclusión, consideramos que este precepto no evidencia causas de inconstitucionalidad. Y ello es así, tal como se desprende de los argumentos expuestos, porque el Estado, al amparo de sus competencias ex artículo 149.1.3 CE y en cumplimiento de las obligaciones asumidas en aplicación del derecho europeo, debe poder adoptar las medidas necesarias de coordinación a nivel interno pero también con los estados miembros de la Unión y otros organismos europeos, en este caso para dar respuesta a los incidentes y a la gestión de los riesgos de seguridad que correspondan. Así, las autoridades y servicios públicos identificados por la correspondiente legislación sectorial estatal son los responsables principales en las relaciones de colaboración y de cooperación con otros estados.
Esta premisa, no obstante, tampoco impide que las leyes estatales puedan fijar en su normativa un modelo de colaboración que refleje la naturaleza compuesta del modelo constitucional y territorial español. En esta línea, las leyes y normas reglamentarias podrían incluir, por ejemplo, organismos ?comisiones, delegaciones o grupos de trabajo? y mecanismos y procedimientos de participación institucionales que integraran en el ámbito estatal representantes autonómicos. En el campo de la seguridad pública, destaca la previsión del artículo 164 EAC, que incorpora la potencial participación del cuerpo de Mossos d?Esquadra en grupos y delegaciones internacionales, cuando así lo prevean ?y en los términos en que lo hagan? las leyes estatales correspondientes. Y, en la práctica, a través de los sistemas digitales y de telecomunicaciones, la policía catalana y también la vasca tienen acceso en la actualidad, en diferentes niveles, a bases de datos y mecanismos de cooperación europea e internacional.
Sin embargo, esta opción, como ya hemos remarcado, que sería más plural y coherente con un modelo autonómico o federal, no está prevista por la jurisprudencia constitucional vigente que interpreta la norma fundamental, como exigencia o requisito de constitucionalidad de las leyes. En otras palabras, más sintéticamente, una legislación estatal que prevea la participación de las autoridades y servicios públicos autonómicos en las relaciones de cooperación internacional es posible y ajustada al orden constitucional pero no es obligatoria a efectos de su adecuación o validez constitucional. Por consiguiente, es al ámbito político e institucional al que corresponde hacer viable este tipo de alternativas reguladoras, mediante la flexibilización de determinados elementos que se han configurado, como en el presente caso, siguiendo un modelo centralizado.
En consecuencia, y ya como conclusión, el artículo 7 RDL 14/2019, de 31 de octubre, en el nuevo apartado 3 del artículo 11 RDL 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, en la medida en que prevé un modelo basado en la colaboración de los CSIRT de todas las administraciones públicas con los órganos con competencias en seguridad pública y protección de datos de carácter personal, entre los que se incluyen los de la Generalitat, y que el Estado, de acuerdo con sus competencias ex artículo 149.1, subapartados 3, 21 y 29 CE, tiene potestad para designar un punto de contacto único, al efecto de la coordinación transfronteriza para el cumplimiento de las obligaciones de la Directiva 2016/1148, de 6 de julio (art. 8), no vulnera las competencias de la Generalitat previstas en los artículos 140.7, 159.1 y 164 EAC.
Quinto. El examen de constitucionalidad y de estatutariedad de los preceptos del Real decreto-ley 14/2019 relativos a la protección de datos personales
En este fundamento jurídico trataremos los preceptos del capítulo II del Real decreto-ley que regulan aspectos relativos a la protección de datos personales y que han sido cuestionados por el solicitante. En concreto, el artículo 3, apartados uno y dos, RDL 14/2019, que introducen un nuevo apartado 3 en los artículos 9 y 10 LPACAP y su régimen transitorio (disp. trans. primera, apdo. 2 RDL 14/2019); el artículo 4, apartado uno, que incorpora el artículo 46 bis a la LRJSP y su régimen transitorio (disp. trans. segunda RDL 14/2019), y el artículo 4, apartado dos, que da una nueva redacción al artículo 155 de esta última Ley.
Según la disposición final primera, los artículos 3 y 4 RDL 14/2019 se dictan al amparo de las cláusulas competenciales núms. 18 y 29 del artículo 149.1 CE, aunque no identifica cuáles de las medidas reguladas se ampararían en cada uno de los títulos, teniendo en cuenta que tienen un alcance y unos efectos diferentes. No obstante, del preámbulo de la norma parece desprenderse que las previsiones objeto de examen en este fundamento jurídico se encuentran principalmente fundamentadas en la competencia exclusiva estatal sobre seguridad pública (salvo el art. 4.dos). Será necesario, pues, con ocasión del mismo, delimitar cuál es el parámetro competencial aplicable.
1. Antes, sin embargo, conviene efectuar algunas consideraciones generales sobre la materia de la protección de los datos personales, puesto que es subyacente a todos los preceptos ahora examinados en la medida en que afecten a cualquier información sobre una persona física identificada o identificable.
Así, en cuanto a su contexto normativo y de forma sintética, debemos referirnos a su primera regulación internacional, inspiradora de la normativa europea posterior, mediante el Convenio núm. 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, abierto en Estrasburgo para su firma el 28 de enero de 1981 y ratificado por el Estado español en fecha de 27 de enero de 1984 (BOE núm. 274, de 15 de noviembre de 1985), que ha sido modificado recientemente mediante el Protocolo de 10 de octubre de 2018, que lo ha actualizado y ha aprobado una nueva versión del Convenio (firmada también por el Estado español) tras más de tres décadas de vigencia del anterior (Convenio 108+).
A nivel europeo, el artículo 16.1 del Tratado de funcionamiento de la Unión Europea (en lo sucesivo, TFUE) reconoce el derecho de la persona a la protección de los datos de carácter personal que le conciernan, así como el artículo 8.1 de la Carta de derechos fundamentales de la Unión Europea, formalmente proclamada en Niza el 7 de diciembre de 2000. En el marco de dichas normas, se adopta el Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos [en lo sucesivo, Reglamento (UE) 2016/679 o RGPD], que ha derogado la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, la cual tuvo en su momento una importancia primordial en el ámbito que ahora nos ocupa. Este panorama normativo se completa con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, dirección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
Nuestra atención se centra en el citado Reglamento (UE) 2016/679, que tiene por objeto dos finalidades principales: por una parte, el establecimiento de las normas relativas a la protección de los derechos y libertades de las personas físicas por lo que respecta al tratamiento de los datos personales y, por otra, las referidas a la libre circulación de los datos personales en la Unión, que no podrá ser restringida ni prohibida, en cuanto a su tratamiento, en supuestos diferentes a los que prevé o posibilita el propio Reglamento (art. 1). Así, se busca un equilibrio entre la protección de los ciudadanos y la libertad de iniciativa económica, como también de la cooperación entre estados. Ciertamente, muchos de los principios y fundamentos de la Directiva 95/46/CE siguen activos pero puede decirse que el Reglamento europeo, que fija con más precisión el derecho fundamental a la protección de datos, opera un cambio de modelo que, sintéticamente, pasa de la gestión de los datos al uso responsable de la información. Esto se traduce en nuevos principios como el de la responsabilidad proactiva (arts. 5.2 y 24), el consentimiento expreso del titular de los datos como base de legitimación del tratamiento (arts. 4.11 y 7), el nuevo derecho a la portabilidad (art. 20), la privacidad desde el diseño y por defecto (art. 25), la protección de los datos basada en el análisis de riesgos y las medidas de seguridad adecuadas a los mismos (art. 32), la evaluación de impacto (art. 35), la figura del delegado de protección de datos (art. 37), la importancia de los códigos de conducta (art. 40), el registro de actividades del tratamiento (art. 30), el fortalecimiento del papel de las autoridades de control de los estados miembros (arts. 51 a 59), incluido el del Comité Europeo de Protección de Datos (arts. 68 a 76), que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las citadas autoridades, o el régimen de recursos, responsabilidad y sanciones (arts. 77 a 84).
En una línea secuencial similar, a nivel interno, se han aprobado varias leyes y normas de desarrollo en la materia de protección de datos personales, hasta llegar a la vigente Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD), que ha derogado la precedente Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Visto lo anterior, cabe referirse con carácter previo a la naturaleza y efectos del Reglamento (UE) 2016/679, de aplicación obligatoria desde el 25 de mayo de 2018. Desde una perspectiva formal, se trata de una norma de alcance general, que es obligatoria en todos sus elementos y directamente aplicable a todos los estados miembros (art. 288 TFUE). Por consiguiente, no requiere transposición o desarrollo mediante normas internas y comporta el desplazamiento de las que resulten incompatibles con la misma. Está claro que su adaptación puede exigir la adopción de nuevas disposiciones internas que complementen o aclaren su contenido, pero únicamente con el fin de asegurar el efecto útil de lo que dispone y sin inducir a error sobre su naturaleza y aplicabilidad directa.
El propio Reglamento europeo declara que pretende establecer un marco más sólido y coherente (considerando 7), que evite una aplicación fragmentada, la inseguridad jurídica y las diferencias en la protección de los derechos y libertades en los estados miembros (considerando 9) y que garantice un nivel uniforme y elevado de protección (considerando 10). Cabe señalar que también contiene numerosas remisiones de alcance variable al derecho de los estados miembros, lo que les permite adaptar la regulación, en distintos supuestos, al contexto estatal; o fijar exenciones, limitaciones o derogaciones o condiciones específicas para determinadas categorías de tratamiento de datos, o, incluso, en algunos casos puntuales el Reglamento confiere carácter preceptivo a dicha tarea normativa de desarrollo. Por añadidura, se reconoce con carácter general un margen de maniobra para que los estados miembros especifiquen sus normas (considerando 10) y la posibilidad de que mantengan o introduzcan disposiciones más específicas para adaptar la aplicación de las prescripciones del Reglamento, estableciendo de forma más precisa requisitos concretos para el tratamiento de datos personales con otras finalidades, tomando en consideración la estructura constitucional, organizativa y administrativa del Estado miembro en concreto. Ahora bien, esta limitación debe constituir una medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos, la seguridad pública y la prevención, investigación, detección y enjuiciamiento de infracciones penales o de ejecución de sanciones penales (considerando 19).
En lo relativo a la naturaleza del Reglamento (UE) 2016/679, el Tribunal Constitucional ha recordado que su eficacia jurídica no se agota en el «valor hermenéutico que despliega a los efectos del artículo 10.2 CE, esto es, en el plano de la constitucionalidad» sino que en el «seno de nuestro ordenamiento jurídico representa sobre todo un acto jurídico ?obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro?, como luce al final del texto y con las características inherentes al Derecho de la Unión Europea» (STC 76/2019, de 22 de mayo, FJ 3).
De este modo, aunque reitera que no constituye parámetro de constitucionalidad, añade que cuando se trata del enjuiciamiento constitucional del desarrollo legislativo de un derecho fundamental como es la protección de datos personales, que se encuentra parcialmente determinado por el derecho de la Unión Europea, las exigencias que derivan de este último «no pueden ser irrelevantes a la hora de establecer los márgenes constitucionalmente admisibles de libertad de apreciación política» (STC 1/2012, de 13 de enero, FJ 9). Además, una eventual conclusión de incompatibilidad entre una ley interna y una disposición del derecho de la Unión Europea debe dirimirse «en términos de legalidad ordinaria y selección del derecho aplicable en un primer término, y no en clave de contradicción con la Constitución» (STC 76/2019, de 22 de mayo, FJ 3, haciendo cita de la STC 140/2018, de 20 de diciembre, FJ 6).
Hay que tener presente, para un correcto análisis de los preceptos solicitados, que el régimen jurídico del tratamiento de datos de carácter personal está previsto tanto en el Reglamento (UE) 2016/679 como en la LOPDGDD, ya que ambas fuentes normativas configuran conjuntamente, de forma directa o supletoria, el desarrollo del derecho fundamental a la protección de datos de carácter personal que exigen los artículos 18.4 y 81.1 CE (art. 1.a y 2 LOPDGDD y arts. 2 y 3 RGPD).
Llegados a este punto y teniendo presente su evidente evolución, hay que referirse sintéticamente al derecho fundamental a la protección de datos y a su contenido esencial según lo ha configurado la doctrina constitucional. Este derecho, que nace del artículo 18.4 CE, independientemente del derecho a la intimidad y con singularidad propia, atribuye a su titular un poder de control y de disposición de sus datos personales, automatizados o no, que se hace efectivo mediante la imposición de deberes u obligaciones a terceros. Así, faculta a la persona para decidir qué datos quiere proporcionar a un tercero, sea un poder público o un particular, o cuáles puede recabar este tercero, como también le permite saber y ser informado respecto de quien los posee y para qué los quiere, de modo que puede oponerse a dicha posesión o uso.
En otras palabras, los citados poderes de control y disposición que constituyen parte del contenido nuclear del derecho fundamental a la protección de datos, se concretan jurídicamente en la facultad de consentir la recogida, obtención y acceso a los datos personales, su posterior almacenamiento y tratamiento, y su uso o usos posibles por un tercero. Sentado lo anterior, cabe añadir que el artículo 18.4 CE tiene dos vertientes, como derecho fundamental autónomo descrito anteriormente, que permite al individuo controlar el flujo de las informaciones relativas a su persona, y como derecho fundamental instrumental orientado a la protección o garantía de otros derechos fundamentales, como son los derechos a la intimidad y al honor o a la libertad ideológica (por todas, STC 292/2000, de 30 de noviembre, FJ 6, y, más recientemente, STC 76/2019, FJ 5).
Finalmente, debemos señalar que, para preservar y posibilitar el ejercicio del abanico de facultades que integran el contenido esencial del derecho a la protección de datos, el legislador debe establecer las «garantías adecuadas» de tipo técnico, organizativo y procedimental que lo protejan de manera eficaz. Y lo anterior con independencia de que la necesidad y alcance de las garantías puede diferir bastante según el tipo de tratamiento que se pretenda llevar a cabo, la propia naturaleza misma de los datos (son más exigibles y específicos cuando se trata de categorías especiales de datos) y la probabilidad y gravedad de los riesgos de abusos y de acceso o utilización ilícitos (STC 76/2019, FJ 6, citando jurisprudencia de la doctrina del TJUE).
Dicho esto, cabe indicar que, en la delimitación del derecho fundamental de protección de datos, el legislador estatal deberá armonizar la reserva de ley orgánica relativa a su contenido esencial (art. 81.1 CE) con la posibilidad de un ulterior desarrollo en los diferentes ámbitos materiales en los que se proyecte su ejercicio, que se regirán por las reglas de la distribución constitucional y estatutaria de competencias que derivan del artículo 149.1 CE. En este sentido, la doctrina constitucional recuerda que el artículo 81.1 CE, que no es un título atributivo de competencias sino un precepto ordenador del sistema de fuentes, no puede desvirtuar lo dispuesto en el artículo 149.1 CE sobre la articulación de los ámbitos materiales correspondientes al Estado y a las comunidades autónomas y, por tanto, debe cohonestarse con el bloque de la constitucionalidad. De acuerdo con lo anterior, ha declarado que el ámbito reservado a la ley orgánica, que debe interpretarse restrictivamente, comprende el desarrollo directo del derecho fundamental considerado en abstracto «en cuanto tal» mientras que la regulación de la «materia» sobre la que se proyecta el derecho se atribuye al legislador ordinario, estatal o autonómico, con competencias sectoriales sobre aquella (por todas, STC 135/2006, de 27 de abril, FJ 2).
2. Efectuadas las consideraciones anteriores, a continuación examinaremos los apartados uno y dos del artículo 3 RDL 14/2019, que añaden a los artículos 9 y 10 LPACAP nuevos y sendos apartados 3, con los siguientes contenidos:
Artículo 9 LPACAP:
«3. En relación con los sistemas de identificación previstos en la letra c) del apartado anterior, se establece la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en caso de tratarse de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en territorio español. En cualquier caso, los datos se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes.
Los datos a que se refiere el párrafo anterior no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.»
Artículo 10 LPACAP:
«En relación con los sistemas de firma previstos en la letra c) del apartado anterior, se establece la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en caso de tratarse de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en territorio español. En cualquier caso, los datos se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes.
Los datos a que se refiere el párrafo anterior no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.»
A) Como puede constatarse, se trata de dos previsiones normativas de idéntico contenido, que se aplican específica y concretamente a los sistemas validados por las administraciones públicas de identificación electrónica de los administrados, llamados de clave concertada y otros (art. 9.2.c LPACAP) y de firma diferentes a los de firma electrónica cualificada y avanzada (art. 10.2.c LPACAP) a los que hemos hecho referencia ampliamente en el fundamento jurídico tercero.
En lo que ahora interesa, las normas transcritas adoptan las siguientes medidas: de un lado, establecen la obligación legal que «los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea». En caso de que se trate de categorías especiales de datos, dichos recursos deben estar localizados «en territorio español».
A tales efectos, según el artículo 9 RGPD, que se cita en el texto de las normas objeto de dictamen, están incluidas en las categorías especiales de datos los que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física. Estos datos, vista su naturaleza, son particularmente sensibles y, por consiguiente, el Reglamento (UE) 2016/679 prohíbe su tratamiento como principio, si bien esta regla general se exceptúa en situaciones específicas como, por ejemplo, cuando el interesado dé su consentimiento explícito o sea necesario para proteger sus intereses vitales y se encuentre incapacitado para consentir (art. 9).
Y, de otro, contienen la prohibición de transferencia internacional de los datos a un tercer país o a una organización internacional, salvo dos supuestos: que estos hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por España. Por último, prescribe que los datos tratados deben estar disponibles para que puedan acceder a ellos autoridades judiciales y administrativas.
El solicitante se cuestiona si las limitaciones territoriales a la hora de ubicar los recursos técnicos comportan una injerencia en las competencias de la Generalitat que podrían resultar contrarias a los artículos 150 y 159 EAC en tanto que le afectan «en la organización de los servicios de su competencia cuando los presta de forma directa», como también se plantea si pueden ser constitutivas «de una vulneración de la libre prestación de servicios y de establecimiento que deben garantizar la movilidad de las empresas y los profesionales en toda la Unión Europea, artículo 26 (mercado interior), 49 a 55 (establecimiento) y 56 a 62 (servicios) del Tratado de funcionamiento de la Unión Europea». Además, respecto a la limitación de las transferencias internacionales, entiende que restringe «la posibilidad de utilizar otros mecanismos previstos en el artículo 46 RGPD».
B) Para un correcto análisis de las medidas ahora examinadas, que están conectadas entre sí, empezaremos por los últimos párrafos de los nuevos apartados 3 de los artículos 9 y 10 LPACAP, que establecen la prohibición de realizar transferencias de datos a un tercer país o a una organización internacional, a menos que se trate de alguno de los dos supuestos siguientes: cuando hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.
Ante todo, sin embargo, debe determinarse a qué datos se aplicaría esta limitación de las transferencias internacionales, ya que la norma no es nada clara desde el momento en que la expresión «los datos a que se refiere el párrafo anterior» puede comprender los que se incluyen en categorías especiales (citadas expresamente) pero también otros datos de identificación susceptibles de ser tratados por los sistemas electrónicos de identificación y firma objeto de la regulación (arts. 9.2.c y 10.2.c LPACAP). De la literalidad del precepto y de su interpretación conjunta con el preámbulo del Real decreto-ley (apdo. II, párr. séptimo) parece desprenderse que la restricción de las transferencias solo se aplicaría a las categorías especiales de datos previstos en el artículo 9 RGPD y así lo entendemos en nuestro análisis.
Aclarado lo anterior, y a fin de contextualizar la restricción explicitada, hemos de referirnos, aunque sea muy brevemente, al concepto de transferencia internacional y a su regulación actual en la normativa europea (arts. 44 a 50 RGPD) y estatal (arts. 40 a 43 LOPDGDD) para, acto seguido, encuadrar los preceptos en la materia competencial que les corresponde, dado su contenido y su finalidad.
La transferencia internacional de datos no está explícitamente definida en el artículo 44 RGPD (tampoco lo estaba en la Directiva 95/46/CE) ni en la LOPDGDD, y el propio Tribunal de Justicia de la Unión Europea no ha elaborado una definición formal sino que ha delimitado dicho concepto en sentido negativo (STJUE de 6 de noviembre de 2003, asunto Lindqvist, C-101-01). Así, ha razonado que la publicación en una página web de datos personales almacenada por su proveedor de servicios de alojamiento domiciliado en territorio de la Unión Europea a la que puede accederse desde cualquier lugar, aunque es un tratamiento, no es una transferencia internacional de datos. Lo argumenta sobre la base de que no implica una transmisión directa de datos entre dos sujetos, sino que los datos personales que llegan al ordenador de una persona que se encuentra en un tercer país y que proceden de una persona que los ha publicado en internet, se han transmitido con la ayuda de la infraestructura informática del proveedor de servicios de alojamiento de páginas web donde aquella está alojada. En consecuencia, declara que no existe una «transferencia a un país tercero de datos» cuando una persona que se encuentra en un Estado miembro difunde datos personales en una página web, almacenada por su proveedor de servicios de alojamiento de páginas web que tiene su domicilio en el mismo Estado o en otro Estado miembro, de modo que dichos datos son accesibles para cualquier persona que se conecte a internet, incluidas aquellas que se encuentran en países terceros (apdos. 61 y 71).
Resulta obvio que la determinación de este concepto es, en la práctica, compleja, dados los numerosos medios electrónicos e intermediarios que actúan en este proceso de transferencia, pero, simplificadamente, puede entenderse como el flujo de datos que supone un traslado de los mismos por una persona física o jurídica, pública o privada, o un órgano o entidad administrativos situados en territorio español a un tercer país o a una organización internacional que se encuentran fuera del territorio del Espacio Económico Europeo o EEE, que incluye los estados miembros de la Unión Europea más Islandia, Liechtenstein y Noruega (en este sentido, art. 5.1.s RD 1720/2007, de 21 de diciembre, por el que se aprobaba el Reglamento de la LOPD, vigente en aquello que no se oponga al RGPD y a la LOPDGDD), con el fin último de tratar esta información una vez haya sido recibida por el destinatario. O también podría definirse como aquel acto mediante el que el transmitente permite el conocimiento de los datos personales al destinatario de forma directa, implicando, por consiguiente, una comunicación material de datos personales, con independencia de su finalidad, y siendo internacional cuando el lugar de destino de los datos se localiza fuera del espacio de nivel adecuado o equiparable de protección (en este caso, fuera del EEE). Cabe señalar que la referencia a las organizaciones internacionales como destinatarias de las transferencias es una novedad del Reglamento europeo.
Dicho esto, la transferencia internacional de datos constaría de los siguientes elementos: debe tratarse de datos que permitan identificar o hacer identificable a una persona de manera directa o indirecta; los datos personales pueden ser tratados de forma automatizada o no, o sea, pueden ser objeto de transmisión tanto por medios informatizados como por medios convencionales; la finalidad de la transferencia es que el destinatario efectúe un tratamiento de los datos, ya sea su cesión o comunicación (a otro responsable) o la prestación de un servicio (encargado del tratamiento), y, por último, debe tener lugar un traslado físico y efectivo de los datos de un lugar del territorio del EEE a un Estado o una organización internacional fuera de este, que se convierte en el lugar de destino.
Dado que los datos personales de ciudadanos europeos situados en la Unión Europea son accesibles desde el exterior del EEE, el objetivo primordial que persigue el Reglamento (UE) 2016/679 cuando regula esta figura es garantizar que cuando se transfieran a terceros países se mantenga un nivel de protección adecuado y conforme con el estándar mínimo que se establece en su articulado. El principio general es, pues, que solo puede efectuarse una transferencia internacional de datos si el destinatario cumple con todas las obligaciones relativas al tratamiento que establece la normativa europea aplicable y asegura las garantías suficientes a la hora de realizar la transferencia y, sobre todo, en posibles y ulteriores transferencias que pueda llevar a cabo (considerando 101 y art. 44 RGPD). Ahora bien, este objetivo tiene que encontrar un equilibrio con la preservación de otros intereses como son que el flujo de datos a terceros países favorece la expansión del comercio internacional y la cooperación internacional en materia de seguridad y prevención de los delitos (considerandos 1 y 101 RGPD y 7 Directiva 2016/680). Por su parte, el Convenio 108+ impone la regla general del libre movimiento de datos entre las partes contratantes siempre y cuando se trate de estados que dispongan de normas armonizadas sobre esta materia (art. 14).
Visto este principio general, el Reglamento (UE) 2016/679 permite la transferencia internacional de datos solo en los siguientes supuestos:
a) Cuando se base en una decisión de adecuación de la Comisión Europea que, para decirlo muy sintéticamente, es un acto jurídico emitido por esta en el que, a partir del análisis de una serie de condiciones y requisitos, se certifica que el estado u organización internacional destinatario tiene un nivel de protección adecuado de los datos personales o sustancialmente equivalente al de la normativa europea (art. 45 RGPD). Actualmente, los estados sobre los que existe una decisión de adecuación vigente son: Suiza (Decisión 2000/518/CE, de 26 de julio), Canadá (Decisión 2002/2/CE, de 20 de diciembre), Argentina (Decisión 2003/490/CE, de 30 de junio), Guernsey (Decisión 2003/821/CE, de 21 de noviembre), Isla de Man (Decisión 2004/411/CE, de 28 de abril), Jersey (Decisión 2008/393/CE, de 8 de mayo), Islas Feroe (Decisión 2010/146/CE, de 5 de marzo), Andorra (Decisión 2010/625/UE, de 19 de octubre), Israel (Decisión 2011/61/UE, de 31 de enero), Uruguay (Decisión 2012/484/UE, de 21 de agosto), Nueva Zelanda (Decisión 2013/65/UE, de 19 de diciembre), Japón (Decisión de ejecución 2019/419, de 23 de enero) y, con singularidades propias, los Estados Unidos de América (Decisión 2016/1250/UE, de 12 de julio, aplicable a las entidades de este país certificadas en el marco del Privacy Shield UE-EE.UU.).
b) Cuando se base en garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas, de los que deberá ser informado (art. 46 RGPD). Estas garantías se dividen en dos bloques, según si requieren autorización expresa de la autoridad de control o no. Por un lado, no es necesaria autorización en caso de que las garantías se aporten mediante un instrumento jurídicamente vinculante y exigible entre autoridades u organismos públicos; normas corporativas vinculantes, conocidas como Binding Corporate Rules o BCR (art. 47 RGPD); cláusulas tipo de protección de datos adoptados por la Comisión o bien por una autoridad de control y aprobadas por la Comisión; códigos de conducta, o mecanismos de certificación (art. 46.2 RGPD). Y, por otro, debe existir la autorización previa de la autoridad de control cuando se aporten mediante cláusulas contractuales acordadas entre el exportador y el destinatario de los datos o mediante disposiciones que se incorporen en acuerdos administrativos entre las autoridades o los organismos públicos que incluyan derechos efectivos y exigibles para los interesados (art. 46.3 RGPD).
Cabe indicar que la transferencia internacional sobre la base del cumplimiento de una obligación internacional, que sería otro supuesto admitido, está prevista en el considerando 102 del Reglamento (UE) 2016/679 y no en su articulado. En este sentido, debemos señalar que dicha transferencia debe llevarse a cabo respetando el conjunto de previsiones que contiene dicha norma europea en su parte dispositiva.
No obstante, seguidamente, el propio Reglamento (UE) 2016/679 admite un abanico de excepciones para situaciones específicas, en lista cerrada o de numerus clausus (entre otras, cuando sea necesaria por razones importantes de interés público, ejercicio o defensa de reclamaciones, o se realice desde un registro público), que, además de los casos anteriores, permiten la transferencia internacional de datos sin autorización de las autoridades de control, siempre y cuando su exportador garantice a los interesados derechos exigibles y efectivos respecto al tratamiento de sus datos (art. 49 y considerando 114 RGPD). Algunas de estas excepciones no son aplicables a las administraciones públicas en ejercicio de poderes públicos (art. 49.1, párr. primero, letras a, b, c, conforme al art. 49.3 RGPD) y son de alcance bastante amplio, desde el momento en que se aceptan porque obedecen a intereses legítimos imperiosos (art. 49.1, segundo párr., RGPD).
Consiguientemente, expuesto lo anterior, puede decirse que, de hecho, el Reglamento (UE) 2016/679 es bastante más permisivo que la normativa española anterior a la hora de admitir las transferencias internacionales y amplía los casos en que están admitidas, aunque las rodea de las cautelas y garantías correspondientes.
Por su parte, la LOPDGDD, a la hora de regular las transferencias internacionales de datos, se remite a lo que dispone el Reglamento (UE) 2016/679, a lo que ella misma determina en su articulado, a las normas de desarrollo aprobadas por el Gobierno y a las circulares de las autoridades estatal y autonómicas de protección de datos, en el ámbito de sus respectivas competencias (art. 40). En cuanto al articulado orgánico, se refiere a las especialidades relacionadas con procedimientos mediante los que las autoridades de control pueden aprobar modelos contractuales o BCR, y a los supuestos que requieren autorización o información previas de una determinada transferencia (arts. 41 a 43).
A los efectos de este Dictamen, cabe destacar la previsión del apartado 5 del artículo 49 RGPD, que contiene una habilitación específica para que los estados miembros puedan restringir las transferencias internacionales más allá de lo que dispone el Reglamento europeo. Así, declara que, en caso de que no exista una decisión por la que se constate la adecuación de la protección de los datos, están facultados para establecer límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Ahora bien, somete dicha potestad a dos requisitos: la limitación debe estar fundamentada en «razones importantes de interés público» y las disposiciones que se dicten en este sentido deben ser notificadas a la Comisión. Sobre el alcance de esta norma no aporta nada el considerando 112 RGPD que, simplemente, la enuncia.
Teniendo en cuenta la normativa europea expuesta, nos corresponde aplicar el parámetro de constitucionalidad, a fin de poder concluir su adecuación a la norma fundamental y, si procede, al Reglamento europeo.
Como cuestión previa, haremos una breve referencia a la eventual reserva de ley orgánica ex artículo 81 CE. Una vez examinado el contenido de la medida que nos ocupa, puede decirse que, puesto que no desarrolla el propio concepto de transferencia internacional de datos con carácter general, no constituye un desarrollo directo del contenido esencial del derecho fundamental del artículo 18.4 CE, reservado a la ley orgánica, sino que es una regulación sectorial que singulariza la cuestión de las transferencias internacionales en la gestión de determinados sistemas de información y comunicación de las administraciones públicas y, en última instancia, afecta a la forma en que estas pueden organizar la gestión de dichos servicios.
A la luz de esta última premisa, debemos identificar cuál sería la finalidad de la norma que estamos analizando para ponerla en relación con su dimensión competencial y así poder determinar si el Estado cuenta con la habilitación para dictar la medida o, si por el contrario, afecta a las competencias organizativas de la Administración pública de la Generalitat.
Tal como hemos indicado al inicio de este apartado, la norma introduce una restricción a las transferencias internacionales de datos, respecto de un determinado tipo de ellas, las de categoría especial, y en relación con unos concretos sistemas de identificación de los interesados ante las administraciones públicas (clave concertada y otros) y de firma electrónica (diferente a los de firma electrónica cualificada y avanzada basada en certificados electrónicos cualificados de firma electrónica).
De conformidad con su contenido, por consiguiente, entendemos que nos situamos en el marco de las competencias compartidas relativas a las bases del régimen jurídico de las administraciones públicas y del procedimiento administrativo, configurado por los artículos 149.1.18 CE y 159.1.a y .c EAC y, en conexión, por razón de su finalidad última, con la protección de la ciberseguridad. Esta última materia, según la dimensión que adquiera, puede remitir también a los títulos de los artículos 149.1.29 CE y 164 EAC, en los términos en que los hemos descrito en los fundamentos jurídicos tercero y cuarto.
De entrada, debemos señalar que la iniciativa reguladora de reforzar las garantías de seguridad en el tratamiento de la categoría especial de datos, que es susceptible de afectar a un derecho fundamental de las personas, teniendo en cuenta su contenido, constituye una finalidad legítima por parte del legislador estatal que responde a un interés público. Los datos relativos a cuestiones significativamente sensibles (como es el caso que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas o afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física) son, como resulta evidente, dignos de una protección reforzada por razón del interés público consistente en la garantía del habeas data de los ciudadanos. Esta protección ampliada encuentra encaje tanto en las previsiones del Reglamento europeo, que las facilita a través del régimen de excepciones justificadas (considerandos 51 y ss. y art. 9.4 RGPD), como en el canon de constitucionalidad y de estatutariedad aplicable.
Respecto al orden constitucional español, este Consell considera que, por una parte, la regulación objeto de dictamen no exige la reserva de ley orgánica, puesto que no desarrolla ni afecta de forma directa el núcleo esencial del régimen jurídico de un derecho fundamental, en este caso, la protección de datos ex artículo 18.4 CE. Y, por otra, que la medida consistente en incrementar el nivel de seguridad de tal derecho en este concreto aspecto, por la vía de la limitación de su transferencia internacional, encuentra cobijo en las competencias estatales en materia de régimen jurídico de las administraciones públicas y de procedimiento común (art. 149.1.18 CE).
En este sentido, creemos que las competencias de la Generalitat no se ven vulneradas, porque lo que resulta relevante a efectos de su soporte constitucional es que el legislador estatal prescribe la seguridad y garantía de determinados datos por razón de su contenido altamente sensible, con independencia de si se vinculan o van aparejados con un tipo de identificación y firma electrónica de operativa autonómica. En consecuencia, la finalidad perseguida es la igualdad de los ciudadanos en el ámbito material de las relaciones con las administraciones públicas. Y queda demasiado espacio para la duda cuando se argumenta que todos los ciudadanos del Estado pueden estar amparados por una legislación básica que les garantiza que sus datos, susceptibles de identificar su esfera religiosa, sexual, médica o política, no pueden ser transferidos fuera del espacio asegurado por el Reglamento europeo, a menos que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Estado español.
Esta restricción incorporada por la ley estatal responde, en nuestra opinión, a un interés público, y no es desproporcionada hasta el punto de contravenir la normativa europea, en la medida en que compatibiliza una finalidad legítima con el respeto al sistema general de transferencias internacionales habilitado por la normativa europea (art. 49.5 RGPD) y, por su parte, encuentra inserción en el contenido de las bases estatales en régimen jurídico de las administraciones y procedimiento común en cuanto a la posición igualitaria de los ciudadanos ante las administraciones públicas.
La Generalitat, en todo caso, puede articular su sistema o modelo de administración electrónica, con el margen que le atribuyen los artículos 159.1.a y .c EAC, pero respetando y asegurándose de que los datos de categoría especial no pueden ser transmitidos a terceros países, externos al EEE, si estos no son titulares de una decisión de adecuación de la Comisión Europea o la operación no viene soportada por una obligación internacional debidamente contraída. Un marco, el indicado, que entendemos permite compatibilizar el ejercicio de las competencias propias y a la vez implementar un sistema de garantías reforzado por la legislación estatal de protección de datos reformada.
En consecuencia, los apartados uno y dos del artículo 3 RDL 14/2019, en el último inciso de los nuevos artículos 9.3 y 10.3 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, no vulneran las competencias de la Generalitat ex artículo 159 EAC y encuentran amparo en el título competencial del artículo 149.1.18 CE, y se adecúan a las previsiones de los artículos 44 a 50 Reglamento (UE) 2016/679.
C) Seguidamente, nos referiremos a otra de las medidas antes descritas, conectada con la anterior, contenida en sendos primeros párrafos de los nuevos artículos 9.3 y 10.3 LPACAP, que consiste en la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación y firma de las administraciones públicas previstos en los artículos 9.2.c y 10.2.c LPACAP «se encuentren situados en territorio de la Unión Europea». Y, en concreto, cuando se trate de categorías especiales de datos previstos en el artículo 9 del Reglamento (UE) 2016/679, se añade que deben situarse «en territorio español». Recordemos que estos datos son los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona física. En consonancia con esta obligación y para garantizar su cumplimiento, las entidades del sector público que gestionen directamente o a través de medios propios los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación y firma deben adoptar las medidas necesarias para ubicar los recursos utilizados en territorio europeo o, si procede, dentro del territorio español, en el plazo máximo de seis meses a partir de la entrada en vigor del Real decreto-ley (disp. trans. primera, apdo. 2).
Nuevamente, el legislador estatal fundamenta esta doble restricción territorial en razones de seguridad pública y/o seguridad nacional y en la necesidad de asegurar que el Estado en cuyo territorio se ubiquen los recursos necesarios para gestionar los citados sistemas se someta a la normativa de la Unión Europea en materia de protección de datos (apdo. II, párr. séptimo preámbulo RDL 14/2019). Debe señalarse, a modo de indicación, que la medida que ahora se dictamina tiene como complementaria, en el ámbito de la contratación pública, la obligación de que la empresa adjudicataria informe, mediante la correspondiente declaración, sobre donde están ubicados los servidores y donde se prestarán los servicios asociados a los mismos, antes de la formalización del contrato (art. 122.2.c de la Ley 9/2017, de 8 de noviembre, de contratos del sector público, por la que se trasladan al ordenamiento jurídico español las directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, según la redacción dada por el art. 5, apdo. cinco, RDL 14/2019).
Ahora bien, la expresión «recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas» validados por las administraciones públicas de identificación electrónica de los administrados, llamados de clave concertada y otros (art. 9.2.c LPACAP) y de firma diferentes a los de firma electrónica cualificada y avanzada (art. 10.2.c LPACAP), sobre los que se proyecta la limitación territorial, tiene un alcance genérico que, por otro lado, no está delimitado en la ley. Así, si acudimos al Reglamento (UE) 2016/679, define el «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea mediante procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción» (art. 4.2), lo que ya incluye la «recogida» y el «almacenamiento» (citados expresamente en la norma dictaminada). Al citado conjunto de actividades el Real decreto-ley añade la de «gestión de los sistemas», que no se acaba de apreciar qué alcance puede tener. En definitiva, estamos ante una restricción que, en principio, afectaría principalmente a la ubicación de los servidores y servicios asociados, pero que podría incluir también otros recursos y elementos asociados a los mismos.
De este modo, puede vislumbrarse que el Real decreto-ley pretende ejercer un control de los datos, entre otras situaciones y posibilidades, ante la nueva forma de prestación de los servicios de tratamiento de la información, denominada cloud computing o computación en la nube. De manera resumida, ya que es una cuestión compleja técnicamente, en un entorno de cloud computing la gestión de la información está de forma virtual en poder del cliente (que puede ser una administración pública), que la trata a través de internet accediendo a soluciones de bases de datos, correo electrónico o cualquier tipo de aplicaciones según sus necesidades, mientras que el proveedor del servicio puede encontrarse, prácticamente, en cualquier lugar del mundo y proporcionar los servicios mediante prácticas de deslocalización, compartición de recursos y movilidad o realizando subcontrataciones adicionales. Así, la multiubicuidad de los datos en la nube se articula a menudo mediante una cadena de subcontrataciones que, comportan, en muchos casos (aunque no debe ser así necesariamente) transferencias internacionales.
Dicha forma de utilizar tecnologías de la información y la comunicación que ya existían a un nuevo nivel la hace diferente, ya que permite el uso de recursos de hardware, software, almacenamiento, servicios y comunicaciones que se encuentran distribuidos geográficamente y a los que se accede de forma dinámica mediante una red (gratuita o abonando una tarifa) al mismo tiempo que proporciona a sus clientes un servicio de tecnologías de la información bajo demanda y de gran flexibilidad. Como consecuencia, el cliente (o contratista) puede desconocer la localización precisa de los datos que trata y no disponer de su control directo y de acceso, ni de su eliminación y portabilidad, ya que la información no está físicamente en su poder, aunque, si contiene datos personales, sí que es el responsable de ellos desde el punto de vista del Reglamento (UE) 2016/679.
En este entorno, pues, intervienen varios sujetos: el usuario o cliente (puede ser una administración pública) que contrata y utiliza los servicios de cloud computing o recursos informáticos a través de la red, y el proveedor, que es un tercero que proporciona estos servicios en la nube. Aparte de clientes y proveedores, pueden concurrir también otros sujetos (subcontratados), como los socios o partners del proveedor de cloud, que ofrecen y soportan servicios adicionales de valor añadido. En función de cómo sea este valor añadido, se puede hablar de diferentes modalidades de contratación por parte del cliente o usuario final: una solución de infraestructura como servicio o IaSS (capacidad de almacenamiento y proceso en bruto a través de la red y servidores de alojamiento web) cuando el valor añadido es nulo porque el usuario final debe construir las aplicaciones que necesita prácticamente desde cero; una solución de plataforma como servicio o PaSS, mediante la que se proporcionan utilidades para construir aplicaciones y desarrollar soluciones (bases de datos o entornos de programación, entre otros), o una solución de software como servicio o SaaS, cuando el usuario encuentra en la nube herramientas finales con las que puede implementar directamente los procesos que le interesan (una aplicación de contabilidad, de correo electrónico, un programa de gestión documental, etc.).
En consecuencia, puesto que los datos pueden estar en cualquier momento en cualquier lugar (data can be collected in Germany, stored in India and processed in the Unites States), pero los derechos y obligaciones relativos a los mismos deben garantizarse en todo caso, el RDL 14/2019 contiene varios mecanismos para evitar estas situaciones de incertidumbre y garantizar así la protección de los datos personales, como pueden ser la verificación por el contratista de las condiciones en que el proveedor debe prestar el servicio, incluyendo la solicitud de información sobre la ubicación del tratamiento, sobre la existencia de subcontratación y las políticas de seguridad que sigue, sobre los derechos de los usuarios y las obligaciones legales que se compromete a observar. Otros instrumentos también pueden facilitar dicho control, tales como la aplicación por parte del proveedor de la norma ISO/IEC 27018, de 29 de julio de 2014, sobre los requisitos para la protección de la información de identificación personal (PII) en sistemas cloud, de conformidad con los principios de privacidad en la norma ISO/IEC 29100, para entornos de trabajo con sistemas de almacenamiento en la nube.
Aun así, la aplicación de las cautelas previstas no siempre es fácil, tanto por las peculiaridades que se han descrito (el carácter dinámico y cambiante de la ubicación física de los datos) como porque puede haber falta de transparencia por parte del proveedor o un insuficiente control por parte del responsable (contratista). En este sentido, puesto que las reglas y controles en materia de transferencias internacionales de datos personales, a pesar de ser efectivas, pueden no ser suficientes cuando se trata de la prestación de servicios cloud, se ha considerado que una parte de la solución podría ser el desarrollo del European cloud computing centres or EU-based clouds para asegurar a los clientes que los datos personales se tratarán en el seno de la Unión Europea o en países con garantías adecuadas («The reform of the EU Data Protection Directive: the impact on business European Business Summit Brussels» SPEECH/11/349 de la Comisaría de Justicia de la Comisión Europea, de 18 de mayo de 2011, y, en este sentido, la iniciativa de la Comisión Europea The European Cloud Strategy 2012).
En este panorama, la limitación aprobada por el Real decreto-ley evitaría ya de entrada la deslocalización de los recursos fuera de la Unión Europea de todos los sujetos que intervienen, de forma directa o subcontratada, en la provisión de los servicios y la gestión de los sistemas de información objeto de la medida. Por tanto, resulta claro que el legislador estatal ha ido más allá del Reglamento (UE) 2016/679 y ha aprobado una limitación que, per se, ya facilita de entrada el control de los tratamientos de los datos personales afectados por los sistemas de identificación y firma electrónica que prevén los artículos 9.2.c y 10.2.c LPACAP, que favorece en su totalidad el cumplimiento del nivel de protección adecuado que otorgan las normas europeas y estatales.
Y ello hasta el punto de que difícilmente podrán tener lugar transferencias internacionales de datos en la gestión de estos sistemas si todos los recursos técnicos necesarios para la prestación del servicio han de estar localizados en el territorio europeo. En otras palabras, la prohibición general de deslocalización de las instalaciones es una medida más restrictiva que la regla aplicable a las transferencias internacionales de categorías especiales de datos que se recoge a continuación y que hemos examinado anteriormente, ya que es una restricción adicional que no permite ubicar sistemas en cloud de terceros países u organizaciones internacionales, incluso en los casos en que estos gocen de una decisión de adecuación o se trate de cumplir con una obligación internacional.
Ahora bien, dejando a un lado la defectuosa técnica legislativa utilizada, y por las mismas razones que hemos sostenido en el examen de la limitación de las transferencias internacionales, puede decirse que la limitación de localizar los recursos necesarios, en la medida en que comprende la totalidad del territorio de la Unión Europea, es legítima desde el punto de vista del derecho fundamental del artículo 18.4 CE y no es contraria al Reglamento (UE) 2016/679. Igualmente, ha sido dictada por el legislador sectorial estatal en desarrollo de las garantías del administrado y al amparo de las competencias previstas al artículo 149.1.18 CE.
No podemos sin embargo llegar a la misma conclusión respecto a la obligación de situar los recursos técnicos únicamente «en territorio español» la cual, según nuestra opinión, vulneraría los principios y las previsiones del citado Reglamento (UE) 2016/679 porque constituiría una medida innecesaria y desproporcionada, por mucho que se trate de proteger las categorías especiales de datos. Así, de dicha medida legal estatal resulta que los tratamientos de datos fuera de España quedarían prohibidos, equiparándose su régimen jurídico más al de una transferencia internacional que al que corresponde al espacio europeo. Recordemos que, precisamente, con la aplicación del Reglamento europeo se alcanza un nivel uniforme y elevado de protección de los derechos y libertades de las personas físicas con respecto al tratamiento de sus datos personales que permite eliminar los obstáculos a la circulación de datos personales en el territorio al que alcanza dicha norma.
Y, por tanto, es innecesaria porque el conjunto de estados de la Unión Europea que constituyen el ámbito de aplicación territorial del Reglamento (UE) 2016/679 están sometidos a prescripciones y garantías equivalentes, como resulta evidente e inmediato del hecho de formar parte del mismo ordenamiento jurídico y, consiguientemente, parece que ningún motivo podría avalar una medida que presupone una insuficiente cobertura, o la necesidad de una mayor protección, respecto del resto de estados miembros que forman parte de la Unión Europea. En el caso de España, cabe recordar que del artículo 93 CE se deriva que el ordenamiento estatal integra como derecho propio el derecho europeo en una posición jerárquica inmediatamente inferior a la Constitución y los tratados internacionales, y del cual son fuente superior los reglamentos comunitarios.
Y, además de innecesaria, cabe añadir que es una norma desproporcionada puesto que el resultado de su presunta adopción podría afectar al principio de libertad de establecimiento garantizado en los tratados originarios de la Unión Europea. Y ello sería así porque, tal como también lo hemos indicado, dicha regla limitaría de manera no razonable la libre competencia entre operadores económicos o empresas a la hora de competir en el conjunto del EEE, en la medida en que les fijaría una condición obstructiva y desmesurada de restricción de la ubicación de sus recursos ?circunscrita al territorio español? que les restaría libertad e incidiría en el principio de competencia en igualdad de condiciones.
En conclusión, los apartados uno y dos del artículo 3 RDL 14/2019, de 31 de octubre, en la obligación que incorporan en los artículos 9.3 y 10.3 LPACAP de situar los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de los artículos 9.2.c y 10.2.c LPACAP «en territorio español», así como la disposición transitoria primera, apartado 2 RDL 14/2019, cuando regula el régimen transitorio de dicha obligación, son contrarios a los principios del Reglamento (UE) 2016/679, respecto a la libre circulación de datos personales en el mercado interior (art. 1 y considerando 13).
Sentado lo anterior, creemos oportuno recordar al Gobierno que la contradicción de un reglamento europeo no puede dirimirse, en sentido estricto, en sede de la jurisdicción constitucional, por tratarse de un supuesto de legalidad ordinaria y selección del derecho aplicable, del que tiene última palabra la tiene el Tribunal de Justicia de la Unión Europea.
D) El apartado uno del artículo 4 RDL 14/2019 introduce un nuevo artículo 46 bis en la LRJSP, cuyo texto dice lo siguiente:
«Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deberán ubicarse y prestarse dentro del territorio de la Unión Europea.
Los datos a que se refiere el apartado anterior no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.»
Como puede constatarse, este precepto, dados su contenido y finalidad, contiene una serie de medidas equiparables a las examinadas en los apartados anteriores, si bien en este caso proyectadas sobre la Ley del régimen jurídico del sector público y otros sistemas de información y comunicación que gestionan habitualmente las administraciones públicas. En concreto, los relativos a los padrones municipales de habitantes y otros registros de población, los de datos fiscales relacionados con tributos propios o cedidos y los de datos de los usuarios del Sistema Nacional de Salud. Esto es: por una parte, se establece la regla general que no pueden efectuarse transferencias internacionales de los datos personales que tratan a menos que se hagan a terceros países que hayan sido objeto de una decisión de adecuación de la Comisión o que sean resultado del cumplimiento de una obligación internacional asumida por España.
Y, por otra parte, se incorpora también la limitación de la localización de los recursos «dentro del territorio de la Unión Europea», que se traduce nuevamente en la obligación de que dichos sistemas de información y comunicaciones, así como los correspondientes tratamientos de datos personales, deben ubicarse y prestarse dentro del territorio europeo. En este último caso, el precepto parece distinguir entre instalaciones físicas y tratamientos, aunque no lo esclarece, y aplica las mismas medidas a los datos relativos a la salud, que, como es sabido, son datos especiales, así como a otros datos que no lo son pero que, por la naturaleza de la información a la que afectan, el legislador estatal ha considerado que pueden someterse a unas condiciones o limitaciones específicas, teniendo en cuenta que también debe observarse lo establecido por la normativa sectorial aplicable.
Según lo indicado, las entidades del sector público deben adoptar las medidas necesarias para ubicar, o reubicar, en territorio europeo, los recursos que utilicen para gestionar directamente o a través de medios propios los sistemas de información y comunicaciones a que se refiere el artículo 46 bis, en el plazo de seis meses a partir de la entrada en vigor del Real decreto-ley (6 de mayo de 2020) (disp. trans. segunda, apdo. 1).
Cabe destacar que la principal diferencia con los artículos examinados en los apartados anteriores es que el nuevo artículo 46 bis LRJSP no prevé la restricción más intensa de la ubicación de los recursos en el territorio español sino que, como hemos dicho, exige que estén localizados dentro de la Unión Europea.
Y lo anterior pese a que dicha norma también comprende datos relativos a la salud (en este caso del Sistema Nacional de Salud), que hemos visto que sí que están sometidos a la citada obligación de localización en territorio español cuando son objeto de tratamiento por determinados sistemas de identificación y firma gestionados por las administraciones públicas. Además, el preámbulo, refiriéndose a este concreto artículo, justifica también la restricción territorial que se contiene «por motivos de seguridad pública», sin ulteriores explicaciones. Y, cuando se refiere a la regla sobre la transferencia internacional de datos, habla erróneamente de cesión de datos.
Sin embargo, al margen de estas observaciones críticas, pueden aplicarse al nuevo artículo 46 bis LRJSP las mismas consideraciones efectuadas respecto a la regla general de limitación de las transferencias internacionales, admitidas solo en casos de decisión de adecuación o cumplimiento de una obligación internacional asumida por España, y a la exigencia de situar los recursos en territorio europeo. En consecuencia, el apartado uno del artículo 4 RDL 14/2019 y la disposición transitoria segunda del RDL 14/2019 no vulneran las competencias de la Generalitat sobre régimen de las administraciones públicas ex artículo 159 EAC y encuentran amparo en el título competencial del artículo 149.1.18 CE.
E) El apartado dos del artículo 4 RDL 14/2019 da una nueva redacción al artículo 155 LRJSP, que establece que:
«1. De conformidad con lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y su normativa de desarrollo, cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad.
2. En ningún caso podrá procederse a un tratamiento ulterior de los datos para fines incompatibles con el fin para el cual se recogieron inicialmente los datos personales. De acuerdo con lo previsto en el artículo 5.1.b) del Reglamento (UE) 2016/679, no se considerará incompatible con los fines iniciales el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos.
3. Fuera del caso previsto en el apartado anterior y siempre que las leyes especiales aplicables a los respectivos tratamientos no prohíban expresamente el tratamiento ulterior de los datos para una finalidad distinta, cuando la Administración Pública cesionaria de los datos pretenda el tratamiento ulterior de los mismos para una finalidad que estime compatible con el fin inicial, deberá comunicarlo previamente a la Administración Pública cedente a los efectos de que esta pueda comprobar dicha compatibilidad. La Administración Pública cedente podrá, en el plazo de diez días oponerse motivadamente. Cuando la Administración cedente sea la Administración General del Estado podrá en este supuesto, excepcionalmente y de forma motivada, suspender la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para su preservación. En tanto que la Administración Pública cedente no comunique su decisión a la cesionaria esta no podrá emplear los datos para la nueva finalidad pretendida.
Se exceptúan de lo dispuesto en el párrafo anterior los supuestos en que el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales esté previsto en una norma con rango de ley de conformidad con lo previsto en el artículo 23.1 del Reglamento (UE) 2016/679.»
En relación con este precepto, el solicitante alega que el régimen jurídico de carácter general para las comunicaciones de datos entre administraciones públicas comportaría una restricción desproporcionada de las competencias reconocidas a la Generalitat en materia de organización de su Administración y sobre régimen jurídico y procedimiento administrativo, en los términos previstos en los artículos 150 y 159 EAC.
Por su parte, el preámbulo del Real decreto-ley argumenta que el objetivo de la reforma es «permitir un mayor control de los datos cedidos entre Administraciones Públicas, al efecto de garantizar la adecuada utilización de los mismos» situando el precepto analizado en el contexto del Reglamento (UE) 2016/679 en cuanto a la regulación que efectúa de la licitud del tratamiento de los datos personales para finalidades diferentes de las inicialmente previstas (apdo. II, párrs. duodécimo y decimotercero). Y la disposición final primera, apartado 2, declara que dicho precepto ha sido dictado al amparo de los artículos 149.1.18 y .29 CE.
En este sentido, centrándonos en el ámbito sobre el que incide el artículo 155 LRJSP, ahora modificado, cabe recordar, muy sintéticamente, que según la norma europea, los datos que se han recogido para fines determinados, explícitos y legítimos, no pueden tratarse con posterioridad de forma incompatible con estos fines. Referente a ello, el Reglamento (UE) 2016/679 establece la presunción general de que son en todo caso actividades compatibles con otra anterior los tratamientos que tengan finalidades de archivo en interés público, de investigación científica e histórica o estadísticas, aunque están igualmente sometidos al cumplimiento de una serie de garantías adecuadas, como pueden ser el principio de minimización, anonimización o seudonimización (art. 5.1.b y 89.1 RGPD). Para determinar si el tratamiento posterior con distinto fin es o no compatible con el fin por el que se recogieron inicialmente los datos personales, la citada norma europea ofrece algunos elementos o criterios de valoración: entre otros aspectos, debe tenerse en cuenta el contexto en el que se recogieron estos datos o las expectativas razonables del interesado basadas en su relación con el responsable en cuanto al posterior uso de sus datos (art. 6.4 RGPD y considerando 50). En caso de que el interesado haya sido informado y haya dado su consentimiento explícito, esta comprobación no resulta necesaria.
Establecido lo anterior, los dos primeros apartados del artículo 155 LRJSP, según la redacción dada por el Real decreto-ley, trasladan dicha regulación europea al ámbito de las comunicaciones o transmisiones de datos entre administraciones públicas para el ejercicio de sus funciones, que presenta peculiaridades propias. Y lo hacen remitiéndose al Reglamento europeo, reproduciendo parcialmente sus previsiones (técnica legislativa que admite el considerando 8 RGPD a efectos de una mejor comprensión de la norma interna) y, complementariamente, estableciendo la obligación de que cada Administración debe facilitar el acceso del resto de administraciones públicas a los datos relativos a los interesados que tenga en su poder si bien mediante un procedimiento que asegure las máximas garantías de seguridad, integridad y disponibilidad.
Respecto al apartado 3, regula el procedimiento o trámite interadministrativo que permitirá valorar y comprobar si la finalidad ulterior a la que se quiere destinar los datos es o no compatible con la que inicialmente legitimó su tratamiento, estableciendo una obligación adicional de consulta a la Administración que comunica los datos. De este modo, la Administración destinataria de los datos, responsable del nuevo tratamiento, no podrá llevarlo a cabo (por más que lo considere compatible) hasta que, previamente, lo haya comunicado a la Administración que los recogió inicialmente, la cual puede comprobar que, efectivamente, se da la citada compatibilidad y, en caso contrario, puede oponerse en un plazo de diez días. Para dicha comprobación, tendrá en cuenta los criterios establecidos en el artículo 6.4 RGPD, que hemos mencionado anteriormente.
Seguidamente, el citado apartado 3, en aplicación de las previsiones del artículo 23.1 RGPD (y del propio art. 6.4), dispone que esta garantía o procedimiento interadministrativo de constatación de la finalidad compatible puede ser exceptuado cuando una norma con rango de ley establezca que el tratamiento para una finalidad diferente se fundamenta en una «medida necesaria y proporcional en una sociedad democrática». Así, según la remisión que se contiene en el mismo: para salvaguardar la seguridad del Estado, la defensa, la seguridad pública, la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, los objetivos de interés económico o financiero importantes (incluyendo los ámbitos fiscales, presupuestarios, monetarios, de sanidad pública y la seguridad social), el ejercicio de la autoridad pública, la protección de la independencia judicial, del interesado y de los derechos y libertades de los demás o la ejecución de demandas civiles.
De hecho, la propia norma objeto de dictamen incorpora una excepción a la regulación procedimental que prevé, cuando declara que la Administración general del Estado puede suspender la transmisión de los datos personales por «razones de seguridad nacional», si bien exige que dicha potestad de suspensión tenga carácter excepcional y cautelar y se adopte de manera motivada y por el tiempo estrictamente indispensable para la preservación de la mencionada seguridad.
Hasta aquí nos hallamos ante una regulación que se remite a la normativa europea respecto a los principios y condiciones generales para un tratamiento lícito de los datos, que transcribe parcialmente, a la vez que desarrolla otros aspectos concretos del derecho fundamental ex artículo 18.4 CE cuando se proyecta sobre el sector público. No estamos, por consiguiente, ante la regulación del contenido esencial del citado derecho fundamental sino de una norma sectorial dictada por el legislador estatal al amparo del artículo 149.1.18 CE, que determina las especificidades y garantías adecuadas para preservar los derechos y libertades de las personas titulares de los datos cuando estos son objeto de comunicación o transmisión entre las administraciones públicas, ya sea con el objetivo de facilitar el ejercicio de sus funciones y competencias propias, ya sea para hacer efectivos otros derechos de los administrados en este concreto ámbito material, como es el caso del artículo 28.2 LPACAP. Recordemos que este precepto otorga a los interesados el derecho a no aportar en un procedimiento administrativo los documentos que ya se encuentren en poder de la Administración ante la que actúa o que hayan sido elaborados por cualquier otra Administración pública.
Cabe decir que el propio precepto prevé como medida restrictiva la suspensión de la transmisión de los datos entre las administraciones implicadas cuando se trate de preservar otros objetivos de interés público, en concreto, la protección de la seguridad nacional (art. 149.1.29 CE). En este caso, consideramos que la seguridad nacional constituye un presupuesto habilitante cualificado que puede operar como excepción del régimen general de comunicación de datos entre administraciones públicas. Así, consideramos que este concepto, según la jurisprudencia constitucional reciente (STC 184/2016, de 3 de noviembre, FJ 3 y 4, y en el mismo sentido los DCGE 18/2015, FJ 3 y 4; 5/2017, FJ 2 y 3), se convierte en una submateria con unas notas de riesgo estructural, sistémico y global que superan la noción de la seguridad pública en un sentido ordinario, vinculada a la protección de personas y bienes. En el caso de la seguridad nacional, la potencial amenaza se conecta con la materia de defensa (art. 149.1.4 CE), concurrencia esta que nos remite a situaciones de crisis que podrían consistir en riesgos excepcionales de atentados terroristas o ciberataques a nivel internacional, por mencionar algunos ejemplos lo bastante reveladores. Y esta esfera, como resulta evidente, recae de manera clara e inmediata en el ámbito de la competencia exclusiva del Estado, en coordinación y cooperación, en el caso de Cataluña, como también es evidente, con las autoridades autonómicas catalanas y el cuerpo de Mossos d?Esquadra.
Por otro lado, la propia norma incorpora una serie de cautelas o garantías para delimitar dicha potestad estatal de suspensión, que es definida como excepcional: tendrá carácter cautelar y se adoptará de forma motivada y por el tiempo estrictamente indispensable para su preservación.
Así pues, por todo lo que se ha expuesto, entendemos, como en los supuestos examinados en apartados anteriores, que la norma no vulnera las competencias de la Administración de la Generalitat respecto al procedimiento y al régimen jurídico de las administraciones públicas previstas en el artículo 159.2 EAC.
En conclusión, el apartado dos del artículo 4 del Real decreto 14/2019, que da nueva redacción al artículo 155 LRJSP, se adecúa al Reglamento (UE) 2016/679 y no vulnera las competencias de la Generalitat respecto del régimen jurídico de las administraciones públicas ex artículo 159.1 y .2 EAC, puesto que encuentra amparo en los títulos competenciales del artículo 149.1.18 y .29 CE.
Vistos los razonamientos contenidos en los fundamentos jurídicos precedentes, formulamos las siguientes
CONCLUSIONES
Primera. El Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones y, en concreto, los artículos 1, 2, 3, 4, 6, 7, las disposiciones adicional única y transitorias primera y segunda y la disposición final primera, son contrarios al artículo 86.1 CE, porque no cumplen el requisito constitucional de la extraordinaria y urgente necesidad.
Adoptada por unanimidad.
Segunda. El artículo 3.uno y .dos del Real decreto-ley 14/2019, en la redacción que da a los artículos 9.2.c y 10.2.c de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, concretamente en el inciso «previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses. Sin perjuicio de la obligación de la Administración General del Estado de resolver en plazo, la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios», vulnera las competencias de la Generalitat del artículo 159 EAC y no encuentra amparo en el artículo 149.1.18 y .29 CE. Por conexión, la disposición transitoria primera, apartado 1, y la disposición final primera, apartado 2 del Real decreto-ley 14/2019 también las vulneran y tampoco encuentran amparo en los preceptos constitucionales citados.
Adoptada por unanimidad.
Tercera. El artículo 6.uno del Real decreto-ley 14/2019, en la redacción que da al primer párrafo del apartado 6 del artículo 4 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, en cuanto a la facultad de «intervención» que atribuye al Estado, es inconstitucional porque vulnera el artículo 9.3 CE, ya que no cumple las exigencias de calidad normativa que debería observar una ley susceptible de producir injerencias en el ejercicio de los derechos fundamentales y las libertades públicas.
Adoptada por unanimidad.
Cuarta. El artículo 6.cinco del Real decreto-ley 14/2019, en la redacción que da al apartado 1 del artículo 81 de la Ley 9/2014, es inconstitucional porque vulnera el artículo 9.3 CE, ya que no cumple las exigencias de calidad normativa, tanto respecto a la incorporación de las garantías de los ciudadanos como a la previsibilidad de su aplicación.
Adoptada por unanimidad.
Quinta. El artículo 3.uno y .dos del Real decreto-ley 14/2019, en la obligación que incorpora a los artículos 9.3 y 10.3 de la Ley 39/2015, de situar «en territorio español» los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas previstos en los artículos 9.2.c y 10.2.c de la citada Ley, así como, por conexión, la disposición transitoria primera, apartado 2, del propio Real decreto-ley, son contrarios al principio de libre circulación de datos previsto en el artículo 1 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos y por el que se deroga la Directiva 95/46/CE.
Adoptada por unanimidad.
Sexta. El resto de preceptos examinados del Real decreto-ley 14/2019 no son contrarios al Estatuto ni a la Constitución.
Adoptada por unanimidad.
Este es nuestro Dictamen, que pronunciamos, emitimos y firmamos en el Palau Centelles en la fecha indicada en el encabezamiento.
Barcelona, 30 de diciembre de 2019
Àlex Bas Vilafranca
Consejero secretario
Joan Egea Fernàndez
Presidente
DICTAMEN 6/2019, de 30 de diciembre, sobre el Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
El Consell de Garanties Estatutàries, con la asistencia del presidente Joan Egea Fernàndez, del vicepresidente Pere Jover Presa, del consejero Jaume Vernet Llobet, del consejero secretario Àlex Bas Vilafranca, de los consejeros Francesc de Paula Caminal Badia y Carles Jaume Fernández, de la consejera Margarida Gil Domènech y del consejero Joan Vintró Castells, ha acordado emitir el siguiente
DICTAMEN
Solicitado por el Gobierno de la Generalitat sobre el Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones (BOE núm. 266, de 5 de noviembre de 2019).
ANTECEDENTES
1. El día 2 de diciembre de 2019 tuvo entrada en el Registro del Consell de Garanties Estatutàries un escrito del consejero de Acción Exterior, Relaciones Institucionales y Transparencia, de 2 de diciembre (Reg. núm. E2019000629), por el que, según lo previsto en los artículos 16.2.a y 23.f de la Ley 2/2009, de 12 de febrero, del Consell de Garanties Estatutàries (LCGE), se comunicaba al Consell el acuerdo del Gobierno de 26 de noviembre de 2019, de solicitud de emisión de dictamen sobre la adecuación al Estatuto y a la Constitución de los artículos 1, 2, 3, 4, 6, 7, la disposición adicional única y, por conexión, las disposiciones transitorias primera y segunda y la disposición final primera del Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
El solicitante requiere el dictamen de este Consell, que tiene carácter preceptivo según el artículo 76.3 EAC, para el caso de que se decidiera interponer un recurso de inconstitucionalidad.
2. El Consell de Garanties Estatutàries, en la sesión del día 3 de diciembre de 2019, tras examinar la legitimación y el contenido de la solicitud, de conformidad con los artículos 23 a 25, apartados 1 a 3, LCGE, acordó su admisión a trámite y se declaró competente para emitir el correspondiente dictamen. A continuación, se acordó realizar una ponencia conjunta de los consejeros Jaume Vernet Llobet y Francesc de Paula Caminal Badia y del consejero secretario Àlex Bas Vilafranca.
3. En la misma sesión, al amparo del artículo 25 LCGE, apartado 4, y del artículo 35, apartado 1, del Reglamento de organización y funcionamiento del Consell, acordó dirigirse al Gobierno con el fin de solicitarle la información y la documentación complementarias de que dispusiera en relación con la materia sometida a dictamen.
4. El 11 de diciembre de 2019 se recibió en el Registro del Consell un escrito del consejero de Acción Exterior, Relaciones Institucionales y Transparencia (Reg. núm. E2019000657) que adjuntaba como documentación complementaria un informe de la Asesoría Jurídica del Departamento de Políticas Digitales y Administración Pública, de 18 de noviembre de 2019, y unas notas relativas al impacto en el ámbito de la Administración digital y el procedimiento administrativo común del Real decreto-ley 14/2019, elaboradas por la Oficina de Innovación y Administración Digital.
5. Finalmente, tras las correspondientes sesiones de deliberación del Consell, el día 30 de diciembre de 2019 ha tenido lugar la votación y aprobación de este Dictamen, de acuerdo con lo previsto en los artículos 31.1 LCGE y 38 del Reglamento de organización y funcionamiento del Consell.
FUNDAMENTOS JURÍDICOS
Primero. El objeto del Dictamen
De conformidad con lo expuesto en los antecedentes, el Gobierno solicita la opinión del Consell, con carácter previo a la interposición, si procede, de un recurso de inconstitucionalidad ante el Tribunal Constitucional, al amparo de los artículos 16.2.a y 31 de la LCGE, respecto a varios preceptos del Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones (en lo sucesivo, RDL 14/2019 o Real decreto-ley).
En este primer fundamento jurídico nos limitaremos a resumir de forma breve el contenido del Real decreto-ley, recogiendo también sucintamente las dudas generales que el Gobierno expresa en su solicitud en relación con los preceptos que deben ser el objeto de nuestro pronunciamiento. La descripción, el detalle de las cuestiones planteadas por el escrito de petición del dictamen, el examen y la conclusión sobre las normas concretas los diferimos a los siguientes fundamentos jurídicos, según la estructura que seguidamente enunciaremos. El motivo de este pequeño cambio en la sistemática habitual de nuestro análisis, en el sentido de aligerar el contenido del presente fundamento jurídico, responde a la complejidad técnica de la materia y a la heterogeneidad de las medidas de la norma, las cuales trataremos en diferentes partes segregadas por razón del ámbito al que hacen referencia, facilitando así la claridad expositiva.
1. El Real decreto-ley objeto de dictamen, que ha sido convalidado por el Acuerdo de la Diputación Permanente del Congreso de los Diputados de 27 de noviembre de 2019 (publicado por la Resolución de la Presidencia del Congreso de la misma fecha en el BOE núm. 291, de 4 de diciembre de 2019), consta de siete artículos, estructurados en cinco capítulos, una disposición adicional, tres transitorias y tres finales.
Su contenido es heterogéneo y comprende una serie de medidas diversas en materia de documentación nacional de identidad (cap. I, arts. 1 y 2); identificación electrónica ante las administraciones públicas, ubicación de determinadas bases de datos y datos cedidos a otras administraciones (cap. II, arts. 3 y 4); contratación pública (cap. III, art. 5); seguridad en materia de telecomunicaciones (cap. IV, art. 6, y disp. ad. única), y coordinación en materia de seguridad de las redes y sistemas de información (cap. V, art. 7).
2. El escrito de petición del Dictamen cuestiona, en primer lugar, la adecuación del instrumento normativo utilizado por el Gobierno del Estado por el hecho de que, en su opinión, no estarían acreditadas las razones de extraordinaria y urgente necesidad que lo justifican y de que ordena ámbitos que no son susceptibles de ser regulados mediante real decreto-ley.
Efectuadas estas observaciones sobre el uso de la figura del instrumento normativo empleado, el Gobierno de la Generalitat entiende que las medidas incorporadas por la norma podrían incidir en las competencias de la Generalitat en materia de comunicaciones electrónicas, organización de su Administración y régimen jurídico y procedimiento de las administraciones públicas catalanas, así como en materia de seguridad pública, reconocidas todas ellas en los artículos 140.7, 150, 159 y 164 EAC, respectivamente. Asimismo, cuestiona que la intervención administrativa que se atribuye al Gobierno del Estado en el ámbito de las redes y servicios de comunicaciones electrónicas sea susceptible de llevarse a cabo sin autorización judicial, con la consiguiente potencial afectación de derechos fundamentales.
El escrito de petición contiene una descripción del contenido de los cinco capítulos del RDL 14/2019, acompañada de la explicación de las dudas que suscitan algunos de sus preceptos, aunque finaliza con una solicitud genérica de pronunciamiento sobre la adecuación a la Constitución y al Estatuto de autonomía de los artículos 1, 2, 3, 4, 6 y 7, de la disposición adicional única y, por conexión, de las disposiciones transitorias primera y segunda y la disposición final primera.
En cuanto a los preceptos citados por la solicitud de dictamen, el Consell examinará, tal como establece nuestra Ley (art. 24 LCGE), así como la práctica consolidada en nuestra función consultiva y la propia jurisprudencia constitucional, las normas respecto de las que se aporte una mínima justificación de las razones de su posible inconstitucionalidad o antiestatutariedad.
3. De acuerdo con lo anterior, a fin de dar respuesta a la petición, en el fundamento jurídico segundo analizaremos el cumplimiento por parte de la norma dictaminada de los requisitos constitucionales del decreto-ley ex artículo 86.1 CE.
Seguidamente, en el fundamento jurídico tercero examinaremos las medidas en materia de documentación nacional de identidad establecidas en los artículos 1 y 2 RDL 14/2019, por los que se modifican el artículo 8.1 de la Ley orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana (en lo sucesivo, LOPSC) y el artículo 15.1 de la
A continuación, en el fundamento jurídico cuarto analizaremos, por un lado, las medidas en materia de telecomunicaciones reguladas en el artículo 6.uno y .cinco RDL 14/2019, que modifica los artículos 4.6 y 81.1 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones (en lo sucesivo, LGTEL), respectivamente, y el artículo 6.dos, por el que se añade a la citada LGTEL un nuevo apartado 3 en su artículo 6, junto con la disposición adicional única del Real decreto-ley, sobre comunicación de las redes de comunicaciones electrónicas en régimen de autoprestación de las administraciones públicas.
Y, por otro lado, en este mismo fundamento abordaremos las medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información previstas en el artículo 7 RDL 14/2019, mediante el que se incorpora un nuevo apartado 3 al artículo 11 del Real decreto-ley 12/2019, de 7 de septiembre, de seguridad de las redes y sistemas de información (en lo sucesivo, Real decreto-ley 12/2019).
Finalmente, en el fundamento jurídico quinto y último trataremos las cuestiones planteadas por el peticionario relativas al derecho a la protección de datos personales con respecto al artículo 3.uno y .dos RDL 14/2019 en relación a la adición de un nuevo apartado 3 a los artículos 9 y 10 LPACAP y, por conexión, su régimen transitorio (disp. trans. primera, apdo. 2 RDL 14/2019); el artículo 4.uno por el que se añade un nuevo artículo 46 bis a la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público (en lo sucesivo, LRJSP) y su régimen transitorio (disp. trans. segunda RDL 14/2019), y el artículo 4.dos, que modifica el artículo 155 LRJSP.
Respecto a la disposición final primera, relativa a los títulos competenciales que habilitan la norma dictaminada, nos referiremos a ella, si procede, y por conexión, cuando analicemos los preceptos concretos en los citados fundamentos jurídicos.
Segundo. El examen del cumplimiento de los requisitos constitucionales del decreto-ley del artículo 86.1 CE y su aplicación en el Real decreto-ley 14/2019
Nos corresponde en este fundamento jurídico examinar previamente el canon de constitucionalidad del decreto-ley, conforme al artículo 86.1 CE, para aplicarlo posteriormente a los preceptos de la norma, cuestionados y objeto de dictamen. Por ello, efectuaremos, en primer lugar, un análisis sucinto de la configuración de este tipo de norma, ampliamente estudiado por este Consell en otros dictámenes. También recordaremos brevemente la jurisprudencia constitucional correspondiente, ampliamente citada en nuestros pronunciamientos consultivos.
Como ya hemos afirmado reiteradamente con anterioridad en varios dictámenes, el decreto-ley se configura como una norma jurídica con rango de ley, dictada por el Gobierno con carácter excepcional. Supone la atribución del ejercicio de la potestad legislativa ordinaria del Parlamento al Gobierno, exceptuando de este modo el monopolio parlamentario de la potestad legislativa (art. 66.2 CE). Por ello, la utilización de este tipo de disposiciones debe llevarse a cabo de forma restrictiva y, consiguientemente, debe respetar inexcusablemente los límites formales y materiales que prevé el artículo 86.1 CE (por todos, DCGE 5/2019, de 23 de julio, FJ 3).
En relación con dichos requisitos, tanto respecto al presupuesto formal habilitante como a los límites por razón de su objeto (aspectos, ambos, requeridos en la solicitud de dictamen), nos remitimos a nuestra doctrina consultiva consolidada (entre otros, DCGE 5/2012, de 3 de abril, FJ 2; 6/2012, de 1 de junio, FJ 2; 25/2014, de 11 de diciembre, FJ 3, y más recientemente DCGE 5/2019, FJ 3). Por consiguiente, en aras de la brevedad y la simplificación, resumiremos su contenido, en lo que ahora más nos interesa. Simultáneamente, también recordaremos, sin citarla literalmente, la jurisprudencia del Tribunal Constitucional relativa a los decretos-leyes (en particular, STC 34/2017, de 1 de marzo, donde se hace una síntesis de su interpretación). Sobre este punto, dicho sea de entrada, en la tarea de escrutinio de la presencia del presupuesto habilitante del decreto-ley, este Consell ha sido más exigente que la jurisprudencia constitucional y ha cuestionado repetidamente el uso excesivo de dicha figura normativa, lo que «no deja de ser preocupante desde la perspectiva constitucional, por más que se prevea una sesión de convalidación parlamentaria» (por todos, DCGE 5/2019, FJ 3).
1. En primer lugar, procederemos, por consiguiente, al examen de la concurrencia o no de la extraordinaria y urgente necesidad, así como también de la conexión de sentido entre las medidas aprobadas y la situación que se pretende solucionar, elementos, ambos, del presupuesto formal habilitante.
Respecto de esta cuestión, la solicitud de dictamen expresa sus dudas sobre la inadecuación del Real decreto-ley, en tanto que «no se acreditan debidamente las razones de extraordinaria y urgente necesidad que lo justifican». Además, indica que el preámbulo únicamente menciona los riesgos desde la perspectiva de la seguridad pública, «cuando estos ya forman parte de la propia estructura del esquema de seguridad», aprobada con anterioridad.
A) Como decíamos en el fundamento jurídico tercero del DCGE 25/2014, la naturaleza extraordinaria de la necesidad ha sido interpretada por el Tribunal Constitucional y por el Consell como el caso excepcional en el que una situación coyuntural de difícil previsión requiere de una intervención normativa inmediata por parte del Gobierno para hacer frente a los objetivos de gobernabilidad (por todas, STC 137/2011, de 14 de septiembre, FJ 4, y también DCGE 15/2014, de 3 de julio, FJ 2.3). Es suficiente, en cuanto al alcance de la necesidad, que esta se origine en las tareas concretas y habituales del Gobierno y no es necesario que se trate de necesidades extremas o absolutas (STC 6/1983, de 4 de febrero, FJ 5).
La doctrina jurisprudencial se ha mostrado, en términos generales, más proclive a la validación del decreto-ley, cuando se trata «de las actuaciones desarrolladas en los ámbitos de la política social y económica» (STC 68/2007, de 28 de marzo, FJ 12) o en circunstancias de especial coyuntura económica, que exigen una respuesta normativa urgente, siempre que estas hayan sido debidamente expuestas y justificadas en el texto de la disposición. Sin embargo, no resulta suficiente partir de conjeturas, ya que el presupuesto formal habilitante debe verificarse respecto de una concreta situación fáctica, que ha de ser evidenciada por el Gobierno del Estado.
En este sentido, el Tribunal ha insistido en que se han de tener presentes «las situaciones concretas y los objetivos gubernamentales» (STC 329/2005, de 15 de diciembre, FJ 5), que han conducido a la emisión de un decreto-ley específico. El requisito consistente en justificar de forma explícita y razonada la existencia del presupuesto habilitante es una exigencia que no puede decaer en ningún caso, ni siquiera cuando se inscribe en situaciones de crisis económica (DCGE 16/2013, de 15 de noviembre, FJ 3.3), circunstancia que, dicho sea de antemano, tampoco se produce en el supuesto que estamos dictaminando, que, como veremos más adelante, afecta a otras materias, singularmente la seguridad pública en diferentes ámbitos, según indica el propio título de la norma.
Precisamente, la falta de justificación de la necesidad ha fundamentado el giro de la jurisprudencia constitucional hacia una concepción más estricta de la utilización del decreto-ley, que, en algunas ocasiones, ha conducido a la inconstitucionalidad de la disposición gubernativa examinada y que tiene como claro exponente la STC 68/2007, en la que el Tribunal no admite la fundamentación de la extraordinaria y urgente necesidad mediante una cláusula ritual y abstracta. Por el contrario, exige que el Gobierno explique en concreto y razone suficientemente por qué ha considerado que concurre este tipo de situación, por mucho que la apreciación inicial de su existencia se considere un juicio político que a él mismo le corresponde efectuar (FJ 10), lo que no debe hacer imposible el control de constitucionalidad. La mencionada línea ha sido seguida posteriormente en otros pronunciamientos (como, por ejemplo, las STC 150/2017, de 21 de diciembre; 125/2016, de 7 de julio; 29/2015, de 19 de febrero, y 137/2011, de 14 de septiembre). Más recientemente, en la STC 61/2018, de 7 de junio, el Tribunal ha insistido nuevamente en que deben eludirse «fórmulas rituales o genéricas» que no permiten justificar la necesidad (FJ 7).
Dado que en la determinación de lo que constituye una necesidad extraordinaria los poderes públicos gozan de un margen de discrecionalidad razonable, la función de control del Consell debe limitarse a verificar que los motivos estén suficientemente explícitos, razonados y faltos de apariencia de arbitrariedad (por todos, DCGE 5/2019, FJ 3, y 5/2015, de 20 de abril, FJ 2), sometiéndolos a un test formal de razonabilidad (DCGE 6/2012, FJ 2; 11/2012, de 22 de agosto, FJ 5, y 15/2014, FJ 2.3).
Como decíamos en el DCGE 6/2012, y acabamos de recordar, el presupuesto habilitante «debe ser verificable y, por tanto, los motivos de su justificación deben constar de manera expresa» (FJ 2). Así pues, la revisión del Consell debe constatar la existencia de una «exposición motivada y fundamentada de la justificación por la cual se recurre a la vía del decreto-ley, con el fin de descartar su uso abusivo o arbitrario» (DCGE 15/2014, FJ 2.3).
Para efectuar la tarea de verificación, el Tribunal Constitucional exige que la justificación se desprenda en todo caso del análisis conjunto del preámbulo de la norma, y de los documentos que se adjuntan a su expediente de tramitación, así como del correspondiente debate de convalidación del decreto-ley, lo que pasaremos a examinar seguidamente.
Del análisis de los datos de que disponemos respecto del RDL 14/2019 se constata que ni en el preámbulo ni en el debate de convalidación ante la Diputación Permanente de 27 de noviembre de 2019 (DSCD núm. 14), acaecido en los últimos días de la XIII legislatura, no se acredita de forma explícita y razonada una justificación suficiente para avalar la constitucionalidad del Real decreto-ley ex artículo 86.1 CE, como exige la jurisprudencia del Tribunal Constitucional (por todas, STC 11/2002, de 17 de enero, FJ 4). Así, entendemos que no se puede inferir la existencia de una extraordinaria necesidad ni en lo que se refiere a la norma en su conjunto ni, específicamente, respecto de cada uno de los preceptos que se contienen en la misma, como exponemos a continuación.
En el preámbulo se citan dos situaciones de naturaleza diversa que, eventualmente, podrían justificar la necesidad de dictar un decreto-ley.
Por una parte, en su inicio, de forma general se afirma que «[l]a sociedad actual requiere de adaptaciones en la esfera digital que exigen de una traducción en el plano normativo. El desarrollo y empleo de las nuevas tecnologías y redes de comunicaciones por parte de las Administraciones Públicas se está acelerando. Ello exige establecer sin demora un marco jurídico que garantice el interés general y, en particular, la seguridad pública» (apdo. I, párr. primero). Esta diagnosis no es nueva, como reconoce el proemio del Real decreto-ley cuando menciona el carácter estratégico de la seguridad pública, avalado por la Ley 36/2015, de 28 de septiembre, de seguridad nacional. Dicha estrategia de seguridad nacional fue aprobada por el Real decreto 1008/2017, de 1 de diciembre (apdo. I, párrs. segundo y tercero).
La misma argumentación, y con parecidas palabras, también de carácter genérico y abstracto, se reproduce posteriormente en el apartado dedicado a la justificación competencial de la norma al sostener que «las medidas contenidas en el presente real decreto-ley tienen como finalidad incrementar el estándar de protección de la seguridad pública frente a las crecientes amenazas que plantea el uso de las nuevas tecnologías» (apdo. VI, párr. quinto).
Por otra parte, se afirma igualmente que «[l]os recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin» (apdo. I, párr. sexto) lo que se vincula con la disquisición anterior, sobre las ciberamenazas, cuando se añade «y a la luz siempre de los últimos sucesos en territorio español» (apdo. VI, párr. quinto).
Así pues, se hace una referencia de pasada a una grave situación indeterminada en una parte del Estado así como a unos sucesos, sin concretar ni los hechos producidos, ni donde se ha ocasionado precisamente dicha afectación de los derechos de los ciudadanos y de la seguridad pública.
Además, cuando el preámbulo expone las diversas partes del contenido de la norma tampoco menciona porque son necesarios los cambios que incorpora, desde la perspectiva de su extraordinaria necesidad.
En la presentación del Real decreto-ley durante el acto de convalidación anteriormente citado, la ministra de Economía y Empresa en funciones tampoco aclaró ninguna de estas dudas, ya que no trató en ningún momento de las razones que avalaban una extraordinaria necesidad, ni concretó tampoco la situación que pretendía afrontarse con dicha disposición, ni siquiera la localización de los hechos que merecían una actuación normativa estatal extraordinaria.
Llegados a este punto, consideramos que la utilización por parte del preámbulo de fórmulas rituales y abstractas, tales como que la sociedad actual requiere de una adaptación a la esfera digital o que la aceleración en el uso de las nuevas tecnologías por parte de la Administración exige establecer un marco jurídico que garantice el interés general, o el uso de expresiones ambiguas o imprecisas, como las de «graves acontecimientos», «sucesos de esta índole», sin mayor concreción, tampoco en el debate de la convalidación del decreto-ley, no permiten vislumbrar la situación, bien coyuntural bien estructural, a la que pretende dar respuesta el Real decreto-ley, ni, desde luego, concretar si tiene el carácter de excepcional, grave, relevante e imprevisible que habilitaría el uso de la potestad legislativa extraordinaria del Gobierno. En consecuencia, esta aparente justificación no es admisible constitucionalmente para acreditar el requisito habilitante para dictar el Real decreto-ley.
Lo anterior se pone aún más de manifiesto teniendo en cuenta que la disposición legislativa dictaminada comprende la modificación de varios ámbitos materiales (principalmente, documentación nacional de identidad, administración digital, contratación pública, telecomunicaciones y protección de datos) y de sus correspondientes instrumentos normativos, que hubieran requerido una fundamentación específica y singularizada. Como hemos sostenido recientemente en el DCGE 5/2019 (FJ 3), «si las medidas que contiene un decreto-ley son diversas, como es el caso, las situaciones concretas de urgencia y necesidad que justifican su adopción también son susceptibles de serlo (STC 199/2015, FJ 5, y 61/2018, FJ 6, y, aplicando esta doctrina, DCGE 11/2012, FJ 5, o 5/2015, FJ 2».
Respecto a la precitada nota de imprevisibilidad, el hecho de que el Real decreto-ley incluya un conjunto de reformas legislativas recientes tampoco abona esta idea. Las distintas temáticas que trata la norma que dictaminamos, ya habían sido discutidas en sede parlamentaria, si bien no plenamente en la dirección recién propuesta. En este sentido, la STC 137/2011 afirma que «la situación [?] que se pretende afrontar en el precepto recurrido ya había sido apreciada y puesta de manifiesto con anterioridad en otros instrumentos normativos que precedieron al Real Decreto-ley» (FJ 7).
En consecuencia, es palmaria la insuficiencia de la debida justificación de la existencia de una situación grave, relevante, excepcional o imprevisible a la que hacer frente y, por tanto, del carácter extraordinario de la necesidad de dictar este Real decreto-ley.
B) Además del carácter extraordinario de la necesidad, el cumplimiento del presupuesto formal habilitante exige la presencia del elemento de la urgencia. Para caracterizarla, la jurisprudencia del Tribunal Constitucional ha interpretado que «[e]l fin que justifica la legislación de urgencia no es otro que subvenir a ?situaciones concretas de los objetivos gubernamentales que por razones difíciles de prever requieran una acción normativa inmediata en un plazo más breve que el requerido por la vía normal o por el procedimiento de urgencia para la tramitación parlamentaria de las leyes?» (por todas, STC 137/2011, FJ 4). En sentido análogo, nuestra doctrina consultiva entiende que «el Gobierno únicamente estaría legitimado para ejercer su potestad normativa mediante decreto-ley cuando por la vía de la tramitación parlamentaria de naturaleza más urgente no fuera razonablemente viable o posible alcanzar los objetivos perseguidos por la acción normativa» (DCGE 15/2014, FJ 2.3, que se remite al DCGE 7/2010, de 22 de abril).
Del mismo modo que la extraordinaria necesidad, la urgencia también debe justificarse de forma motivada y expresa (DCGE 7/2012, de 8 de junio, FJ 3.3). Así, en el DCGE 7/2010, de 22 de abril, en el que recordábamos los dictámenes del Consejo Consultivo (DCC 268, de 31 de mayo de 2005, F II, y DCC 292, de 8 de abril de 2009, F II) afirmábamos que «la urgente necesidad de proveer de norma reguladora a una determinada situación fáctica debe identificarse y concretarse en el contenido de las disposiciones generales emanadas a este efecto» (FJ 3). Y, con ocasión de nuestro pronunciamiento sobre un Decreto-ley de la Generalitat, añadíamos que «la excepcionalidad de la necesidad debe ir acompañada de la constatación, motivada y expresa, de que el procedimiento en sede parlamentaria afectaría decisivamente, por razones de tiempo excesivo, a la obtención del efecto o a los resultados pretendidos por las medidas exigidas con el fin de hacerle frente» (DCGE 17/2013, de 15 de noviembre, FJ 2, que recoge el DCGE 6/2012, de 1 de junio, FJ 2).
En el caso que nos ocupa, y a modo de justificación de una necesidad urgente, tanto en el preámbulo del Real decreto-ley (apdo. III, párr. quinto) como en su presentación ante la Diputación Permanente (DSCD citado, p. 14) se aduce el hecho de que las cámaras se encuentran disueltas. Por esta razón, el Real decreto-ley se ha convalidado ante la Diputación Permanente y no ante el Pleno del Congreso de Diputados. Es cierto que esto es así y que, además, un gobierno en funciones no puede presentar proyectos de ley para su tramitación parlamentaria (art. 21.5 de la Ley 50/1997, de 27 de noviembre, del Gobierno), para lo cual es necesario tener en cuenta cuándo se iniciará la nueva legislatura (que tuvo lugar el 3 de diciembre de 2019, pocos días más tarde de la convalidación) y cuándo podrá ser efectiva la presentación de proyectos de ley para su debate. El Real decreto-ley ha entrado en vigor el 6 de noviembre, casi un mes antes de iniciarse la XIV legislatura.
Para empezar, en cuanto al análisis de la urgencia desde la perspectiva de que el procedimiento legislativo ordinario no posibilite ninguna vía para la adopción de las medidas sin tener que recurrir a la figura del decreto-ley, cabe decir que el especial y específico hecho que acabamos de exponer corroboraría en cierta manera, y a priori, la utilización de este tipo de norma, ya que nos sitúa en un cierto contexto de incertidumbre temporal y, por consiguiente, de urgencia, por el hecho de que el Gobierno no dispondría de ningún otro instrumento legislativo para aprobar rápidamente las medidas pertinentes para hacer frente a una justificada necesidad extraordinaria. Ciertamente, no podría presentar un proyecto de ley porque las cámaras están disueltas y, una vez constituidas, debería esperar a que se constituyera un nuevo Gobierno para poder presentarlo. Pero lo anterior no es, en nuestra opinión, suficiente en sí mismo, para acreditar la existencia de la necesidad urgente, ya que debe quedar fundamentada la perentoriedad de la acción legislativa y, por tanto, la imposibilidad de obtener el mismo resultado mediante la aprobación de una disposición que siga la tramitación ordinaria o urgente en las cámaras legislativas (DCGE 17/2013, de 15 de noviembre, FJ 2).
Es ilustrativo señalar, en este sentido, que el Consell no ha considerado como fundamento acreditativo de un supuesto de urgencia la mera hipótesis del agotamiento de la legislatura, dada la posible convocatoria anticipada de elecciones. Así, en el DCGE 5/2015, declaramos que dicho hecho coyuntural, «ni que llegue a producirse, no puede operar como justificación» (FJ 2.2). Ello supondría, en palabras del precitado Dictamen (interpretando el art. 64.1 EAC, a nuestros efectos aplicable al art. 86 CE), una «desnaturalización de un supuesto previsto exclusivamente para situaciones que, por su caracterización fáctica, generalmente sobrevenida, necesitan una normativa inmediata en bien del interés público», condición «bien distinta e incompatible» con un recurso para hacer frente a contextos derivados de decisiones o motivaciones estrictamente políticas (FJ 3).
Por consiguiente, para efectuar el escrutinio sobre la existencia de la urgencia de la situación es necesario no solo citar expresamente la concreta situación que quiere afrontarse con rapidez, sino también que el Gobierno del Estado exponga la fundamentación de cuáles serían los perjuicios y obstáculos que se derivarían de esperar la constitución y presentación de proyectos de ley en una tramitación legislativa ordinaria, incluso a través del trámite legislativo de urgencia (STC 68/2007, FJ 12).
Este punto se explicita, de manera muy genérica y poco motivada, en el preámbulo del Real decreto-ley y en su presentación en el debate de convalidación. Así, la única referencia que se efectúa en el primero es a que la introducción de las medidas a través de un proyecto de ley no puede efectuarse en el momento presente porque las cámaras están disueltas y no puede dilatarse su adopción hasta la Constitución de las Cortes Generales porque, incluso con la utilización entonces del trámite de urgencia, «no se conseguiría reaccionar a tiempo» (apdo. III. párr. quinto). Por su parte, en el debate de convalidación la ministra repite que se trata de una norma urgente «habida cuenta de la celeridad con la que se están produciendo los avances en esta materia y dada la situación política actual, con el Gobierno en funciones y las Cámaras disueltas. Esperar a la constitución de las nuevas Cortes y tramitar un proyecto de ley habría impedido contar con la suficiente celeridad con un marco jurídico preventivo que sirva para proteger los derechos y libertades constitucionalmente reconocidos» (DSCD citado, p. 14). La única justificación que se aporta, pues, es que faltaría la «celeridad suficiente» para la adopción de las medidas, pero siguen sin exponerse los hechos concretos que las justificarían ni tampoco se describen los efectos que hacen necesaria una reacción inmediata y no solo preventiva.
Además, continuando con el debate de convalidación, en la respuesta de la ministra a los representantes de los grupos parlamentarios, esta sostiene que «está claro que se trata de una realidad que cambia de forma vertiginosa. Por eso estoy convencida de que tendremos ocasión de trabajar conjuntamente para seguir desarrollando el marco normativo en el ámbito digital en la próxima legislatura, y tener así en cuenta algunas de las propuestas que se han hecho hoy aquí» (DSCD citado, p. 31). De lo anterior se desprende la voluntad de que las medidas incorporadas al Real decreto-ley se vuelvan a presentar y debatir a lo largo de la legislatura siguiente, porque la XIII legislatura está a punto de finalizar. La finalidad de replantear el contenido de la norma podría poner en cuestión su carácter urgente, ya que existe una intención manifiesta de incorporar las propuestas de los grupos a una u otras normas, que deberán ser nuevas, puesto que dicho Real decreto-ley no se ha sometido a la tramitación como proyecto de ley para convertirse en ley (art. 86.3 CE).
En consecuencia, falta la argumentación del por qué es indispensable recurrir al decreto-ley a fin de encontrar a tiempo una solución que no podría alcanzarse con el procedimiento legislativo ordinario, tanto en general como en particular para los preceptos objeto de dictamen.
Para acabar con nuestra argumentación, y tal como sostuvimos en el DCGE 15/2014 (FJ 2), si bien doctrinalmente, a efectos de su examen, el carácter imprevisible o extraordinario de la necesidad es tratado separadamente de la urgencia, desde un punto de vista fáctico comparten las circunstancias y motivaciones que llevan a valorar la situación como extraordinaria, en un caso, y urgente, respecto a la vía legislativa descartada. Por consiguiente, la falta de concreción de la situación o situaciones a las que pretenden hacer frente las medidas previstas en el decreto-ley y la justificación inexistente de su carácter extraordinario hacen a la vez imposible determinar porque no puede atenderse a la vía legislativa ordinaria.
Consiguientemente, estamos en condiciones de afirmar que no queda lo bastante acreditada ni justificada la existencia de una necesidad urgente de dictar el Real decreto-ley objeto de dictamen en su conjunto ni de sus preceptos en concreto.
Expuesto lo anterior resulta innecesario detenernos en otros elementos calificadores de la urgencia, como sería el examen del carácter inmediato de los efectos o lo instantáneo de las medidas adoptadas, como se pone de relieve en la jurisprudencia constitucional (STC 332/2005, de 15 de diciembre, FJ 7, y STC 96/2014, de 12 de junio, FJ 7); es decir, hasta qué punto las medidas incorporadas en el decreto-ley modifican de manera instantánea la situación jurídica existente a fin de hacerle frente (STC 39/2013, de 14 de febrero, FJ 9, y 1/2012, de 13 de enero, FJ 11, entre otras).
C) Para concluir con el análisis del presupuesto formal habilitante, debemos referirnos a la exigencia de la conexión de sentido o congruencia entre las medidas adoptadas por la disposición y la finalidad que persigue. El DCGE 6/2012, FJ 2, la sintetiza identificándola con la existencia de un vínculo razonable entre dichas medidas y la situación que exige la acción normativa (en este sentido, STC 1/2012, FJ 6, 7 y 11), por lo que deberán rechazarse aquellas que «por su contenido y de manera evidente, no guarden relación alguna, directa ni indirecta, con la situación que se trata de afrontar» (STC 1/2012, FJ 11).
La medida establecida debe mantener «la necesaria conexión entre la facultad legislativa excepcional y la existencia del presupuesto [de hecho] habilitante» (STC 68/2007, FJ 6), regla que obliga a que el contenido específico de lo que sustantivamente prescribe la disposición aprobada responda a la situación de extraordinaria y urgente necesidad. Es imprescindible examinar el contenido y la estructura de la disposición normativa aprobada por el Gobierno (DCGE 16/2013, FJ 3.4) con el objeto de averiguar si hay congruencia entre la necesidad de dictarlo y las medidas que lo integran.
En el presente caso, al no haberse especificado cuál es la situación extraordinaria que quiere afrontarse y que hace necesaria la emisión de un decreto-ley, nos hallamos ante una indeterminación que difícilmente puede vincularse con las medidas que el Real decreto-ley adopta, de modo que se desacredita la conexión de sentido respecto de todo su contenido, cuestión esta que constituye un requisito exigido por la jurisprudencia constitucional. Además, el hecho de que las medidas respondan a subámbitos normativos diferentes parece advertir de la existencia de una pluralidad de situaciones que se desea encauzar, aspecto que tampoco queda aclarado ni fundamentado por el Gobierno del Estado.
D) Finalmente, una vez hemos verificado que la definición que el Gobierno ha efectuado de la situación de necesidad extraordinaria y urgente no ha sido ni explícita ni razonada, y hemos constatado la imposibilidad de vincular la situación que pretende afrontarse con las medidas previstas en la disposición citada, nos hallamos en condiciones de afirmar que el Gobierno del Estado no ha justificado el cumplimiento del requisito formal del presupuesto habilitante que legitima la validez constitucional del uso del decreto-ley ex artículo 86.1 CE, y, en consecuencia, el RDL 14/2019 vulnera este precepto constitucional.
2. Seguidamente, trataremos los límites del decreto-ley por razón del objeto regulado. Al respecto cabe decir que el ámbito material prohibido a dichas disposiciones ha sido analizado por la jurisprudencia constitucional y por nuestra doctrina consultiva. En particular, nos servirá de referencia tanto la temprana STC 111/1983, de 2 de diciembre (FJ 8), como la doctrina desarrollada en resoluciones posteriores, entre otras, las STC 182/1997, de 28 de octubre (FJ 6 y 7), y 329/2005 (FJ 8). Respecto al Consell, resumiremos los DCGE 2/2019, de 22 de febrero (FJ 2.3); 5/2015 (FJ 2.4), y 5/2012 (FJ 2.2).
El artículo 86.1 CE fija los límites materiales a los que necesariamente deberá atenerse el Gobierno cuando dicte un decreto-ley, entre los cuales, a nuestros efectos, no podrá afectar a los derechos, deberes y libertades de los ciudadanos regulados en el título I.
La jurisprudencia constitucional ha interpretado que la figura del decreto-ley no debe entenderse de manera tan restrictiva que impida su uso como instrumento normativo idóneo para regular y dar respuesta a circunstancias cambiantes de nuestra sociedad (STC 329/2005, FJ 8). Una interpretación estricta y expansiva de esta limitación material contenida en el artículo 86.1 CE lo vaciaría de contenido y lo haría inservible para regular, con mayor o menor incidencia, cualquier aspecto del título I de la Constitución (STC 111/1983, FJ 8; 329/2005, FJ 8). En definitiva, si se interpreta que la expresión «no podrán afectar» concierne cualquier regulación que incida en los derechos constitucionales regulados en el título I, «el decreto-ley, como instrumento normativo previsto en la Constitución y en el Estatuto, resultaría prácticamente inoperante» (DCGE 2/2019, FJ 2.3).
De conformidad con la jurisprudencia constitucional citada, no toda regulación que afecte a un derecho reconocido en el título I de la Constitución está prohibida materialmente en la figura del decreto-ley. Siguiendo esta interpretación, dicha norma no puede regular, en ningún caso, el régimen general del derecho ni tampoco sus elementos esenciales (STC 111/1983, FJ 8, y 182/1997, FJ 6 y 7).
Así, de acuerdo con el DCGE 5/2015, cuando un decreto-ley afecte los precitados derechos «deberá respetar el límite infranqueable de los elementos esenciales de su régimen general, sin alterarlo ni modificarlo de modo que no se innove en la configuración que lo hace reconocible como tal. La modulación y concreción del alcance y rigor del acotamiento [?] también variará, ha recordado el Tribunal Constitucional, según la naturaleza e, incluso, la ubicación sistemática del derecho en el texto constitucional, dentro de las diversas secciones y capítulos del título I» (FJ 2.4).
En todo caso, como dijimos en el DCGE 5/2012, cabe subrayar que la doctrina constitucional ha sido esencialmente concebida para evitar la inaplicación de hecho de la figura del decreto-ley, cosa que se derivaría de una interpretación literal y, por consiguiente, muy estricta, del concepto «afectar» que la Constitución incorporó, de forma que:
«A partir de aquí, podemos fijar dos criterios básicos que deben retenerse con el fin de determinar el alcance de la mencionada cláusula restrictiva sobre el decreto-ley y que se concretan en dos aspectos: por una parte, que la legislación de urgencia no regule el régimen general de los derechos, deberes y libertades del título I CE y que la interpretación constitucionalmente adecuada tenga en cuenta la configuración constitucional de los derechos en cuestión, su ubicación sistemática en el título I CE; y, de la otra, el mayor o menor grado de intensidad o rigor de las garantías de las que disfrutan, en virtud de lo que establece el artículo 53 CE.» (FJ 2.2)
De este modo, en el precitado Dictamen y fundamento se afirma que «entendemos que el ?régimen general? de un derecho, de un deber o de una libertad es equiparable al establecimiento de su régimen jurídico, es decir, a la ordenación de las reglas relativas a la titularidad, al objeto, a la forma o al procedimiento que definen el derecho, además de las referidas a los límites y las garantías para su ejercicio, todos ellos elementos esenciales del derecho» (DCGE 5/2012, FJ 2.2).
Así pues, nos corresponde examinar si los preceptos solicitados del Real decreto-ley «afectan» en el sentido del artículo 86.1 CE a algunos derechos fundamentales.
De entrada, podemos descartar una serie de preceptos que no tienen relación, ni siquiera indirecta, con los derechos fundamentales, como la regulación del DNI, en documento físico o electrónico (arts. 1 y 2 RDL 14/2019); la de los sistemas de identificación y firma electrónica de los interesados ante las administraciones públicas (art. 3.uno y .dos RDL 14/2019, con respecto a los art. 9.2.c y 10.2.c LPACAP); la coordinación en materia de seguridad de las redes (art. 7); las redes de comunicaciones electrónicas en régimen de autoprestación (disp. ad. única) y los títulos competenciales invocados por el Estado para dictar la norma (disp. final primera), cuyo contenido se tratará en los fundamentos jurídicos siguientes.
Otros, como analizaremos posteriormente con más detalle, regulan aspectos relacionados con el derecho a la protección de datos de carácter personal (art. 18.4 CE), puesto que inciden sobre la figura de las transferencias internacionales de datos personales, en cuanto se refieren a la ubicación territorial de los recursos para su tratamiento y la gestión de determinados sistemas de identificación y firma electrónica en el procedimiento administrativo (art. 3.uno y dos RDL 14/2019, con respecto a los artículos 9.3 y 10.3 LPACAP) o para la gestión de determinados sistemas de información y de comunicación de las administraciones públicas (art. 4.uno RDL 14/2019, respecto del nuevo artículo 46 bis LPACAP) y también a las comunicaciones de datos entre administraciones públicas (art. 4. dos RDL 14/2019, en cuanto al artículo 155 LRJSP). Ahora bien, podemos avanzar que los preceptos citados, como veremos, no establecen el régimen jurídico de este derecho, en la medida en que no ordenan las reglas relativas a la titularidad, objeto o conjunto de las facultades que lo conforman o definen, ni a los límites o garantías para su ejercicio, lo que se ha efectuado principalmente mediante la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
De hecho, y en este mismo sentido, el propio preámbulo del Real decreto-ley declara que dicha norma se limita a regular «aspectos meramente puntuales respecto del tratamiento de datos personales por parte de las Administraciones Públicas y sus contratistas al amparo de la habilitación contenida en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la Ley Orgánica 3/2018» (apdo. IV, párr. segundo).
La argumentación anterior, en relación con los artículos 3 y 4 del Real decreto-ley, puede hacerse extensiva a las disposiciones transitorias primera y segunda puesto que fijan el régimen transitorio de las modificaciones de estos preceptos.
En cuanto a los preceptos relacionados con las medidas para reforzar la seguridad en materia de telecomunicaciones, básicamente el artículo 6 del Real decreto-ley, en principio tampoco deberían constituir una real afectación de los derechos fundamentales. Sin embargo, por la técnica legislativa empleada, el apartado uno y el cinco del artículo 6 RDL 14/2019, en la regulación que efectúan de la intervención de las redes y servicios de comunicaciones electrónicas y del cese de una presunta actividad infractora, previo al inicio del procedimiento sancionador, respectivamente, pueden tener una cierta repercusión sobre algunos derechos fundamentales y serán examinados después, motivo por el cual nos remitirnos a las consideraciones que realizaremos en el fundamento jurídico cuarto. Como se verá posteriormente, su análisis se vincula a su calidad normativa, susceptible de afectar a derechos fundamentales (arts. 18 y 24 CE) pero sin que, en ningún caso, tengan por objeto regular los elementos nucleares de su régimen jurídico, que están incluidos entre los límites materiales de la figura del decreto-ley.
Así pues, de la lectura de las disposiciones solicitadas, y vista la regulación material de carácter sectorial y puntual que llevan a cabo, se desprende que ninguna pretende llevar a cabo una regulación del régimen general de los derechos citados ni desarrolla su contenido esencial, entendiendo por este las facultades o posibilidades de actuación que los hacen reconocibles, como tampoco comporta unas limitaciones sustanciales que los hagan impracticables.
Lo anterior, como hemos advertido, sin perjuicio de las precisiones que efectuaremos en los fundamentos jurídicos siguientes sobre el contenido y alcance de los concretos preceptos cuestionados y, cuando proceda, sobre la vulneración o no de los derechos recién citados.
En consecuencia, en aplicación de la doctrina constitucional y consultiva que acabamos de exponer, nos hallamos en condiciones de señalar que los preceptos solicitados del Real decreto-ley 14/2019, al no afectar al régimen o a los elementos esenciales de los derechos, no vulneran los límites materiales que exige el artículo 86.1 CE.
A modo de conclusión de lo que hemos expuesto en este fundamento jurídico, consideramos que el Real decreto-ley 14/2019 y, en concreto, los artículos 1, 2, 3, 4, 6, 7, las disposiciones adicional única y transitorias primera y segunda y la disposición final primera son contrarios al artículo 86.1 CE, porque no cumplen el requisito constitucional de la extraordinaria y urgente necesidad.
Tercero. El examen de la adecuación constitucional y estatutaria de los preceptos del Real decreto-ley 14/2019 relativos al documento nacional de identidad y a la identificación electrónica ante las administraciones públicas
En este fundamento jurídico trataremos primero las medidas introducidas en materia de documentación nacional de identidad (arts. 1 y 2 RDL 14/2019 que modifican los art. 8.1 LOPSC y 15.1 LFE, respectivamente) y en segundo lugar nos referiremos a las que se relacionan con la identificación electrónica ante las administraciones públicas (art. 3.uno y .dos RDL 14/2019, en lo referido a los art. 9.2 y 10.2 LPACAP).
Se trata de ámbitos regulatorios diferentes, relativos a la acreditación de la identidad de una persona física y a los sistemas de identificación electrónica validados por los interesados (ya sean persona física o jurídica) en su relación con las administraciones públicas. Como veremos a continuación, las particularidades y el contexto normativo del documento nacional de identidad (en lo sucesivo, DNI), por una parte, y los de los sistemas de identificación citados, por otra, nos ubican en materias competenciales diferentes, que permiten al Estado y a las comunidades autónomas unas facultades normativas y ejecutivas igualmente distintas. Sin embargo, el papel que el primero puede representar también como sistema de identificación de los interesados ante las administraciones públicas justifica que lo tratemos en este mismo fundamento jurídico.
1. Para dar adecuada respuesta a las dudas de naturaleza competencial que la solicitud plantea en relación con el primer bloque de preceptos cuestionados, sobre las medidas en materia de documentación nacional de identidad, deberemos encuadrar materialmente las normas cuestionadas, al objeto de determinar el título prevalente en que se ampara y su alcance, lo que llevaremos a cabo teniendo en cuenta la descripción del contenido y finalidad de los preceptos solicitados, la petición del Gobierno, la naturaleza y funciones del DNI, así como los precedentes y el contexto normativo de dichos preceptos.
A) Resumidamente, los artículos 1 y 2 RDL 14/2019 modifican el artículo 8.1 LOPSC y el artículo 15.1 LFE, que, respectivamente, regulan la naturaleza y los efectos del DNI, en formato físico y electrónico, en el siguiente sentido. Por un lado, el artículo 8.1 declara que los españoles tienen derecho a la expedición de su DNI y que este es un documento público y oficial. Además, como relativa novedad, lo declara ahora con más énfasis, al prescribir que es «el único documento» con suficiente valor por sí solo para la acreditación, «a todos los efectos», de la identidad y los datos personales de su titular. Por otro lado, el artículo 15.1 LFE indica que el DNI electrónico acredita la identidad personal de su titular, en este caso electrónicamente, y permite la firma electrónica de documentos, estableciendo, como novedad, una remisión a los términos en los que el artículo 8.1 LOPSC dispone que el DNI acredita dicha identidad personal.
La disposición final primera, apartado 1, del Real decreto-ley que dictaminanos establece que los artículos 1 y 2 se dictan al amparo del artículo 149.1.29 CE, que atribuye al Estado la competencia exclusiva en materia de seguridad pública. La solicitud del Gobierno no niega que la materia regulada por los citados preceptos se ubique en el aludido título competencial de seguridad pública (art. 149.1.29 CE), sino que centra su cuestionamiento en el posible efecto restrictivo que la concreta regulación que ahora se efectúa pueda tener sobre las competencias de la Generalitat para determinar los sistemas de identificación de los interesados ante las administraciones públicas, incidiendo en las competencias previstas en los artículos 150 y 159 EAC. En concreto, critica que la principal consecuencia de dicha modificación es que la creación de sistemas de identificación y firma deberá ir precedida de una identificación personal que solo podrá realizarse a través del DNI.
Al respecto, debemos empezar recordando que el DNI, que se expide a todos los españoles, se convierte en una consecuencia de la nacionalidad, de modo que todos los ciudadanos españoles tienen derecho a disponer de él (art. 8.1 LOPSC). Esta relación con la nacionalidad, sin embargo, es solo indirecta y no implica ningún tipo de encabalgamiento con el artículo 149.1.2 CE que, por otro lado, también atribuye en exclusiva al Estado la competencia para regular dicho ámbito material, como veremos al describir el canon competencial.
El derecho de los ciudadanos españoles a que el Estado les expida el DNI se relaciona con el derecho a la identidad o reconocimiento de la personalidad jurídica previsto en el artículo 6 de la Declaración universal de derechos del hombre y al artículo 16 del Pacto internacional de derechos civiles y políticos; relación que deriva de que el citado documento público es el medio ordinario de acreditación de dicha personalidad jurídica. Cabe tener en cuenta que la identidad de una persona física, como derecho, no solo se refiere a los rasgos y datos personales que la caracterizan e individualizan, sino también al derecho a conocer los propios orígenes y a la identidad sexual, entre otros, pero estos últimos aspectos, obviamente, quedan fuera de la identidad más básica a la que se refiere el DNI y, por consiguiente, estarán al margen del objeto del presente Dictamen. Aquí tan solo nos limitaremos a destacar que la importancia de este derecho ha sido puesta de relieve, últimamente, por la reciente STC 99/2019, de 18 de julio, señalando que «si bien este derecho no se reconoce como tal en la Constitución Española de 1978, se puede considerar tácitamente incluido en el art. 10.1 CE, aparte de que sí está reconocido tanto en el art. 8 de la Convención sobre los derechos del niño de 2006 como en la Carta europea de los derechos del niño de 1992» (FJ 8).
Por lo que interesa a los efectos de este Dictamen, cabe tener presente, igualmente, que la acreditación de la identidad de los ciudadanos es la premisa determinante e imprescindible para que los poderes públicos puedan cumplir su función de persecución de los delitos y garantizar a la vez la seguridad ciudadana y la paz social. Es en este ámbito material de la seguridad pública (art. 149.1.29 CE) donde, precisamente, se sitúan las medidas que atribuyen al DNI carácter exclusivo y excluyente, como único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y datos personales de su titular. De hecho, garantizar el cumplimiento de los fines que persigue la ley de seguridad ciudadana es el sentido al que responde toda esta regulación sobre la documentación e identificación de los ciudadanos españoles, el valor probatorio del documento nacional de identidad y el pasaporte, así como los deberes de sus titulares, y la incorporación de las posibilidades de acreditación electrónica de la identidad y el mantenimiento de la exigencia de exhibirlos a requerimiento de los agentes de la autoridad en los supuestos y con las garantías que prevé la ley (art. 9.2 y 16 LOPSC), tal como resulta de los apartados II y III del preámbulo de la LOPSC y ha afirmado también la STC 25/2004, de 26 de febrero (FJ 6).
El artículo 9.1 LOPSC, por las mismas razones de seguridad pública, remarca igualmente la relevancia de este documento de identificación estableciendo que ningún español puede ser privado del DNI, ni siquiera temporalmente, salvo en los casos y en la forma establecidos por las leyes según las cuales deba ser sustituido por otro documento.
Y todo ello es así prescindiendo, incluso, del hecho de que, tradicionalmente, la competencia para expedir el DNI se haya atribuido a la autoridad policial, concretamente al Ministerio del Interior (a través de la Dirección General de Policía) a la que, además, corresponde la custodia y responsabilidad de los archivos y ficheros que con él se relacionan; competencia orgánica prevista por el artículo 10 LOPSC (que el art. 12.1.A.a de la Ley orgánica 2/1986, de 13 de marzo, de fuerzas y cuerpos de seguridad asigna aún más concretamente al «Cuerpo Nacional de Policía») que, por cierto, no deriva de ningún mandato constitucional. Dicho esto, queremos destacar, aunque solo sea de paso, que esta atribución de la competencia para su otorgamiento a organismos responsables de la seguridad ciudadana, no significa que sea un documento que se relacione exclusivamente con el ámbito policial y con dicha seguridad. En efecto, como ya se ha indicado, el DNI es, destacadamente, un documento acreditativo de la personalidad jurídica (en expresión del art. 6 de la Declaración universal de derechos humanos de 1948) de su titular, motivo por el que quizás fuera más apropiado que dicha competencia orgánica se atribuyera al Registro Civil, pero esta es una cuestión que no nos corresponde entrar a valorar.
La vinculación de la presente regulación del DNI con la seguridad pública no excluye, como es obvio, que, como sistema de identificación de los ciudadanos españoles, este documento de identidad sea igualmente esencial en otros ámbitos ajenos a la seguridad pública, como puede ser, por ejemplo, el fiscal, a la hora de permitir que la Administración tributaria lleve a cabo las correspondientes actividades de control. En este sentido, aparte del hecho de que el DNI sea referente obligado para la expedición de otros documentos de especial relevancia como son el pasaporte o la identificación fiscal, y de las funciones específicas que la normativa sobre seguridad ciudadana le ha atribuido, debe resaltarse que en varios sectores del ordenamiento jurídico podemos encontrar ejemplos de otros medios admitidos para la identificación de los ciudadanos españoles.
A título ilustrativo, cabe mencionar la posibilidad de que la mesa electoral identifique a los electores también mediante pasaporte o permiso de conducir en que aparezca la fotografía del titular (art. 85 Ley orgánica 5/1985, de 19 de junio, del régimen electoral general); la acreditación de la nacionalidad e identidad de los otorgantes o comparecientes españoles en una escritura pública mediante DNI o pasaporte (art. 161 Reglamento de la organización y el régimen del notariado, aprobado por el Decreto de 2 de junio de 1944, modificado por el Real decreto 45/2007, de 19 de enero), o la identificación de las personas que se hagan cargo de envíos postales ante el operador postal que realice la entrega mediante la exhibición de DNI, pasaporte o permiso de conducir (art. 32.1 Real decreto 1829/1999, de 3 de diciembre, por el que se aprueba el Reglamento por el que se regula la prestación de los servicios postales, en desarrollo de la Ley 24/1998, de 13 de julio, del servicio postal universal y de liberalización de los servicios postales).
Una vez descritos la naturaleza y principales funciones del DNI, especialmente en lo que concierne al ámbito de la seguridad ciudadana, a continuación, antes de proceder al encuadre competencial definitivo de los preceptos cuestionados, formularemos algunas consideraciones generales sobre los precedentes y el contexto que delimitan la legislación y el marco regulador del DNI.
Los precedentes de la LOPSC los encontramos, primeramente, en el Decreto 196/1976, de 6 de febrero, por el que se regula el documento nacional de identidad que, en lo que aquí interesa, lo configuraba como «un documento público que acredita la auténtica personalidad de su titular, constituyendo el único y exclusivo justificante completo de la identificación de la persona. Será imprescindible para justificar por sí mismo y oficialmente la personalidad de su titular, haciendo fe, salvo prueba en contrario, de los datos personales que en él se consignen». Y, más adelante, en la Ley orgánica 1/1992, de 21 de febrero, sobre protección de la seguridad ciudadana, dictada también al amparo de la competencia estatal del artículo 149.1.29 CE sobre seguridad pública, que ya establecía el derecho y el deber de obtener el DNI a partir de los 14 años, el cual tenía por sí solo suficiente valor para acreditar la identidad de los ciudadanos españoles; la expedición del pasaporte o documento equivalente, y el deber de identificación de los extranjeros que se encontrasen en España (cap. II, sección III), así como las condiciones en que las fuerzas y cuerpos de seguridad podrían requerir la identificación de las personas (cap. III).
La actual normación del DNI se encuentra, principalmente, en la LOPSC; la Ley 84/1978, de 28 de diciembre, por la que se regula su tasa de expedición; la LFE, en cuanto al DNI electrónico, y el Real decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica.
Concretamente, el capítulo II de la LOPSC, intitulado «Documentación e identificación personal» (arts. 8 a 13) y dictado al amparo del artículo 149.1.29 CE, determina el valor probatorio del DNI y del pasaporte y los deberes de los titulares de dichos documentos, incorpora las posibilidades de identificación y de firma electrónica y exige la exhibición a requerimiento de los agentes de la autoridad, conforme a lo previsto por la Ley (art. 16, entre otros). En cuanto al pasaporte, la propia LOPSC lo configura como documento público, personal, individual e intransferible, que, a menos que haya una prueba en contrario, acredita la identidad y la nacionalidad de los ciudadanos españoles fuera de España y, dentro del territorio nacional, las mismas circunstancias de los españoles no residentes (art. 11 LOPSC). De todo ello resulta que ambos documentos acreditan, con carácter general y en los términos expuestos, la identidad de los españoles, aunque el DNI es el único que, en todo caso, tiene suficiente valor identificativo por sí solo.
En el entorno digital, el DNI electrónico, en el caso de los españoles mayores de edad que gocen de plena capacidad de obrar y de los menores emancipados, además de acreditar la identidad en el sentido tradicional, permite la identificación electrónica de su titular y la firma electrónica de documentos, en los términos previstos en la legislación específica (art. 8.3 LOPSC y art. 15.1 LFE), puesto que incorpora el certificado y la firma electrónicos. En este punto, la LFE se limita a fijar su marco normativo básico estableciendo el deber de todas las personas físicas o jurídicas, públicas o privadas, a reconocer la eficacia del documento nacional de identidad electrónico para verificar la identidad y el resto de datos personales del titular que consten en él, y para acreditar la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica que están incluidos (art. 15.2 LFE). En desarrollo de la Ley orgánica 1/1992 y de la regulación contenida en la LFE y el mandato recogido en su disposición final segunda, se aprobó el RD 1553/2005 antes citado, al que ya hemos hecho referencia.
Asimismo, respecto a la identificación de los interesados en el procedimiento administrativo, el artículo 9.1 LPACAP obliga a las administraciones a verificar la identidad de los interesados «mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente». En cuanto a su identificación electrónica, nos remitimos al análisis del artículo 3.uno y .dos RDL 14/2019 que realizaremos más adelante en este mismo fundamento jurídico.
B) Hechas las precisiones anteriores, pasaremos a exponer el parámetro de constitucionalidad relativo a las competencias del Estado en materia de seguridad pública (art. 149.1.29 CE), que es donde hemos determinado que se encuadran competencialmente los artículos solicitados.
Debemos empezar, consiguientemente, por definir de forma breve cuál es su significado, ya que lo volveremos a tratar otras veces en este Dictamen, al relacionarlo con otros títulos que inciden en los diferentes preceptos solicitados (como, por ejemplo, defensa en el art. 149.1.4 CE, bases del régimen jurídico de las administraciones públicas y procedimiento administrativo común, en el art. 149.1.18 CE, o régimen general de las comunicaciones, en el art. 149.1.21 CE).
La competencia sobre seguridad pública ha sido examinada en varias ocasiones por elConsell (DCGE 18/2015, de 26 de noviembre, FJ 2) y por la jurisprudencia constitucional (por todas, STC 25/2004, de 26 de febrero, FJ 6), que resumiremos más adelante.
De acuerdo con el artículo 149.1.29 CE, se trata de una competencia asignada constitucional y principalmente al Estado, si bien tendrá que desplegarse sin perjuicio de la creación de policías por parte de las comunidades autónomas. Donde estas existan habrá una cierta concurrencia competencial, por mandato constitucional, en el marco de una ley orgánica de reparto funcional. Dicha Ley orgánica es la 2/1986, de 13 de marzo, de fuerzas y cuerpos de seguridad del Estado. El artículo 13 del Estatuto de autonomía de 1979 (y ahora el 164 EAC) permitió asumir competencias en seguridad y crear los Mossos d?Esquadra como cuerpo policial de Cataluña.
El DNI se expide a todos los españoles, constituye a la vez una consecuencia de la nacionalidad, de modo que todos los españoles tienen derecho a él (art. 8.1 LOPSC), sin que ello quiera decir, no obstante, que afecte al título competencial del artículo 149.1.2 CE. En efecto, sobre el alcance material de la regulación de la nacionalidad podemos recurrir a la Declaración 1/1992 del Tribunal Constitucional, de 1 de julio, según la cual:
«El legislador de la nacionalidad debe, como es obvio, definir quiénes son españoles, es decir, quiénes tienen, potencialmente, capacidad para ser titulares de cualesquiera situaciones jurídicas en el ordenamiento y sobre ello no le da la Constitución pauta material alguna. Pero no puede, sin incurrir en inconstitucionalidad, fragmentar, parcelar o manipular esa condición, reconociéndola solamente a determinados efectos con el único objeto de conceder a quienes no son nacionales un derecho fundamental.» (FJ 5)
Es decir, la regulación del Estado sobre la nacionalidad y sus efectos comporta otorgar el derecho a obtener el DNI a los nacionales, como documento identificador. La regulación del DNI, en tanto que consecuencia de la nacionalidad, no constituye una ordenación de esta última(art. 149.1.2 CE), ya que no determina quién es y quién no es nacional, ni establece los requisitos necesarios para adquirir la nacionalidad, sino que prescribe uno de sus efectos: permitir acreditar que se dispone de la nacionalidad española, de modo que, como hemos dicho al inicio de este fundamento jurídico, la competencia en materia de nacionalidad no desplaza a la seguridad pública como prevalente en el supuesto que ahora se examina.
Así, para completar el parámetro de constitucionalidad y de estatutariedad que ha de guiar nuestro pronunciamiento sobre los artículos 1 y 2 RDL 14/2019 citados, nos referiremos muy brevemente a la jurisprudencia constitucional. La STC 104/1989, de 8 de junio, afirma que la seguridad pública se refiere a la «protección de personas y bienes y al mantenimiento de la tranquilidad u orden ciudadano» (FJ 3). En la STC 25/2004, el Tribunal Constitucional lo precisa diciendo que dicha materia incluye «un conjunto plural y diversificado de actuaciones, distintas por su naturaleza y contenido, aunque orientadas a una misma finalidad tuitiva del bien jurídico así definido» y sitúa en el seno del título, de forma predominante, «las organizaciones y los medios instrumentales, en especial los cuerpos de seguridad a que se refiere el art. 104 CE» (FJ 6). Sin embargo, también ha ampliado el concepto de seguridad pública más allá de la regulación de las intervenciones de la policía de seguridad (STC 148/2000, de 1 de junio, FJ 6). En este sentido, añade «[o]tros aspectos y otras funciones distintas de los cuerpos y fuerzas de seguridad, y atribuidas a otros órganos y autoridades administrativas» (STC 104/1989, de 8 de junio, FJ 3). De este modo, como hemos enunciado al tratar del encuadre competencial de ambos preceptos cuestionados, la STC 25/2004, refiriéndose a la ahora derogada LO 1/1992, incluye, entre los ámbitos a los que se constriñe la regulación efectuada por dicha ley, el establecimiento de la responsabilidad de las autoridades en lo que se refiere a la documentación personal de nacionales y extranjeros en España, entendiendo que son aspectos susceptibles «de originar riesgos ciertos que pueden afectar de modo directo y grave a la seguridad de personas y bienes» (FJ 6), sin la voluntad de extender la regulación a cualquier actividad que tenga una relación más o menos estrecha con la seguridad pública.
C) Una vez ha quedado concretado el parámetro competencial aplicable al núcleo principal de la materia que regula el Real decreto-ley en relación con el DNI, nos corresponde examinar ahora si los preceptos cuestionados se ajustan a él o, lo que es lo mismo, si, tal como denuncia la solicitud, comportan una restricción o un desplazamiento de las competencias de la Generalitat para determinar los sistemas de identificación de los interesados ante las administraciones públicas en sede del procedimiento administrativo regulado en la LPACAP (arts. 150 y 159 EAC). Y, de modo más concreto, si la principal consecuencia de esta previsión es que «inexcusablemente, la creación de sistemas de identificación y firma deberá ir precedida de una identificación personal que solo podrá acreditarse mediante DNI».
Para una mejor comprensión de su análisis, que realizaremos de forma conjunta dada la conexión indiscernible que existe entre ambos artículos, los reproduciremos seguidamente en su literalidad.
El artículo 1 RDL 14/2019 modifica el apartado 1 del artículo 8 LOPSC el cual queda redactado con el contenido siguiente:
«1. Los españoles tienen derecho a que se les expida el Documento Nacional de Identidad.
El Documento Nacional de Identidad es un documento público y oficial y tendrá la protección que a estos otorgan las leyes. Es el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular.»
Por su parte, el artículo 2 RDL 14/2019 modifica el apartado 1 del artículo 15 LFE en los términos siguientes:
«1. El documento nacional de identidad electrónico es el documento nacional de identidad que acredita electrónicamente la identidad personal de su titular, en los términos establecidos en el artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y permite la firma electrónica de documentos.»
Tal como ha quedado dicho al principio de este fundamento jurídico, la modificación introducida en el artículo 8.1 LOPSC consiste en añadir que el DNI es «el único documento» con suficiente valor por sí solo para acreditar «a todos los efectos» la identidad del titular y sus datos personales. Y, con respecto al artículo 15.1 LFE, la reforma se limita a incorporar una remisión al citado artículo 8.1 LOPSC.
Debemos comenzar recordando, nuevamente, que con la atribución al DNI, con carácter de único y exclusivo, de la condición de justificante completo de la auténtica personalidad de su titular, se recupera una característica que, según hemos expuesto en este mismo fundamento jurídico, al tratar de la naturaleza de dicho documento identificativo, ya le atribuía el artículo 1 del Decreto 196/1976, de 6 de febrero, que entonces regulaba el documento nacional de identidad.
A partir de aquí, entendemos que el sentido que debe darse al restablecimiento de esa exclusividad es que ninguna autoridad ni ningún particular puedan exigir en el ámbito de la seguridad pública un documento diferente al DNI para acreditar la identidad y datos personales de sus titulares. Cabe recordar, nuevamente, que se trata de normas que se sitúan en el ámbito material de la seguridad pública, en los que la identidad de las personas constituye la premisa determinante e imprescindible a fin de que los poderes públicos puedan desarrollar su función de garantizar dicha seguridad y la paz social.
Por esta razón y cuando se trate de otras situaciones, nada excluye que las administraciones públicas, para el ejercicio de determinados derechos o el disfrute de prestaciones públicas, puedan exigir, con arreglo a sus competencias, que los ciudadanos españoles tengan que estar en posesión de otro documento acreditativo o que en el procedimiento administrativo puedan identificarse electrónicamente también a través de sistemas diferentes al DNI.
En este sentido, la primera consecuencia que, con carácter general, puede extraerse del artículo 15.1 LFE es que los titulares del DNI electrónico son al mismo tiempo titulares de una firma electrónica reconocida, sin perjuicio de los otros sistemas de identificación que se prevén en este mismo artículo. Aparte de lo anterior, hay que tener presente, también, que la firma y el certificado electrónicos contenidos en el DNI electrónico tienen un carácter más reforzado que el resto de firmas electrónicas reconocidas, ya que todo el mundo, incluidas las diferentes administraciones públicas, debe reconocerlo en su doble vertiente: como identificador de su titular y como firma de documentos electrónicos (art. 15.2 LFE).
Ahora bien, la remisión del artículo 15.1 LFE al hecho de que la acreditación electrónica de la identidad personal del titular del DNI lo es «en los términos que establece el artículo 8 de la Ley orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana» no implica que los sistemas de identificación y firma deban ir precedidos de una identificación personal que solo pueda acreditarse mediante DNI.
Esta constatación se confirma con el hecho de que la modificación realizada por los artículos 1 y 2 RDL 14/2019 se ha producido sin cambiar la normativa básica estatal, salvo en lo que después diremos sobre la autorización estatal previa, en el caso de los sistemas de clave concertada y otros sistemas equiparados. Es decir, por un lado, se ha mantenido la regla según la cual las administraciones públicas pueden verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación del nombre y apellidos que consten en el DNI o documento identificativo equivalente (art. 9.1 LPACAP), y, por otro, se mantiene igualmente la posibilidad de que los interesados se identifiquen ante las administraciones públicas a través de sistemas basados en certificados electrónicos, de clave concertada o de cualquier otro sistema que las administraciones consideren válido (como, por ejemplo, el idCAT Móvil o el SIVCat), en los términos y condiciones que se establezca (art. 9.2 LPACAP), sin ningún otro requisito.
Las consideraciones efectuadas nos llevan a afirmar que la determinación del DNI como «único documento» con suficiente valor por sí solo para la acreditación «a todos los efectos» de la identidad y datos personales de su titular solo impide que pueda crearse otro equivalente con la misma consideración y eficacia que describe el artículo 8.1 LOPSC. Por consiguiente, la reforma no introduce ninguna debilitación respecto a la validez de otros sistemas de identificación y firma a través de diversos documentos identificativos como podría ser, por ejemplo, la tarjeta de identificación sanitaria de la Generalitat. Dicho con otras palabras, la modificación de ambos preceptos se circunscribe a la acreditación de la identidad y de los datos personales en el ámbito de la seguridad pública y no implica que en todos los procedimientos administrativos tenga que aportarse siempre el DNI como elemento adicional de acreditación.
Así, pues, a diferencia de lo que se sostiene en la solicitud, consideramos que establecer que el DNI sea el único documento con valor suficiente para acreditar, por sí solo, la identidad y los datos personales de su titular, en nada afecta a la competencia de la Generalitat de Cataluña para organizar su propia Administración (art. 150 EAC), ni tampoco a la que le corresponde en materia de régimen jurídico y procedimiento de las administraciones públicas catalanas (art. 159 EAC).
En consecuencia, los artículos 1 y 2 RDL 14/2019, de 31 de octubre, en la modificación que efectúan, respectivamente, del apartado 1 del artículo 8 de la Ley orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y del apartado 1 del artículo 15 de la
3. A continuación, analizaremos el artículo 3 RDL 14/2019, apartados primero y segundo, en lo que respecta a las modificaciones introducidas en los artículos 9.2 y 10.2 LPACAP, preceptos que contienen un conjunto de medidas en materia de identificación y firma electrónica de los interesados en el procedimiento administrativo. Por su vinculación con los mismos, también examinaremos el apartado 1 de la disposición transitoria primera del Real decreto-ley, que establece el régimen transitorio de las medidas anteriores.
Dado que los cambios introducidos en las letras a y b de los artículos 9.2 y 10.2 LPACAP no han sido cuestionados por el solicitante y responden, tal como manifiesta el preámbulo del Real decreto-ley, a la necesidad de adaptar su contenido al Reglamento (UE) núm. 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (en lo sucesivo, Reglamento eIDAS), limitaremos nuestro análisis, en cuanto a los citados preceptos, únicamente a la nueva redacción de su letra c.
Iniciaremos, pues, nuestra tarea consultiva con el examen de la vigente redacción de los artículos 9.2.c y 10.2.c LPACAP, así como de la disposición transitoria primera.1 RDL 14/2019.
Con carácter previo e introductorio al análisis de los citados preceptos, efectuaremos, de forma sucinta, varias consideraciones generales sobre el contexto en el que se insieren. Posteriormente, realizaremos su encuadre, expondremos brevemente el parámetro de constitucionalidad y estatutariedad que les resulte aplicable y, seguidamente, lo aplicaremos a las normas cuestionadas por el peticionario.
A) La creación de un clima de confianza en las transacciones electrónicas, en el mercado interior de la Unión Europea, para alcanzar interacciones electrónicas seguras entre los ciudadanos, empresas y administraciones públicas, ha impulsado la adopción del Reglamento eIDAS, que fue aprobado en cumplimiento del Plan de acción europeo de administración electrónica 2011-2015 y la Agenda Digital para Europa. El Reglamento tiene un doble objetivo: garantizar el correcto funcionamiento del mercado interior y, al mismo tiempo, alcanzar un nivel de seguridad de los medios de identificación electrónica y los servicios de confianza, y se limita a establecer las condiciones en que los estados miembros deben reconocer los medios de identificación electrónica notificados a la Comisión por otro Estado miembro, estableciendo un marco jurídico para el reconocimiento mutuo de los sistemas en cuestión (art. 1).
Esta norma europea, de aplicación directa, regula, entre otras figuras, la firma electrónica (avanzada y cualificada) y el sello electrónico (avanzado y cualificado). Así, en primer lugar, define la firma electrónica como los datos en formato electrónico anexos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar. En segundo lugar, precisa que la firma electrónica avanzada es aquella que está vinculada al firmante de manera única, permite su identificación, ha sido creada empleando datos de creación de la firma electrónica que el firmante puede utilizar con un alto nivel de confianza bajo su control exclusivo y está vinculada con los datos firmados de modo tal que cualquier modificación ulterior de los mismos sea detectable (art. 26). Finalmente, entiende la firma electrónica cualificada como aquella firma avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica (art. 3.12), es decir, un certificado expedido por un prestador cualificado de servicios de confianza que cumple los requisitos establecidos en el anexo I de la norma (art. 3.15).
El Reglamento diferencia entre firma electrónica, de persona física, y el sello electrónico, de persona jurídica, admitiendo también, en este caso, la firma electrónica cualificada del representante autorizado de la persona jurídica (considerandos 58 y 59).
En cuanto a los efectos jurídicos, la norma establece, por un lado, que no pueden denegarse efectos jurídicos ni su admisibilidad como prueba en procedimientos judiciales a una firma electrónica o a un sello electrónico por el simple hecho de ser electrónico o porque no cumpla los requisitos de la firma o del sello electrónico cualificado (art. 25.1 y 35.1). Y, por otro, indica que la firma electrónica cualificada tiene un efecto jurídico equivalente al de la manuscrita (art. 25.2), mientras que un sello electrónico cualificado disfrutará de la presunción de integridad de los datos y de la corrección del origen de los datos a los que el sello esté vinculado (art. 35.2).
En materia de firma electrónica, el Estado traspuso la Directiva 1999/93/CE, ya citada, mediante el Real decreto-ley 14/1999, de 17 de septiembre, de firma electrónica. Posteriormente, al haber decaído la iniciativa legislativa impulsada para la tramitación de esta norma como proyecto de ley, la traspuso a través de la LFE. Esta norma regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. En este sentido, la LFE define la firma electrónica en términos similares al Reglamento europeo. Distingue entre la firma avanzada (art. 3.2), que equivale a la firma homónima prevista en el Reglamento eIDAS, y la reconocida (art. 3.3), que se corresponde con la firma electrónica cualificada, y regula los certificados electrónicos de personas jurídicas (art. 7).
Igualmente, la identificación electrónica ha sido regulada en varias normas de desarrollo de la denominada administración electrónica, como la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos (actualmente derogada, salvo determinados artículos de acuerdo con la disposición final séptima de la LPACAP). Dicha Ley 11/2007 reconoció el derecho de los ciudadanos a relacionarse electrónicamente con las administraciones públicas y el deber de estas de dotarse de los medios y sistemas necesarios para que aquél pudiera ejercerse, y reguló las formas de identificación y autenticación admisibles, derecho y deber actualmente previstos en los artículos 9, 12 y 13 LPACAP.
Al respecto, una de las novedades que introdujo la LPACAP es la separación entre identificación y firma electrónica y la simplificación de los sistemas correspondientes. En lo referente a los sistemas de identificación, tras establecer el deber de verificar la identidad de los interesados en el procedimiento administrativo, mediante DNI o documento acreditativo equivalente, el artículo 9 LPACAP, en su redacción anterior, exigía, con carácter general, un registro previo como usuario para acreditar la identidad del titular. Además, admitía los sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica o de sello electrónico expedidos por prestadores autorizados y los de clave concertada o cualquier otro que se considerara válido, de modo que correspondía a cada administración determinar si autorizaba todos o algunos de los sistemas y la relación entre el tipo de identificación y el trámite o procedimiento. Ahora bien, como límite a la admisión de sistemas de identificación no basados en certificados electrónicos, se establecía la obligación para la Administración de aceptar el resto de sistemas.
En cuanto a los sistemas de firma, el artículo 10 LPACAP, tras establecer que se puede firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento firmado, señalaba como válidos, en su redacción inmediatamente anterior, los sistemas de firma reconocida o cualificada y avanzada o de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de firma electrónica o de sello electrónico, expedidos por prestadores autorizados, así como cualquier otro que las administraciones consideraran válido. Estos sistemas deben contar (como en el artículo 9.2.c LPACAP) con un registro previo de los usuarios que permita garantizar su identidad.
En el marco de las administraciones públicas catalanas, la Ley 26/2010, de 3 de agosto, de régimen jurídico y de procedimiento de las administraciones públicas de Cataluña, reconoce el derecho a obtener y utilizar cualquier sistema de firma electrónica, en los términos y con los límites que se establezcan normativamente (art. 24.5). A mayor abundamiento, dispone que las personas físicas puedan utilizar siempre, en las relaciones con las administraciones, los sistemas de firma electrónica incorporados en el documento nacional de identidad, si bien pueden utilizar también otros sistemas admitidos por las administraciones (art. 45). Acepta, también, la validez del sistema de identificación, autenticación y firma electrónica no avanzada en el ámbito de la Administración de la Generalitat y en sus relaciones con los ciudadanos, entidades, fundaciones y asociaciones inscritas en los registros públicos, empresas y otros organismos públicos. También permite el uso de claves concertadas en un registro previo, la información conocida por los ciudadanos y las administraciones, y los datos y códigos alfanuméricos que figuren impresos en tarjetas identificativas o de acceso a servicios públicos expedidas por las administraciones para verificar la identificación y autenticación de los ciudadanos y llevar a cabo su registro electrónico sin certificado digital (disp. ad. decimosexta).
En las relaciones electrónicas con la Administración de la Generalitat, las personas físicas pueden utilizar en todo caso los sistemas de firma electrónica incorporados en el documento nacional de identidad, los certificados idCAT e, igual que las personas jurídicas, los sistemas previstos en el protocolo de identificación y firma electrónica (arts. 29 y 30 Decreto 56/2009, de 7 de abril, para el impulso y el desarrollo de los medios electrónicos en la Administración de la Generalitat), aprobado por la Orden GRI /233/2015, de 20 de julio, que recoge los aspectos técnicos y organizativos necesarios para la implantación de los sistemas de firma electrónica para cada trámite o servicio, en función del grado de seguridad que se requiera.
Visto el contexto normativo en materia de identificación y firma electrónica en las relaciones entre particulares y administraciones, nos hallamos en disposición de analizar el contenido de las modificaciones introducidas en la LPACAP por el Real decreto-ley en los citados ámbitos materiales.
El artículo 3.uno del Real decreto-ley modifica el apartado 2 del artículo 9 LPACAP, sobre los sistemas de identificación de los interesados en el procedimiento, que queda redactado con el siguiente contenido:
«2. Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas siguientes:
a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ??Lista de confianza de prestadores de servicios de certificación??.
b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la ??Lista de confianza de prestadores de servicios de certificación??.
c) Sistemas de clave concertada y cualquier otro sistema, que las Administraciones consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad, previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses. Sin perjuicio de la obligación de la Administración General del Estado de resolver en plazo, la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios.
Las Administraciones Públicas deberán garantizar que la utilización de uno de los sistemas previstos en las letras a) y b) sea posible para todo procedimiento, aun cuando se admita para ese mismo procedimiento alguno de los previstos en la letra c).»
Asimismo, el artículo 3.dos modifica el apartado 2 del artículo 10 LPACAP, relativo a los sistemas de firma de los interesados admitidos en sus relaciones con las administraciones públicas, que queda redactado en los términos siguientes:
«2. En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma:
a) Sistemas de firma electrónica cualificada y avanzada basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ??Lista de confianza de prestadores de servicios de certificación??.
b) Sistemas de sello electrónico cualificado y de sello electrónico avanzado basados en certificados electrónicos cualificados de sello electrónico expedidos por prestador incluido en la ??Lista de confianza de prestadores de servicios de certificación??.
c) Cualquier otro sistema que las Administraciones Públicas consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad, previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses. Sin perjuicio de la obligación de la Administración General del Estado de resolver en plazo, la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios.
Las Administraciones Públicas deberán garantizar que la utilización de uno de los sistemas previstos en las letras a) y b) sea posible para todos los procedimientos en todos sus trámites, aun cuando adicionalmente se permita alguno de los previstos al amparo de lo dispuesto en la letra c).»
La disposición transitoria primera del Real decreto-ley prevé, en su apartado primero, el régimen transitorio de las modificaciones introducidas en el artículo 3 RDL 14/2019 en relación con los preceptos 9.2.c y 10.2.c LPACAP:
«1. Las entidades del Sector Público que quieran habilitar sistemas de identificación o firma conforme a las letras c) de los artículos 9.2 y 10.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, a partir de la entrada en vigor de este real decreto-ley, deberán solicitar la autorización prevista en dichos preceptos. Los sistemas que, antes de la citada entrada en vigor, ya estén validados y plenamente operativos en los procedimientos administrativos de que se trate, no requerirán someterse a dicha autorización.»
Como se ha expuesto al principio del presente fundamento jurídico, la solicitud de dictamen destaca que los títulos aplicables a estos preceptos son los artículos 150 y 159 EAC, considerando que el Real decreto-ley puede constituir una extralimitación y desbordar el título estatal en materia de seguridad pública, en la medida en que sujeta a previa autorización ciertos sistemas de identificación y firma electrónica.
El escrito de solicitud cuestiona también la disposición transitoria primera, por conexión, razón por la cual lo que se decida para la autorización previa prevista en los artículos 9.2.c y 10.2.c LPACAP será igualmente de aplicación a la disposición transitoria primera.1 RDL 14/2019.
B) En lo que ahora nos concierne, es relevante proceder conjuntamente al encuadre competencial de los apartados uno y dos del artículo 3 RDL 14/2019, ya que, como hemos tenido ocasión de ver, resulta común a los dos, habida cuenta de que tienen una estructura idéntica, aplicada a la identificación electrónica o a la firma, respectivamente.
Primeramente, hay que acudir a la disposición final primera RDL 14/2019, que es el precepto que menciona los títulos competenciales correspondientes a cada artículo. Concretamente, el artículo 3 RDL 14/2019, según la disposición precitada, se dicta al amparo del artículo 149.1.18 CE (bases del régimen jurídico de las administraciones públicas y procedimiento administrativo común) y del artículo 149.1.29 CE (seguridad pública). De hecho, se citan dos títulos para el conjunto de los artículos 3 y 4 RDL 14/2019. A continuación efectuaremos un análisis de otros elementos que nos pueden ayudar a discernir entre los dos títulos competenciales mencionados. A tal fin, nos referiremos al preámbulo del RDL 14/2019 cuando corresponda.
Por un lado, el segundo párrafo del apartado VI del preámbulo sitúa la competencia estatal en el artículo 149.1.18 CE, en la medida en que modifica las principales leyes relativas al régimen jurídico y al procedimiento administrativo común de las administraciones públicas, a nuestros efectos la LPACAP. Por otro, el cuarto párrafo cita expresamente las modificaciones de los artículos 9.2.c y 10.2.c de la LPACAP, al referirse a «la necesaria autorización previa por parte de la Administración General del Estado de los sistemas de identificación y firma» y entiende que están habilitadas por el artículo 149.1.29 CE.
En segundo lugar, la rúbrica general del RDL 14/2019 corrobora esta inicial dicotomía entre la finalidad de la disposición gubernativa, que tiene relación con la seguridad pública (art. 149.1.29 CE), y su objeto, que, por lo que ahora nos interesa, es el relativo a la administración digital (art. 149.1.18 CE).
En este sentido, las referencias generales del preámbulo del Real decreto-ley también inciden en los dos títulos citados. Así, se afirma que el desarrollo y la utilización de las nuevas tecnologías en las administraciones públicas precisan un marco jurídico que garantice la seguridad pública (apdo. I, párr. primero); se expone el carácter estratégico de la seguridad pública por los riesgos asociados a las nuevas tecnologías, siendo la ciberseguridad uno de los ámbitos prioritarios de la «seguridad nacional» (apdo. I, párr. segundo y tercero), y, por último, se considera que la administración electrónica aumenta la posibilidad de ataques y actividades ilícitas que impactan en la seguridad pública (apdo. I, párr. quinto).
En tercer lugar, y más concretamente sobre el contenido del artículo 3 RDL 14/2019, que dictaminamos, modifica, como hemos dicho, la LPACAP, dictada en virtud del artículo 149.1.18 CE de acuerdo con su disposición final primera, que identifica expresamente los títulos competenciales para establecer las bases del régimen jurídico de las administraciones públicas y el procedimiento administrativo común. El apartado primero de dicho artículo 3 modifica el artículo 9.2.c y el apartado segundo el artículo 10.2.c LPACAP, que forman parte del título I, capítulo II sobre identificación y firma de los interesados en el procedimiento administrativo (a diferencia del art. 40 LRJSP, que regula los sistemas de identificación de las administraciones públicas).
Nuevamente, el preámbulo sitúa el contenido de los artículos 3 y 4 RDL 14/2019 en el ámbito de las administraciones públicas (apdo. II, párr. tercero), aunque señala de forma explícita que la modificación de la letra c del apartado segundo de los artículos 9 y 10 tiene como finalidad garantizar la seguridad pública (apdo. II, párr. sexto), cuestión que trataremos específicamente más adelante.
a) El artículo 3 RDL 14/2019 ha adaptado, con un cierto retraso, la regulación que modifica (LPACAP) al Reglamento eIDAS (en vigor desde el año 2014, y aplicable con carácter general desde el 1 de julio de 2016), ya que, en caso de que el legislador hubiese estimado necesaria la adaptación, podría haberla llevado a cabo aprovechando incluso la aprobación de la propia LPACAP en el 2015. Esta norma europea se intitula y tiene por objeto el reconocimiento de los sistemas de identificación (art. 1.a Reglamento eIDAS), siendo necesaria y mostrando reiteradamente su preocupación por la seguridad técnica de los sistemas (considerandos 2, 12 y 19, entre otros). De hecho, solo en una ocasión se refiere a la protección ante posibles ciberataques, en el considerando cuarto, cuando menciona la ciberdelincuencia como obstáculo para la economía digital europea.
Aparte de dicha norma europea, en los últimos años la Unión Europea ha reforzado su marco normativo en materia de ciberseguridad. Así, por ejemplo, se adoptó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad en las redes y sistemas de información en la Unión, la cual, como veremos en el siguiente fundamento jurídico, ha sido traspuesta a nuestro ordenamiento jurídico mediante el Real decreto-ley 12/2018. Y, en particular sobre la cooperación con los estados miembros y en el ámbito de la defensa, en esta área se ha actualizado recientemente el Marco político de ciberdefensa de la Unión Europea, adoptado por el Consejo el 19 de noviembre de 2018, y se ha aprobado el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) 526/2013.
Desde la perspectiva del Reglamento eIDAS, la identificación electrónica se enfoca como un abanico de servicios públicos electrónicos que pueden utilizarse para el reconocimiento mutuo entre los estados, en base a unos requisitos mínimos de seguridad de las redes (considerandos segundo, noveno y decimocuarto). Los niveles de seguridad de un sistema de identificación electrónica dependen de un conjunto de procedimientos técnicos (como la prueba y verificación de la identidad o la autenticación), de actividades de gestión (entre las que puede señalarse la de la entidad que expide los medios de identificación y el procedimiento para expedirlos) y de los controles aplicados (considerando decimosexto). Lo que no prevé, lógicamente, el Reglamento eIDAS, son las autorizaciones, informes o controles entre administraciones distintas dentro de un Estado miembro, que es una de las novedades cuestionadas por la solicitud de dictamen.
En la medida que el Real decreto-ley modifica la LPACAP en relación con los sistemas de identificación que admite, podría considerarse que se trata del ejercicio de la competencia reservada al Estado de establecer el procedimiento administrativo común. Asimismo, los sistemas de identificación de los administrados ante las administraciones públicas constituyen también un elemento del régimen jurídico de las administraciones públicas, según el cual la Administración valida los sistemas mediante los que identifica a los ciudadanos y a las empresas. Por ello, la interrelación entre ciudadano y Administración es relevante. En este caso, el Estado puede establecer las bases con una cierta intensidad (art. 149.1.18 CE), mayor de la que podría establecer cuando el objeto es ad intra de la Administración (STC 50/1999, de 6 de abril, FJ 3).
No obstante, en lo que nos concierne, la autorización previa por parte del Ministerio de Política Territorial y Función Pública constituye un instrumento de tutela respecto al que deberá determinarse, conforme a la jurisprudencia y nuestra doctrina, si es legítimo en virtud de algún título competencial estatal. De hecho, el RDL 14/2019 afirma que la autorización previa de la Administración general del Estado, que eventualmente puede ser denegada, de acuerdo con un informe vinculante del Ministerio del Interior, está prevista por razón de seguridad pública, como indican el preámbulo (apdo. VI, párr. cuarto) y los artículos 9.2.c y 10.2.c LPACAP.
En las nuevas previsiones sobre los sistemas de identificación (art. 3.tres RDL 14/2019) se incluye también la disposición adicional sexta LPACAP, con dos apartados. El primero prohíbe autorizar los sistemas de identificación que utilicen una tecnología concreta, de registro distribuido, y los sistemas de firma basada en la misma, disposición que parece estar amparada en las bases del artículo 149.1.18 CE. La restricción es, en palabras del preámbulo, puntual y provisional, de forma que únicamente se proyecta en las relaciones de los interesados con la Administración y hasta la aprobación de un marco regulador (apdo. II, párr. noveno preámbulo RDL 14/2019). El segundo apartado impone el Estado como autoridad intermedia en el uso de la citada tecnología para garantizar la seguridad pública (art. 149.1.29 CE). La solicitud no critica expresamente la disposición adicional sexta, únicamente describe sucintamente su contenido, y no argumenta su inconstitucionalidad o antiestatutariedad, por lo que la introducción de dicha disposición del Real decreto-ley en la LPACAP no será objeto de nuestro pronunciamiento.
Por último, la disposición transitoria primera del Real decreto-ley se refiere a la implantación del artículo 3 RDL 14/2019 por las entidades del sector público. En cuanto a los sistemas de identificación y firma, la disposición transitoria primera.1 dispone que a los que estén en funcionamiento, validados y plenamente operativos, a la entrada en vigor del Real decreto-ley, no se les requerirá someterse a la autorización previa, mientras que los que se quieran habilitar deberán solicitarla. Respecto al título atributivo de competencias, como la disposición transitoria primera RDL 14/2019 solo se refiere a la necesidad de pedir o no autorización previa a la Administración general del Estado, lo que se diga sobre esta cuestión valdrá para la citada disposición.
b) Finalmente, antes de encuadrar competencialmente lo que interesa del artículo 3 RDL 14/2019, examinaremos el objetivo de dicho precepto, al objeto de verificar si coincide con la materia regulada y poder establecer el título competencial prevalente.
La finalidad de gran parte del artículo 3 RDL 14/2019 es regular los sistemas de identificación de los interesados admitidos por las administraciones públicas; por lo tanto, se insiere en el artículo 149.1.18 CE. Sin embargo, en tres incisos que resultan de las modificaciones aportadas por el artículo 3 RDL 14/2019 (art. 9.2.c, 10.2.c y disp. ad. sexta.2 LPACAP), se menciona incidentalmente la seguridad pública como elemento teleológico de parte de los preceptos reformados.
El preámbulo, aparte de señalar, como hemos indicado antes, cuál es el objeto de la regulación (referida a los arts. 3 y 4 RDL 14/2019), lo que nos lleva al título relativo a las bases del régimen jurídico de las administraciones públicas y del procedimiento administrativo común, también nos indica cuál es su finalidad, que concreta incluyendo también la de garantizar la seguridad pública (apdo. II, párr. tercero).
Además, el RDL 14/2019 prescribe, en el artículo 9.2.c LPACAP (sistemas de identificación de clave concertada y otros), refiriéndose a la autorización previa de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, «que solo podrá ser denegada por motivos de seguridad pública», sin que estos últimos se indiquen en el texto articulado. Dicción idéntica podemos encontrar en el artículo 10.2.c LPACAP (sistemas diferentes de los de firma y sello electrónicos). Ambos preceptos se modifican pues para garantizar la seguridad pública, según el preámbulo (apdo. II, párr. sexto), en el que se intenta delimitar mínimamente el alcance de la intervención estatal. El proemio expone que esta «tendrá por objeto, exclusivamente, verificar si el sistema validado tecnológicamente por parte de la Administración u Organismo Público de que se trate puede o no producir afecciones o riesgos a la seguridad pública, de modo que, si así fuera y solo en este caso, la Administración del Estado denegará dicha autorización con base en dichas consideraciones de seguridad pública», que no se especifican.
No obstante, la mención a la seguridad no aparece en la disposición transitoria primera relativa al artículo 3 RDL 14/2019; ni en la intitulación del capítulo II, que reza: «Medidas en materia de identificación electrónica ante las administraciones públicas, ubicación de determinadas bases de datos y datos cedidos a otras administraciones públicas»; ni en la rúbrica del artículo 3 RDL 14/2019, que es: «Modificación de la ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas», a diferencia de otras rúbricas de otros capítulos, donde sí se menciona directa o indirectamente (expresamente en los capítulos IV y V; de forma tácita en el I, respecto al art. 1 RDL 14/2019, ya que es, como hemos dicho, la competencia estatal que fundamenta la modificación y la norma modificada).
c) Entre estos dos títulos competenciales (art. 149.1.18 y .29 CE) en lo que ahora nos concierne, será necesario, pues, dilucidar cuál es el prevalente. Por ello, deberemos definirlos brevemente.
Cabe descartar la reiterada competencia en seguridad pública, porque supone un uso excesivamente expansivo en la utilización de este título competencial habida cuenta del objeto del Real decreto-ley. El Tribunal Constitucional, como hemos anticipado, ya ha delimitado restrictivamente dicho concepto cuando, en la STC 25/2004, de 26 de febrero, entre otras, ha afirmado que «no toda seguridad de personas y bienes, ni toda normativa encaminada a conseguirla o a preservar su mantenimiento, puede englobarse en aquélla, [?] cuando es claro que se trata de un concepto más estricto en el que hay que situar de modo predominante las organizaciones y los medios instrumentales» (FJ 6), habiendo de preservar necesariamente las competencias autonómicas (STC 184/2016, de 3 de noviembre, FJ 3). En Cataluña, corresponde de forma ordinaria a la policía de la Generalitat-Mossos d?Esquadra llevar a cabo la garantía y protección de la seguridad pública (DCGE 5/2017, de 29 de junio, FJ 3.4).
La seguridad pública es una expresión que tiene que acotarse de conformidad con el contexto en que se cita, puesto que puede remitir a contenidos tan diferentes como la «seguridad nacional» (donde interviene también la competencia reservada al Estado por el art. 149.1.4 CE) o la seguridad de las redes digitales (donde puede incidir el título competencial del art. 149.1.21 CE, relativo a la competencia estatal en telecomunicaciones), ya que, en el entorno de las administraciones públicas resultaría más adecuada la denominada ciberseguridad circunscrita a la administración electrónica (definida en el DCGE 5/2017, FJ 2.1), que se delimitaría teniendo en cuenta la competencia reservada al Estado por el artículo 149.1.18 CE y que admite la potestad legislativa de las comunidades autónomas en el marco de las bases estatales.
La ciberseguridad, de acuerdo con la STC 142/2018, de 20 de diciembre, se concibe como uno «conjunto de mecanismos dirigidos a la protección de las infraestructuras informáticas y de la información digital que albergan», definición a partir de la que «fácilmente se infiere que, en tanto que dedicada a la seguridad de las tecnologías de la información, presenta un componente tuitivo», y se proyecta sobre «el concreto ámbito de la protección de las redes y sistemas de información que utilizan los ciudadanos, empresas y administraciones públicas» (FJ 4).
Dado el contenido de los diferentes aspectos que configuran el concepto de ciberseguridad, se desprende que puede tener diferentes acepciones y extenderse a varias actividades (STC 142/2018, FJ 4), por lo que no es susceptible de reconducirse a un solo título competencial, entre los que se halla la administración electrónica, para garantizar la protección de las redes de comunicaciones electrónicas que esta genere y los derechos de los administrados en sus relaciones con la Administración a través de medios electrónicos (FJ 4 y 5). En este sentido, en el precitado DCGE 5/2017 distinguíamos tres acepciones: la que responde a situaciones más graves, que se identifica con seguridad nacional; la que encaja mejor con la seguridad pública, cuando se trate de la protección de determinadas infraestructuras de telecomunicaciones, y la referida a la adopción de medidas ordinarias de seguridad con respecto a la red y, en general, a las tecnologías de la información (FJ 2.1). Esta última acepción del término también ha sido recogida en la jurisprudencia constitucional (STC 142/2018, FJ 4, como «medidas ordinarias de prevención o seguridad de la red y [?] de las tecnologías de la información»), así como la ciberseguridad más grave, de alcance «nacional», la cual requerirá una intervención estatal (art. 149.1.4 y .29 CE, y STC 184/2016, FJ 3 y 4).
La ciberseguridad, cuando se refiere a ilícitos penales, queda fuera del ordenamiento administrativo, pero no toda protección de la seguridad de las redes necesita una actuación policial y judicial penal. La competencia ex artículo 149.1.29 CE estatal se encuentra limitada por las competencias que las comunidades autónomas hayan asumido respecto de la creación de su propia policía (STC 148/2000, de 1 de junio, FJ 5).
Por su parte, las diferentes administraciones públicas son competentes para la adopción de medidas de autoprotección en relación con sus infraestructuras y la seguridad de las tecnologías de la información y comunicación (STC 142/2018, FJ 5). De modo que la Generalitat «debe adoptar medidas en materia de ciberseguridad en tanto en cuanto se aplican a las relaciones que tiene con sus administrados y con otras administraciones, así como respecto de las infraestructuras tecnológicas, que pertenezcan a la estructura de la Administración de la Generalitat y a su sector público» (STC 142/2018, FJ 4). Así, la seguridad de las redes y sistemas de las tecnologías de la información de la Administración de la Generalitat serán protegidas por esta, en virtud de los artículos 159.1 y 150 EAC (DCGE 5/2017, FJ 2.2), siendo su finalidad «prevenir las amenazas y vulnerabilidades inherentes a sus redes interdependientes e infraestructuras de la información, tanto internamente como en sus relaciones con los administrados» (DCGE 5/2017, FJ 2.3).
Específicamente, se vinculan a las políticas de ciberseguridad las que pueden desarrollar el Gobierno y la Administración de la Generalitat en relación con la prestación de los servicios de identificación electrónica y de identidad y confianza digitales, al amparo de las competencias asumidas por los artículos 150 y 159 EAC (STC 142/2018, FJ 7), tal como dijimos en el DCGE 5/2017, FJ 3.5, donde indicábamos que la competencia principal de la Generalitat era la del artículo 159.1 EAC, afirmación que ratificamos nuevamente para los preceptos que estamos dictaminando.
C) Una vez determinado que los apartados uno y dos del artículo 3 RDL 14/2019 se inscriben dentro de la materia del régimen jurídico de las administraciones y del procedimiento administrativo, definiremos el régimen competencial aplicable de conformidad con la Constitución y el Estatuto.
En nuestra opinión, se trata de una regulación administrativa de índole procedimental (la definición de interesado se produce dentro de un procedimiento administrativo), para lo que es necesaria una cierta organización de los servicios electrónicos que se ponen a disposición de los interesados (los sistemas de identificación y de firma autorizados), con la consiguiente adopción de medidas de autoprotección y protección de los derechos de los ciudadanos. Por ello, lo encuadramos prevalentemente dentro del título del artículo 149.1.18 CE, aunque puede incidir excepcionalmente en el de seguridad pública del artículo 149.1.29 CE (respecto a la ciberseguridad, en los términos que se indicarán).
Por esta razón, en el DCGE 5/2017, indicábamos que:
«En este marco en el que la Generalitat concurre con el Estado para garantizar la ciberseguridad en las comunicaciones electrónicas y los sistemas de información, debemos afirmar que, [?], habrá que distinguir, como criterio general, entre las [funciones] relativas a la prevención de los incidentes de ciberseguridad del resto que comporten la adopción de medidas reactivas cuando estos se hayan producido. Y, más aún, dentro de este último tipo, deberemos diferenciar también, por un lado, entre las medidas de orden técnico que tengan como finalidad reparar, comprobar y restablecer el normal funcionamiento de las comunicaciones y los sistemas afectados y, por otro, las que se adopten como reacción a una actuación que pueda suponer la comisión de un acto que deba merecer una sanción penal. Porque, en ambos supuestos, las consecuencias en el orden competencial [?] serán diferentes.» (FJ 3.1)
En este sentido, la competencia sobre régimen jurídico de las administraciones públicas y procedimiento administrativo es una competencia compartida en la que incide particularmente el artículo 159.1 EAC, en lo no afectado por el artículo 149.1.18 CE: por una parte, el 159.1.a, sobre medios necesarios para ejercer funciones administrativas, y, por otra, el 159.1.c, respecto al procedimiento administrativo derivado de las especialidades de la organización de la Generalitat. No resulta directamente aplicable, porque no es el caso que ahora dictaminamos, la creación de órganos administrativos o las modalidades de organización de la Administración de la Generalitat (art. 150 EAC), aunque dicha competencia también está reconocida por la STC 142/2018, según la cual permitiría la autoorganización para «el diseño, creación y mantenimiento de ?servicios de administración electrónica?» (FJ 6).
Sobre ciberseguridad y administración electrónica, hay que referirse nuevamente al DCGE 5/2017 (FJ 2.3), que sintetiza la jurisprudencia constitucional y nuestra doctrina. En general, sobre el artículo 149.1.18 CE procede mencionar la STC 50/1999, de 6 de abril (FJ 3), en relación con las competencias del Estado para fijar las bases del régimen jurídico de las administraciones públicas, siendo referencia igualmente el DCGE 24/2015, de 17 de diciembre, FJ 4, y la STC 132/2018, de 13 de diciembre, FJ 4. Y, en cuanto al procedimiento administrativo común, cabe hacer alusión al DCGE 23/2015, de 17 de diciembre, FJ 2 y 3, y de la STC 55/2018, de 24 de mayo, FJ 4 y 9.
En cuanto al régimen jurídico de las administraciones públicas, dicho título competencial permite «establecer los elementos esenciales que garanticen un régimen jurídico unitario aplicable a todas las Administraciones públicas» (STC 50/1999, FJ 3), es decir, «los principios y reglas básicos sobre los aspectos organizativos y de funcionamiento de todas las Administraciones públicas, garantizando un régimen jurídico unitario para todas ellas (SSTC 32/1981, de 28 de julio, FJ 5, y 227/1988, de 29 de noviembre, FJ 24)» (STC 132/2018, FJ 4).
Al respecto, puede recordarse que la intensidad de las bases fijadas por el Estado es diversa. Así, la legislación básica estatal ex artículo 149.1.18 CE, como límite a las competencias de la Generalitat ex artículo 159.1 EAC, no tiene la misma extensión ni intensidad cuando se trata de aspectos meramente organizativos internos, que no afectan directamente a la actividad externa de la Administración ni a los administrados, que cuando, por el contrario, se trata de otros aspectos en los que sí que se da esta afectación (STC 50/1999, FJ 3, y DCGE 5/2017, FJ 3.5). El Tribunal Constitucional determina que la densidad de las bases «podrá ser tanto mayor cuanto más directa sea la finalidad de garantizar un trato común a los ciudadanos en sus relaciones con la Administración» (STC 50/1999, FJ 3, y 132/2018, FJ 4).
En cualquier caso, las bases del artículo 149.1.18 CE, sea cuál sea su finalidad, no pueden tener un nivel de detalle o completud que prácticamente impida la adopción de políticas propias autonómicas (STC 130/2013, de 4 de junio, FJ 6), facultad que también reconoce el artículo 111 EAC a la Generalitat en las materias de competencia compartida.
Además, hay que tener presente que el Reglamento eIDAS fija unos contenidos esenciales para las especificaciones técnicas mínimas, normas y procedimientos a fin de determinar los niveles de seguridad de la identificación electrónica, en referencia a su fiabilidad y calidad (art. 8.3 Reglamento eIDAS). Igualmente, el Real decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica, dictado al amparo de la competencia estatal sobre las bases del régimen jurídico de las administraciones públicas, define las medidas de seguridad mínimas que las administraciones deberán aplicar en relación con la identificación, autenticación y firma electrónica, que pueden ser ampliadas según las circunstancias del caso concreto.
En el DCGE 23/2015 se ha recordado que la competencia del Estado sobre el procedimiento administrativo común «es el aspecto del título competencial ex artículo 149.1.18 CE más directamente concernido por el objeto de la Ley 39/2015» (FJ 2). El Tribunal Constitucional, en la STC 166/2014, de 22 de octubre, resalta el adjetivo «común», entendiendo que «lo que el precepto constitucional ha querido reservar en exclusiva al Estado es la determinación de los principios o normas que, por un lado, definen la estructura general del iter procedimental que ha de seguirse para la realización de la actividad jurídica de la Administración y, por otro, prescriben la forma de elaboración, los requisitos de validez y eficacia, los modos de revisión y los medios de ejecución de los actos administrativos, incluyendo señaladamente las garantías generales de los particulares en el seno del procedimiento» (FJ 4), pero, al mismo tiempo, indica que no se incluye en esta materia competencial «toda regulación que de forma indirecta pueda tener alguna repercusión o incidencia en el procedimiento así entendido» (STC 50/1999, FJ 3).
El Estado, de acuerdo con la STC 166/2014, no puede interferir en la organización interna de las comunidades autónomas:
«señalando los órganos competentes para determinados trámites [?] o imponiendo órganos estatales de control frente a los propios de las Comunidades Autónomas [?] o, en general, establecer una regla competencial ?específica en la materia? [?], pues lo que sí tienen éstas reservado es la regulación de las ?normas ordinarias de tramitación del procedimiento?» (FJ 5).
En el citado Dictamen nos referimos a los artículos 9.2 y 10.2 LPACAP, en su redacción original, que no incorporaba la tutela estatal que ahora examinamos, no encontrando tacha de inconstitucionalidad o antiestatutariedad, porque las dos listas de confianza de prestadores de servicios de certificación a las que se refieren ambos preceptos y que entonces se discutían «no son un numerus clausus, sino al contrario, ya que, conforme se expresa en el supuesto de la letra c de los párrafos correspondientes de los dos artículos examinados, se admite en último lugar cualquier otro sistema que las administraciones públicas consideren válido, en los términos y las condiciones que se establezcan, y, consiguientemente, cada Administración puede adoptar uno de estos ?otros sistemas? y regular convenientemente los términos y las condiciones correspondientes para su uso y su validez» (FJ 3.1).
La STC 55/2018 describió el artículo 9 LPACAP a fin de resolver la impugnación de su apartado tercero, por lo que no entró a considerar la redacción anterior del apartado segundo, cuya modificación ahora dictaminamos (ni tampoco el artículo 10, que no fue impugnado), el cual tenía una redacción más respetuosa con la autonomía, aceptada por el Tribunal, por permitir un margen para definir los sistemas de identificación electrónica en el seno del procedimiento administrativo. Así, el Tribunal afirma que la regulación (antes de ser modificada) favorecía que cada administración diseñara sus propios sistemas de identificación electrónica y admitiera otros sistemas expedidos por otras entidades. De este modo, cabían diversas políticas, dotadas de más a menos nivel de seguridad, y, además, se garantizaba un tratamiento común a todos los ciudadanos porque podían utilizarse los sistemas admitidos por el Estado. En estos términos, el Tribunal concluye que la regulación entonces examinada no desbordaba los límites del artículo 149.1.18 CE ni invadía las competencias autonómicas en materia de organización y procedimiento administrativo (FJ 9).
Este es, pues, el parámetro competencial que tenemos que aplicar a la identificación y firma electrónica de los interesados ante la Administración electrónica de la Generalitat en relación con la preservación de la seguridad de esta última.
D) La cuestión debatida respecto de los artículos 9.2.c y 10.2.c LPACAP se centra en la autorización previa que el Real decreto-ley atribuye a la Administración general del Estado en idénticos términos para los dos preceptos. La Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública es el órgano estatal habilitado para efectuar dicha autorización. La Secretaría de Estado de Seguridad del Ministerio del Interior deberá de incorporar a la autorización un informe vinculante que podrá determinar la denegación si bien solo por motivos de seguridad pública. No obstante, la autorización tiene que emitirse en el plazo máximo de tres meses. En caso contrario, y sin perjuicio de la obligación de resolver en plazo, la falta de resolución tendrá efectos desestimatorios.
Según el parámetro competencial que hemos expuesto, el Estado solo puede establecer bases, es decir, un conjunto de principios y reglas para asegurar un tratamiento común de los interesados. En el supuesto que dictaminamos, los subapartados a y b de los artículos 9.2 y 10.2 LPACAP han condicionado la potestad legislativa de la Generalitat para establecer los sistemas validados. Efectivamente, dichos subapartados tienen que ponerse en relación con el segundo párrafo de los artículos 9.2.c y 10.2.c, de manera que las administraciones deben de garantizar que puedan utilizarse los sistemas previstos en los mismos en cualquier trámite del procedimiento. Además, el artículo 9.4 LPACAP determina que los sistemas que acepte la Administración estatal servirán para acreditar las identificaciones de los interesados ante el resto de administraciones, sin reciprocidad. Igualmente, los artículos 9.2.c y 10.2.c LPACAP establecen la obligación de que los usuarios estén registrados previamente para garantizar su identidad, requisito que antes de la reforma introducida por el Real decreto-ley estaba ubicado en la parte general de los artículos 9.2 y 10.2 y era aplicable, por consiguiente, a todos los sistemas de identificación y firma previstos.
La previa autorización estatal introducida por el artículo 3.uno y .dos RDL 14/2019 no se ajusta a lo permitido por el artículo 149.1.18 CE, en la medida en que dada su estructura normativa no constituye una base del régimen jurídico de las administraciones públicas, ni un elemento del procedimiento administrativo que deba ser necesariamente común, puesto que el mínimo común normativo ya se garantiza mediante los sistemas de identificación admitidos por el Estado, como se ha indicado.
Así, como se ha expuesto antes, este título competencial permite establecer los elementos esenciales que aseguran un régimen jurídico unitario aplicable a todas las administraciones, con mayor amplitud en la medida en que se trate de aspectos que afectan directamente la actividad externa de la Administración y de los administrados, a fin de garantizar un tratamiento común a los ciudadanos en sus relaciones con esta (STC 50/1999, FJ 3, y 132/2018, FJ 4).
Sin embargo, la previsión cuestionada por la solicitud de dictamen constituye más bien una tutela o control sobre la administración autonómica, en relación con lo cual existe una extensa doctrina constitucional, que tendremos en cuenta en el caso que dictaminamos, tras recordar brevemente los criterios principales utilizados por la jurisprudencia y en nuestra tarea dictaminadora que más nos interesan respecto a la citada cuestión.
Primero, cabe señalar que no existe en el Estado de las autonomías diseñado por la Constitución una institución general de control del Estado sobre las comunidades autónomas, sino una pluralidad de procedimientos específicos, de carácter y efectos diversos. Estos mecanismos e instrumentos de control de una instancia central sobre otra autonómica se hallan recogidos en la Constitución, básicamente en el artículo 153 CE, pero también podemos encontrarlos en otros preceptos constitucionales (arts. 150 y 161.2 CE, entre otros) o en el bloque de la constitucionalidad (STC 6/1982, de 22 de febrero, FJ 7; 76/1983, de 5 de agosto, FJ 12, y STC 79/2017, de 22 de junio, FJ 17).
Asimismo, la STC 118/1996, de 27 de junio, FJ 18, afirma que la autonomía prevista constitucionalmente (art. 2, 137 y 156 CE) no es compatible con un control de oportunidad política que pueda implicar una sustitución de la voluntad de las instituciones autonómicas por la del Estado (en el DCGE 19/2015, de 26 de noviembre, FJ 2.7, resumimos la jurisprudencia sobre la cuestión) si no está previsto en la Constitución, en los estatutos o en las leyes orgánicas del bloque de la constitucionalidad (STC 6/1982, FJ 7), que delimitan constitucionalmente las competencias. De ser así se constituiría una situación de dependencia jerárquica de las comunidades autónomas respecto de la Administración estatal contraria al principio de autonomía (STC 76/1983, FJ 12) y se legitimaría un tipo de control sobre la Administración autonómica que no se adecuaría al reparto competencial entre el Estado y las comunidades autónomas (DCGE 21/2014, de 30 de septiembre, FJ 3.4).
El Estado «ya dispone de medios para asegurar el cumplimiento por parte de las comunidades autónomas de sus obligaciones, respetando la posición institucional de estas, debiendo abstenerse de utilizar métodos de control jerárquico y limitarse a los instrumentos expresamente previstos por la Constitución, singularmente los de carácter general del artículo 153 CE» (DCGE 21/2014, FJ 3.4), como una comunicación previa o sistemas de colaboración.
Por otra parte, el Tribunal Constitucional distingue entre los controles jurisdiccionales y los administrativos. Estos últimos pueden ser a la vez ex ante o ex post a la adopción de la decisión. Entre los controles administrativos previos, el Tribunal Constitucional ha admitido la técnica de los informes vinculantes como medio de integración de dos competencias concurrentes de titularidad autonómica y estatal (STC 79/2017, de 22 de junio, FJ 17). Así, a partir de la STC 18/2011, de 3 de marzo, el Tribunal afirma que:
«la intervención del Estado mediante la técnica del informe preceptivo y vinculante debe reputarse constitucionalmente legítima cuando se funde en el ejercicio de una competencia propia sobre una determinada materia (?) que le habilite para actuar, distinta de la materia sobre la cual la Comunidad Autónoma ejerce su propia competencia de autorización.» (FJ 21.a)
Además, el Tribunal Constitucional ha indicado que los controles que se ejerzan constitucionalmente sobre las autonomías no pueden ser genéricos ni indeterminados (desde la STC 4/1981, de 2 de febrero, FJ 3, y, más recientemente, STC 85/2016, de 28 de abril, FJ 5), sino que deben ser concretos y precisos (STC 154/2015, de 9 de julio, FJ 6.b). Así, en caso de admitir algún instrumento de vigilancia de las comunidades autónomas debe ser en base a competencias estatales de coordinación, previstas constitucionalmente. En estos supuestos, la intervención administrativa tiene que estar suficientemente objetivada o determinada en normas de rango legal (STC 14/2018, de 20 de febrero, FJ 10.d).
La autorización estatal prevista en los artículos 9.2.c y 10.2.c LPACAP encaja con una tutela de carácter previo, según los citados preceptos, de modo que se trata de una actuación exigida antes de cualquier decisión de validación o no de los sistemas de clave concertada o de otros que realice la Administración de la Generalitat. Este hecho, por sí mismo, con independencia del sentido de la autorización estatal, condiciona el procedimiento administrativo autonómico de resolución.
Como acabamos de indicar, los informes previos preceptivos y vinculantes solo son legítimos si se sustentan en una competencia estatal. Únicamente son admisibles cuando efectivamente se dé dicha proyección de la competencia estatal y se resuelvan basándose en la misma (STC 18/2011, FJ 21.a, y DCGE 7/2014, de 27 de febrero, FJ 3.3).
Hemos descartado que sea de aplicación aquí el título competencial de seguridad pública, que, como hemos señalado en relación con la ciberseguridad, no es una materia reservada exclusivamente al Estado, ya que en la administración digital interviene fundamentalmente la seguridad ordinaria de las redes, la cual encaja mejor en el régimen competencial resultante del binomio artículos 149.1.18 CE y 159 EAC, en la materia del régimen jurídico de las administraciones públicas y del procedimiento administrativo. Campo este último en el que no caben las previsiones de autorización previa del artículo 9.2.c LPACAP, reiterada en el 10.2.c, porque no constituye un control amparado por las bases estatales ni por el establecimiento de un procedimiento común, como hemos indicado. Esta previsión del Real decreto-ley interfiere en la competencia de la Generalitat de permitir la autorización de sistemas, hasta podérselo impedir. Ciertamente, el artículo 3 RDL 14/2019 hace depender la decisión de la Generalitat de la de la Administración general del Estado, sin que esta disponga de competencias sobre la autorización de los sistemas de identificación de los interesados ante la Administración catalana.
En un caso reciente, en materia de servicios de administración electrónica (en el ámbito del art. 149.1.18 CE), el Tribunal Constitucional, en la STC 55/2018, considera inconstitucional que la Administración estatal condicione, con una cierta dosis de indefinición, la creación o mantenimiento de plataformas electrónicas autonómicas a la presentación ante el Ministerio estatal de su justificación en términos de eficiencia si la decisión autonómica queda supeditada a la valoración estatal de la justificación aportada (FJ 11). Más recientemente, abona la inconstitucionalidad de una intermediación estatal, porque puede producir perturbaciones en el funcionamiento de la Administración autonómica, situándola de forma subordinada y dependiente de una actuación ajena (STC 33/2018, de 12 de abril, FJ 11).
En este sentido, la previa autorización estatal, de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, no viene predeterminada en la norma por unos motivos concretos y precisos y, además, tiene unas consecuencias inadecuadas, ya que, en el caso de pronunciarse negativamente la Secretaría de Estado de Seguridad del Ministerio del Interior, los efectos son denegatorios y en el supuesto de que no dé respuesta en plazo, se entiende que la resolución es desestimatoria.
Igualmente, la disposición transitoria primera.1 RDL 14/2019, al exigir la mencionada autorización previa a partir de la entrada en vigor de este RDL 14/2019 a las entidades del sector público que quieran habilitar sistemas de identificación o firma, debe seguir la misma suerte que el artículo 3.uno y .dos, en relación con los artículos 9.2.c y 10.2.c LPACAP.
En consecuencia, la autorización de carácter previo que prevé el artículo 3.uno y .dos RDL 14/2019, con informe vinculante y efecto de silencio desestimatorio, constituye un control ilegítimo y vulnera las competencias de la Generalitat sobre la organización y la seguridad de sus redes (art. 159 EAC) y no está amparada por el título competencial sobre las bases del régimen jurídico de las administraciones públicas y del procedimiento administrativo común, ni tampoco por el de seguridad pública (art. 149.1.18 y .29 CE).
En conclusión, el artículo 3.uno y .dos RDL 14/2019, en la modificación de los artículos 9.2.c y 10.2.c LPACAP, concretamente en el inciso «previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses. Sin perjuicio de la obligación de la Administración General del Estado de resolver en plazo, la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios», vulnera las competencias de la Generalitat del artículo 159 EAC y no está amparado en el artículo 149.1.18 y .29 CE. Por conexión, también las vulnera la disposición transitoria primera.1 RDL 14/2019, la cual tampoco encuentra amparo en los citados preceptos constitucionales.
Asimismo, también por conexión, por interpretación sistemática de dicho precepto, debemos llegar a la misma conclusión de inconstitucionalidad y antiestatutariedad respecto de la disposición final primera, apartado 2, RDL 14/2019, en la medida en que fundamenta la competencia del Estado para dictar el artículo 3.uno y .dos del RDL 14/2019 en los títulos competenciales del artículo 149.1.18 y .29 CE.
Cuarto. El examen de constitucionalidad y de estatutariedad de los preceptos del Real decreto-ley 14/2019 relativos a las telecomunicaciones
En el presente fundamento jurídico analizaremos los preceptos del Real decreto-ley objeto de dictamen que contienen medidas dirigidas a reforzar la seguridad en materia de telecomunicaciones. En concreto, a la luz de las dudas enunciadas en la solicitud, y por su conexión temática, trataremos en primer lugar los apartados uno y cinco del artículo 6 RDL 14/2019, que reforman los artículos 4.6 y 81.1 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones (en lo sucesivo, LGTEL), respectivamente. Seguidamente, el apartado dos del mismo artículo 6 y la disposición adicional única RDL 14/2019, que introducen un nuevo apartado 3 al artículo 6 LGTEL y su régimen transitorio. Finalmente, procederemos al examen del artículo 7 RDL 14/2019, sobre medidas para reforzar la coordinación en materia de seguridad de las redes y sistemas de información, que incorpora un apartado 3 al artículo 11 del Real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
1. El apartado uno del artículo 6 RDL 14/2019 modifica el apartado 6 del artículo 4 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, que queda redactado de la siguiente forma:
«6. El Gobierno, con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional. En concreto, esta facultad excepcional y transitoria de gestión directa o intervención podrá afectar a cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional. Asimismo, en el caso de incumplimiento de las obligaciones de servicio público a las que se refiere el Título III de esta Ley, el Gobierno, previo informe preceptivo de la Comisión Nacional de los Mercados y de la Competencia, e igualmente con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa o la intervención de los correspondientes servicios o de la explotación de las correspondientes redes.
Los acuerdos de asunción de la gestión directa del servicio y de intervención de este o los de intervenir o explotar las redes a los que se refieren los párrafos anteriores se adoptarán por el Gobierno por propia iniciativa o a instancia de una Administración Pública competente. En este último caso, será preciso que la Administración Pública tenga competencias en materia de seguridad o para la prestación de los servicios públicos afectados por el anormal funcionamiento del servicio o de la red de comunicaciones electrónicas. En el supuesto de que el procedimiento se inicie a instancia de una Administración distinta de la del Estado, aquella tendrá la consideración de interesada y podrá evacuar informe con carácter previo a la resolución final.»
A) A fin de poder identificar la finalidad y contenido de este precepto, previamente cabe situarlo en su contexto normativo, así como delimitar cuál es su ámbito de aplicación y hacer mención de otros conceptos y cuestiones generales de la materia de las telecomunicaciones que tienen una relación directa con el mismo, tal como se desprende de su propia configuración legal. Seguidamente, a fin de poder precisar los efectos que persigue el legislador estatal, resultará conveniente prestar atención a la versión anteriormente vigente del artículo 4, apartado 6, LGTEL y señalar los principales cambios que ha experimentado su redactado con la reforma que es objeto de este Dictamen.
Para empezar, pues, cabe recordar que el artículo 4.6 se insiere en la LGTEL, cuyo ámbito de aplicación es «la regulación de las telecomunicaciones, que comprenden la explotación de las redes y la prestación de los servicios de comunicaciones electrónicas y los recursos asociados» (art. 1.1 LGTEL). Hay que decir que la Ley delimita su ámbito de aplicación por exclusión, o sea, a partir de la enumeración de una serie de servicios que quedan fuera de su alcance: los servicios de comunicación audiovisual, los contenidos audiovisuales transmitidos mediante las redes, el régimen básico de los medios de comunicación social de naturaleza audiovisual, los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas, las actividades que consisten en el ejercicio del control editorial sobre dichos contenidos y los servicios de la sociedad de la información, actualmente regulados en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en lo sucesivo, LSSI), siempre y cuando no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas (art. 1.2 LGTEL). En este sentido, cabe indicar que un servicio de la sociedad de la información es el que se presta normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario, como, por ejemplo, la contratación de bienes o servicios, la organización y gestión de subastas, la gestión de compras, el envío de comunicaciones comerciales o el suministro de información por vía telemática (anexo a LSSI).
Consiguientemente, para dotar de significado a la expresión «redes y servicios de comunicaciones electrónicas» sobre los que recaen las medidas previstas en el nuevo artículo 4.6 LGTEL, se ha de acudir en primer término a las definiciones que contiene el anexo II de la citada Ley y, complementariamente, entre otras, a la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código europeo de las comunicaciones electrónicas. A modo de síntesis, por un lado, son «redes de comunicaciones electrónicas» los sistemas de transmisión y, cuando proceda, otros recursos que permitan el transporte de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos, con inclusión de las redes de satélites, redes terrestres fijas (de conmutación de circuitos y de paquetes, incluida internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transportada (anexo II.31 LGTEL). Del mismo modo, es una «red pública de comunicaciones electrónicas» la que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público y que soporta la transferencia de información entre puntos de terminación de la red (art. 2.8 Directiva [UE] 2018/1972).
Y, por otro, son «servicios de comunicaciones electrónicas» los prestados «por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión» (anexo II.35). Según la Directiva (UE) 2018/1972, los servicios de comunicaciones electrónicas comprenden los siguientes tipos de servicios (art. 2.4): a) el «servicio de acceso a internet», entendido como el servicio de comunicaciones electrónicas a disposición del público que proporciona acceso a internet y, por tanto, la conectividad entre prácticamente todos los puntos extremos conectados a internet, con independencia de la tecnología de red y del equipo terminal utilizados (art. 2.2 del Reglamento [UE] 2015/2120 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, por el que se establecen las medidas en relación con el acceso a una internet abierta); b) el «servicio de comunicaciones interpersonales», que es el que permite el intercambio interpersonal e interactivo de información (entre un número finito de personas físicas) y que comprende servicios como las llamadas de voz tradicionales entre dos personas, así como también todo tipo de correos electrónicos, servicios de mensajería o charlas en grupo, quedando excluidos, en consecuencia, la radiodifusión lineal, el vídeo a la carta, los sitios web, las redes sociales, los blogs o el intercambio de información entre máquinas (considerando 17), y c) los servicios consistentes, en su totalidad o principalmente, en el transporte de señales, como es el caso de los servicios de transmisión utilizados para la prestación de servicios máquina a máquina (tales como los vehículos conectados) y para la radiodifusión.
Estos conceptos se completan, en la Ley, por un lado, con los de los recursos asociados a las redes y a los servicios de comunicaciones electrónicas que, en resumen, comprenden las infraestructuras físicas, los sistemas, dispositivos y otros recursos o elementos asociados a una red o servicio que permitan o apoyen la prestación de servicios a través de dicha red o servicio o tengan potencial para ello (incluyen, entre otros, edificios, entradas en estos o su cableado y otras construcciones de soporte, conductos, distribuidores, etc.). Y, por otro, con servicios asociados a unas y otros, como la traducción de números, los sistemas de acceso condicional y las guías electrónicas de programas o servicios de identidad, localización y presencia (anexo II, LGTEL, núm. 30 y 34, respectivamente).
Ciertamente, la regulación de las telecomunicaciones no comprende los contenidos de los servicios prestados a través de las redes y servicios de comunicación electrónica, como son los contenidos de radiodifusión televisiva y sonora, los servicios financieros y los servicios de la sociedad de la información, ya que, en relación con estos últimos, las medidas adoptadas tienen como finalidad principal preservar la libertad de expresión y de información, la diversidad cultural y lingüística, el pluralismo de los medios de comunicación, la imparcialidad, la inclusión social, la protección de los menores o la de los consumidores. Pero es evidente que la separación de la regulación de las comunicaciones electrónicas y la regulación de los contenidos, a menudo de difícil delimitación, no permite ignorar la convergencia de ambos sectores ni los vínculos que existen entre ellos (considerandos 7 y 10 Directiva [UE] 2018/1972), como tampoco puede obviarse que las redes y servicios de comunicaciones electrónicas actúan como vía de entrada a los contenidos y a la sociedad de la información. Así, por ejemplo, un mismo operador de cable puede ofrecer un servicio de comunicaciones electrónicas, como el transporte de señales televisivas y servicios de la sociedad de la información no sometidos a la LGTEL, de modo que pueden imponerse a esta empresa obligaciones adicionales en relación con su actividad como proveedor o distribuidor de contenidos (considerando 11 Directiva [UE] 2018/1972).
Esta convergencia y la consideración de las redes y servicios de comunicaciones electrónicas como canales imprescindibles para la comunicación y la información, que, además, manejan datos de carácter personal en la gestión de los servicios que prestan, se confirma en el propio hecho de que el legislador estatal ha establecido un conjunto de procedimientos y cautelas para la protección de los derechos fundamentales y la preservación de otros bienes y derechos constitucionales (p. ej., la seguridad pública) que pueden resultar afectados cuando deban llevarse a cabo medidas limitativas sobre aquellas redes y servicios, los cuales se incorporan al propio estatuto de los operadores de telecomunicaciones,. En concreto, nos referimos a la prolija regulación contenida en el capítulo III, del título III, de la LGTEL (arts. 39 y ss.), sobre el secreto de las comunicaciones y la protección de datos personales y derechos y obligaciones de carácter público vinculados con las redes y servicios de comunicaciones electrónicas.
Para finalizar con esta caracterización de las redes y servicios de comunicaciones electrónicas, cabe recordar que las telecomunicaciones se califican como servicios de interés general que se prestan en libre competencia (art. 2.1 LGTEL), habida cuenta de que satisfacen necesidades básicas o fundamentales y constituyen un factor clave para el desarrollo económico, social y personal, de forma que, a su vez, deben responder a los principios de continuidad, universalidad, igualdad de acceso y transparencia (en este sentido, Protocolo 26 del TFUE sobre servicios de interés general, art. 1).
A fin de garantizar la existencia de servicios de comunicaciones electrónicos disponibles para el público, de adecuada calidad en todo el territorio a través de una competencia y libertad de elección reales, así como para hacer frente a las circunstancias en las que el mercado no pueda atender satisfactoriamente las necesidades de los usuarios finales, son exigibles a los operadores un conjunto de obligaciones de servicio público en la explotación de redes públicas y en la prestación de servicios de comunicaciones electrónicas (art. 23 LGTEL). Respecto a las categorías de dichas obligaciones de servicio público (art. 24 LGTEL), la Ley distingue la «obligación de servicio universal», que garantiza la prestación del servicio a todos los usuarios finales con independencia de su localización geográfica, con una calidad determinada y a un precio asequible (art. 25 a 27 LGTEL), de otras obligaciones de servicio público, que el Gobierno puede imponer adicionalmente a los operadores por razones de interés general, como, por ejemplo, por necesidades de defensa nacional, seguridad pública, seguridad vial o cuando se trate de servicios que afecten a la seguridad de las personas o a la protección civil (art. 28 LGTEL).
Además, solo tienen ya la consideración más tradicional de «servicio público» los servicios para la defensa nacional, la seguridad pública, la seguridad vial y la protección civil (art. 4 LGTEL).
B) Efectuadas las anteriores consideraciones, cabe señalar que el actual apartado 6 del artículo 4 LGTEL tiene su antecedente en la Ley general de telecomunicaciones 11/1998, de 24 de abril (entonces art. 5.5), con un contenido que se ha mantenido prácticamente invariable a lo largo de los años en las diferentes leyes de telecomunicaciones aprobadas (art. 4.5 Ley 32/2003, de 3 de noviembre, general de telecomunicaciones y, actualmente, art. 4.6 LGTEL) hasta la nueva redacción dada por el Real decreto-ley 14/2019, que ahora se dictamina.
A efectos indicativos, reproducimos a continuación la redacción hasta ahora vigente del artículo 4.6 LGTEL (derogada por el RDL 14/2019), que decía:
«6. El Gobierno, con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa de determinados servicios o de la explotación de ciertas redes de comunicaciones electrónicas, de acuerdo con el texto refundido de la Ley de Contratos del Sector Público, aprobado por el real decreto Legislativo 3/2011, de 14 de noviembre, para garantizar la seguridad pública y la defensa nacional. Asimismo, en el caso de incumplimiento de las obligaciones de servicio público a las que se refiere el Título III de esta Ley, el Gobierno, previo informe preceptivo de la Comisión Nacional de los Mercados y de la Competencia, e igualmente con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa de los correspondientes servicios o de la explotación de las correspondientes redes. En este último caso, podrá, con las mismas condiciones, intervenir la prestación de los servicios de comunicaciones electrónicas.
Los acuerdos de asunción de la gestión directa del servicio y de intervención de éste o los de intervenir o explotar las redes a los que se refiere el párrafo anterior se adoptarán por el Gobierno por propia iniciativa o a instancia de una Administración pública competente. En este último caso será preciso que la Administración pública tenga competencias en materia de seguridad o para la prestación de los servicios públicos afectados por el anormal funcionamiento del servicio o de la red de comunicaciones electrónicas. En el supuesto de que el procedimiento se inicie a instancia de una Administración distinta de la del Estado, aquélla tendrá la consideración de interesada y podrá evacuar informe con carácter previo a la resolución final.»
De la lectura del precepto transcrito se desprende que, anteriormente, el Gobierno podía acordar, con carácter excepcional y transitorio, que la Administración general del Estado asumiera la gestión directa de determinados servicios o de la explotación de ciertas redes de comunicaciones electrónicas conforme a lo previsto en la legislación en materia de contratación pública; en concreto, la entonces vigente Ley de contratos del sector público, aprobada por el Real decreto legislativo 3/2011, de 14 de noviembre.
El legislador establecía dicha posibilidad para dos situaciones diferentes. Por un lado, el Gobierno podía adoptar el citado acuerdo cuando fuera necesario para garantizar la seguridad pública y la defensa nacional (primer inciso del precepto). Y, por otro, ya fuera por propia iniciativa o a instancia de la administración autonómica competente en materia de seguridad o para la prestación de los servicios públicos afectados, y previo informe de la Comisión Nacional de los Mercados y de la Competencia, cuando el operador de telecomunicaciones incumpliera las obligaciones de servicio público impuestas por el legislador en la gestión del servicio o la explotación de las redes de comunicaciones electrónicas (inciso segundo), vista su condición de servicios económicos de interés general (art. 23 a 28 del título III, LGTEL). En este último supuesto de incumplimiento de las obligaciones de servicio público, la Administración estatal, con las mismas condiciones descritas, podía también «intervenir la prestación» de los servicios de comunicaciones electrónicas.
Como puede constatarse, el anterior artículo 4.6 LGTEL acotaba expresamente las potestades del Gobierno del Estado mediante la remisión a lo previsto en la legislación en materia de contratación administrativa. Consiguientemente, podía pensarse que la prerrogativa descrita tenía su razón de ser en el ámbito de los contratos de gestión del servicio público, en los que la Administración pública mantiene la titularidad de los servicios afectados y los poderes de policía necesarios para asegurar su buen funcionamiento y, por tanto, en el caso de su incorrecta prestación y de acuerdo con los procedimientos y las garantías establecidos en la ley, tiene la potestad para resolver el contrato, rescatarlo y asumir directamente su gestión (art. 279.2 y 287.2 Real decreto legislativo 3/2011).
Cabe decir que el precedente artículo 4.5 LGTEL 2003, de igual contenido que el artículo 4.6 LGTEL 2014, antes de ser reformado por el RDL 14/2019, fue impugnado por el Gobierno de la Generalitat ante la jurisdicción constitucional por razones competenciales y que el Tribunal lo declaró ajustado al marco constitucional y estatutario. En síntesis, consideró que el legislador estaba habilitado para dictarlo al amparo de las competencias previstas en el artículo 149.1.21 CE sobre régimen general de telecomunicaciones y que la intervención del Estado, de asunción transitoria de la gestión directa de redes y servicios, estaba determinada «por la necesidad de garantizar el servicio de telecomunicaciones en las situaciones acotadas por la norma», es decir, «a los puros efectos de garantizar la prestación del servicio». En este sentido, consideró que la norma no excluía la intervención de las comunidades autónomas que, en supuestos excepcionales y siempre y cuando contaran con competencias en materia de seguridad o para la prestación de los servicios públicos afectados por el anormal funcionamiento del servicio o la red, podían instar al Estado para que llevara a cabo dicha intervención (STC 72/2014, de 8 de mayo, FJ 8). De forma similar, en un posterior pronunciamiento, con motivo de la norma que ahora nos ocupa y efectuando un paralelismo con la argumentación entonces empleada, el Tribunal recordó que la «asunción directa por el Estado de la prestación de servicios de comunicaciones por incumplimiento por los operadores de sus obligaciones de servicio público» está determinada por la «necesidad de garantizar el servicio de telecomunicaciones en las situaciones acotadas por la norma impugnada» (STC 20/2016, de 4 de febrero, FJ 8).
C) Llegados a este punto, conviene ahora examinar cuáles son los cambios principales que introduce el artículo 6.uno RDL 14/2019 en el apartado 6 del artículo 4 LGTEL.
A primera vista, puede observarse que se elimina la remisión que hacía el redactado anterior a la legislación de contratos del sector público. Además, el nuevo precepto, objeto de dictamen, amplía las potestades de actuación de la Administración estatal en la primera situación (cuando se trata de garantizar la seguridad pública y la defensa nacional), ya que ahora puede igualmente asumir la gestión directa del servicio, pero también está facultada para llevar a cabo una «intervención», sin que se especifique su alcance. Por otro lado, se reduce la apariencia del carácter acotado de la medida, eliminando las palabras «ciertas» o «determinadas» de la definición de las redes y servicios destinatarios de la misma. Adicionalmente, se incrementan los presupuestos que habilitarían la actuación estatal: por una parte, ya no se habla de «garantía» sino de «afectación» y, por otra, se añaden los conceptos de «orden público» y «seguridad nacional» y se elimina el de «defensa nacional». Por último, se incorpora un nuevo inciso, tanto para la facultad estatal de gestión directa como de intervención, que declara quepodrán afectar a «cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional».
Respecto al segundo inciso de la versión anterior, con la redacción otorgada por el Real decreto-ley, se convierte en un nuevo párrafo según el cual la potestad «de intervenir» recae sobre «los correspondientes servicios» y «la explotación de las correspondientes redes», mientras que antes se proyectaba solo sobre «la prestación de los servicios de comunicaciones electrónicas».
2. Una vez hemos transcrito las distintas versiones que ha adoptado el artículo 4.6 LGTEL desde su aprobación inicial, nos toca ahora analizar la redacción que se corresponde con el objeto de nuestro Dictamen, es decir, la que le da el artículo 6, apartado uno, del Real decreto-ley 14/2019.
El primer elemento que cabe destacar de la norma es la atribución de una facultad general al Gobierno del Estado consistente en la capacidad para acordar la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas, en determinados supuestos, para preservar y restablecer el orden público, la seguridad pública y la seguridad nacional (primer párrafo del artículo 4.6 LGTEL). El mencionado poder se configura, por parte del propio precepto, «con carácter excepcional y transitorio», y con un alcance que puede «afectar a cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario» para conseguir el objetivo previsto.
Así pues, se trata de un precepto inserido en un decreto-ley aprobado por el Gobierno del Estado, por el que se modifica la Ley general de telecomunicaciones, con una finalidad y contenido (presupuesto y alcance de la actuación) que se articulan alrededor de tres conceptos amplios que, de hecho, son indeterminados, según el criterio mayoritario de la doctrina e, incluso, de la jurisprudencia constitucional, como son el del orden público, la seguridad pública y la seguridad nacional.
Nuestro análisis, de conformidad también con las dudas expresadas por la solicitud de dictamen, formulada por el Gobierno, se realizará desde dos vertientes: por un lado, respecto a la habilitación competencial del Estado para efectuar la reforma de la LGTEL en los términos en que lo hace y, por otro lado, sobre la eventual limitación de derechos y libertades fundamentales que puede comportar la medida que se prevé. Si bien el peticionario de nuestro pronunciamiento sitúa sus críticas de manera prevalente en el ámbito de las competencias, según se desprende de la redacción de su escrito, lo cierto es que cuando menciona la falta de autorización judicial para la activación de la capacidad de actuación del Estado, está aludiendo en definitiva a la esfera de las garantías de los derechos fundamentales. Cuestión, esta última, que, en nuestra opinión, es la que es susceptible de generar un examen más complejo y con más relevancia constitucional.
Asimismo, cabe añadir, como apunte metodológico de nuestro análisis, que quedaría fuera de esta segunda perspectiva la potestad de la Administración estatal de asunción de la gestión directa de la explotación de las redes y de la prestación de los servicios de comunicaciones electrónicas, que se encuentra acotada por la legislación de la contratación pública y que está prevista para los casos de incumplimiento de las obligaciones de servicio público definidas en la misma Ley (párr. segundo del nuevo art. 4.6 LGTEL).
A) Como primer asunto, en la medida en que resulta importante para ambos niveles del examen, planteados por la solicitud, trataremos la posible competencia del Estado para llevar a cabo esta regulación.
Sobre dicho aspecto, antes que nada, y tomando como base la descripción que acabamos de realizar del contenido del nuevo artículo 4.6 LGTEL y sus diversos párrafos, hay que encuadrarlo, desde el punto de vista competencial, en la materia de telecomunicaciones en relación con la seguridad pública. Esta clasificación nos sitúa en los títulos previstos en los artículos 149.1.21 y 149.1.29 CE, respectivamente, y, en el primer caso, según la jurisprudencia del Tribunal Constitucional, en la materia del régimen general de las comunicaciones, que tiene por objeto ordenar normativamente y asegurar la efectividad de las comunicaciones. Así, es competencia del Estado el adecuado despliegue de las redes como base del servicio y la regulación de las condiciones para su prestación y explotación, incluyendo el régimen jurídico de los operadores (entre otras, STC 72/2014, FJ 3).
En los dos supuestos, el régimen de atribución de las capacidades es, con carácter general, el de la exclusividad en favor del Estado, aunque con determinadas excepciones y particularidades que a continuación indicaremos. En ambas materias, el poder central cuenta con una amplia capacidad normativa, si bien en el nivel ejecutivo la configuración es más compleja, especialmente en el caso de la seguridad pública ya que cuando se trata de las telecomunicaciones, esta tiene un plus añadido en caso de que sean necesarias para garantizar la unidad o la uniformidad de las políticas sectoriales en el conjunto del territorio del Estado (STC 20/2016, FJ 3).
Una vez señalado lo anterior, cabe remarcar que la competencia del régimen general de comunicaciones incluye la regulación de las redes y servicios de la comunicación electrónica y los recursos asociados a unas y otros (infraestructuras físicas, sistemas, dispositivos, elementos, etc.), así como la regulación y la garantía ejecutiva, en su caso, del acceso y funcionamiento de los servicios universales (en este sentido, STC 8/2012, de 18 de enero, FJ 7, y 20/2016, FJ 5).
En cuanto a las infraestructuras y otros recursos para la canalización y despliegue de las redes de comunicaciones electrónicas, hay que tener en cuenta el artículo 140.7 EAC, que atribuye a la Generalitat una serie de facultades ejecutivas en dicho ámbito material que, como tales, no excluyen «que esta pueda realizar otras competencias de naturaleza similar, derivadas [?] de la puesta en práctica de la convergencia tecnológica y la sociedad digital, así como de la necesidad de garantizar la protección de las redes y sistemas de infraestructuras que les dan apoyo» (DCGE 5/2017, de 29 de junio, FJ 3).
Respecto a la seguridad pública, el Estado es el poder que cuenta con la potestad legislativa en la materia, con el debido respeto al modelo singular de distribución de competencias de aquellas comunidades autónomas que se doten de un cuerpo de policía propio. Como es evidente y conocido, la Generalitat es la responsable del cuerpo de Mossos d?Esquadra, y las competencias del autogobierno, en seguridad pública, están recogidas en el artículo 164 EAC.
Según este esquema competencial, en el caso de Cataluña se produce una cierta concurrencia competencial en materia de seguridad pública. Por un lado, el Estado es el titular de la competencia exclusiva de la seguridad pública, en los términos del artículo 149.1.29 CE y de la Ley orgánica 2/1986, y la Generalitat, en virtud del citado artículo 164 EAC, es competente para la administración de la seguridad ciudadana en territorio catalán, mediante el cuerpo de Mossos d?Esquadra, cuya titularidad también le otorga competencias no solo orgánicas sobre la policía sino también funcionales y normativas en los ámbitos conectados con la función policial, además de las de emergencias y protección civil y seguridad privada establecidas en el artículo 132 y 163 EAC (por todos, DCGE 18/2015, de 26 de noviembre, FJ 2).
Una vez expuesto en términos sintéticos el modelo de distribución competencial, si lo trasladamos al examen del precepto que estamos analizando, se obtiene la siguiente conclusión: el Estado es competente para legislar en el ámbito material de las comunicaciones electrónicas y, en concreto, en los supuestos en los que este se conecta con la seguridad pública, por razón, tal como hemos indicado, de su doble competencia ex artículo 149.1.21 y .29 CE. Asimismo, su capacidad no se agota en el nivel normativo sino que puede extenderse a la función ejecutiva en el caso de supuestos excepcionales que sean necesarios para garantizar el orden público, la seguridad pública y la seguridad nacional. Para precisar los términos, las condiciones y los procedimientos correspondientes de estos tres supuestos, han de tenerse en cuenta las respectivas leyes sectoriales (por citar algunas: Ley 36/2015, de 28 de septiembre, de seguridad nacional; Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil; Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas; Real decreto de 14 de septiembre de 1982, por el que se aprobó la Ley de enjuiciamiento criminal (LECr); etc.)
Por consiguiente, el Estado, desde el punto de vista del parámetro de constitucionalidad y estatutariedad, está habilitado competencialmente para legislar en la materia del régimen general de comunicaciones (art. 149.1.21 CE) en relación con la protección de la seguridad pública (art. 149.1.29 CE), sin perjuicio de hacerlo respetando las competencias de la Generalitat y el régimen jurídico de los derechos fundamentales protegidos por la Constitución y susceptibles de ser afectados.
En cuanto a las capacidades de la Generalitat, podemos remitirnos al DCGE 5/2017 (FJ 2 y 3), en el que señalamos que el autogobierno catalán ostenta las competencias inherentes al hecho de disponer de una policía propia en materia de protección del espacio de las comunicaciones electrónicas (ciberseguridad), incluido el ámbito de la investigación criminal en sede judicial. Una competencia concurrente, con contenido normativo orgánico y funcional, así como ejecutivo, que se proyecta con especial intensidad en la seguridad de las redes y sistemas de la Administración de la Generalitat y su sector público, así como el sometido a su control en razón de las competencias propias ex artículos 140.7 y 164 EAC.
Por otra parte, y a modo de información adicional, como hemos indicado anteriormente en este mismo fundamento jurídico, la jurisprudencia constitucional, que analizó la presente cuestión competencial en relación con el artículo 4.5 LGTEL 2003 (STC 72/2014, FJ 8), concluyó que la asunción provisional y excepcional por parte del Estado de la gestión directa de los servicios de telecomunicaciones con el fin de garantizar su normal funcionamiento y que se cumplan las obligaciones de servicio público que le son inherentes, no supone el desplazamiento de las competencias autonómicas sectoriales que resulten afectadas por los citados servicios (seguridad pública, protección civil o sanidad).
Sentado lo anterior, y vista la configuración del precepto que estamos examinando, es decir, los términos en los que está redactado, consideramos que, a continuación, procede examinarlo desde la perspectiva de su adecuación al sistema de los derechos fundamentales, en vez de continuar la exposición del parámetro de constitucionalidad en relación con la posible afectación a las competencias de la Generalitat. El propio hilo argumental, que se inicia seguidamente, aportará las razones por las que optamos por este método de análisis.
B) Así pues, seguidamente, trataremos la cuestión relativa a la posible o potencial afectación de derechos y libertades fundamentales por el artículo 6.uno RDL 14/2019 (art. 4.6 LGTEL), principalmente en lo que atañe al artículo 18.3 CE, relativo al derecho al secreto de las comunicaciones y, asimismo, la eventual incidencia, por la posible vía de su obstaculización o vulneración, de una heterogeneidad de derechos y libertades fundamentales como son la libertad de expresión y de información (art. 20 CE), el derecho a la intimidad (art. 18.1 CE) o el derecho a la protección de datos (art. 18.4 CE), tal como se verá más adelante.
La razón de plantear esta línea de escrutinio, además de los reproches efectuados en la solicitud de dictamen, responde al motivo principal siguiente: la norma prevé una facultad gubernativa de amplia intervención y de alcance general sobre el conjunto de las redes y servicios de comunicaciones electrónicas, amparada en una serie de conceptos jurídicos indeterminados, como son el orden público, la seguridad pública y la seguridad nacional, configurando un marco de actuación administrativa susceptible de afectar a diversos derechos fundamentales. Y ello es así en la medida en que el acceso a internet determina en gran parte la viabilidad de su ejercicio ?sería el caso de la libertad de expresión y de información? y, al mismo tiempo, porque opera como infraestructura e, incluso podríamos decir en la actualidad, como condición de viabilidad de las comunicaciones y la transmisión de datos, con la subsiguiente y potencial afectación del derecho formal al secreto de las comunicaciones y a la intimidad. En consecuencia, deberá determinarse si este esquema normativo cumple las condiciones y requisitos constitucionales y de la jurisprudencia europea exigidos a la legislación que tiene por objeto el establecimiento de límites a los derechos y libertades fundamentales.
La primera consideración que hay que efectuar es la del objeto material sobre el que se proyecta la potencial capacidad de actuación del Gobierno, es decir, las redes y servicios de comunicaciones electrónicas. Tal como lo hemos descrito, en términos prolijos, en la primera parte de este fundamento jurídico, la norma parte de una definición omnicomprensiva que, sintéticamente, incluye los servicios de transporte de señales y los correspondientes medios físicos de transmisión, junto con los recursos y servicios que están asociados a los mismos y les dan apoyo, como son las infraestructuras, sistemas, dispositivos, equipos, terminales, antenas, construcciones, sistemas de acceso condicional, guías electrónicas de programas o servicios de identidad, localización y presencia. Dicha expresión, pues, agrupa el conjunto de medios y servicios que hacen posible la operatividad de las comunicaciones telemáticas, es decir, todos aquellos que incorporan algún elemento digital o informático y que caracterizan la inmensa mayoría de los sistemas de comunicación actuales.
De manera más sintética, podríamos decir que se trata de internet y de los diferentes niveles de conectividad que dicha red global permite. Identificado lo anterior, es tan relevante como evidente señalar que actualmente las comunicaciones electrónicas, destacadamente internet, constituyen la principal tecnología en la que se genera y circula la comunicación y la información en la sociedad de nuestros días. De hecho, es tan decisiva su contribución que desde numerosos sectores académicos, científicos y también jurídicos, las tecnologías de la comunicación electrónica, en sus diferentes modalidades, se consideran más un nuevo paradigma cultural, incluida su vertiente política, que un mero instrumento o medio de comunicación más.
El Tribunal Constitucional, en los momentos incipientes de este mundo todavía emergente, ya indicaba el estrecho vínculo entre la protección de determinados derechos fundamentales ?el del secreto de las comunicaciones? en una «sociedad tecnológicamente avanzada» con el «desarrollo cultural, científico y tecnológico colectivo» (STC 123/2002, de 20 de mayo, FJ 5). Más adelante en el tiempo ya se habla de un derecho de nueva generación a la protección del propio entorno virtual, en el que se integraría toda la información almacenada masivamente en formato electrónico, ya sea de manera consciente o inconsciente, con voluntariedad o sin ella, que va generando el usuario, hasta el punto de dejar un rastro susceptible de ser seguido por los poderes públicos (STS 342/2013, de 17 de abril, y 462/2019, de 14 de octubre).
Igualmente, la importancia de internet tanto para la comunicación humana como para el desarrollo de la vida en sociedad se ha recogido en otros ámbitos, como en el seno de las Naciones Unidas, donde el relator especial de esta institución y un conjunto de altas autoridades internacionales de la libertad de expresión emitieron, el 1 de junio de 2011, la Declaración conjunta sobre libertad de expresión e internet, en la que, a pesar de carecer de valor normativo, dispone en su apartado 6 que la interrupción (cancelación) del acceso a internet o a una parte de esta, incluyendo la reducción de la velocidad de navegación, aplicada a una población o a un segmento de la misma, no halla justificación en ningún caso, ni siquiera por razón del orden público o seguridad nacional. Y, asimismo, que la negación de acceso a internet, a modo de sanción, constituye una medida extrema que debe adoptarse por la justicia siempre y cuando no existan medidas menos restrictivas habida cuenta del impacto que produce en el ejercicio de los derechos humanos. Dicha Declaración ha sido confirmada recientemente, el 10 de julio de 2019, mediante la Declaración conjunta del vigésimo aniversario: Desafíos para la libertad de expresión en la próxima década.
En consecuencia, la infraestructura y los servicios tecnológicos, en la actual etapa de la civilización humana, se han convertido en la práctica en una plataforma necesaria y casi indispensable para la comunicación y, por consiguiente, para el ejercicio de derechos y libertades de la importancia de la libertad de expresión. En realidad, sería difícil identificar algún derecho subjetivo que estuviese vinculado a la participación política en un sentido amplio, que no se vehiculara o relacionara, con mayor o menor intensidad, con las comunicaciones electrónicas.
La segunda consideración se referiría al alcance funcional de la potestad otorgada a la Administración del Estado, que la norma no precisa ni delimita. De entrada, si acudimos a la definición del concepto intervención, según el diccionario de la RAE, se observa que sus acepciones están asociadas a las actuaciones de «Examinar y censurar las cuentas»; «Controlar o disponer de una cuenta»; «Dicho de una autoridad: dirigir, limitar o suspender el libre ejercicio de actividades o funciones»; «Espiar, por mandato o autorización legal, una comunicación privada»; etc. Por otro lado, es una de las palabras más utilizadas en la Ley de enjuiciamiento criminal para calificar las actuaciones de los poderes públicos en relación con la intercepción de las comunicaciones en general (cap. IV y ss., título VIII, libro II, LECr).
Expuesto lo anterior, llegamos a una primera conclusión consistente en que existe una clara y estrecha vinculación entre la garantía y el ejercicio de determinados derechos y libertades fundamentales reconocidos en la Constitución y la gestión e intervención de las redes y servicios de comunicaciones electrónicas. De hecho, más allá de su tratamiento constitucional e individualizado, todos ellos convergen en el uso de las comunicaciones electrónicas, que los afectan de forma diversa en la medida en que son la vía de acceso a los contenidos y a la sociedad de la información: todo tipo de comunicaciones telefónicas o telemáticas, correos electrónicos, servicios de mensajería o chats en grupo, tutelados por el artículo 18.3, CE; contactos, fotografías y archivos personales, por el artículo 18.1 CE; datos personales y de geolocalización, por el artículo 18.4 CE; difusión de ideas y opiniones, por el artículo 20.1.a CE; emisión y recepción de información, por el artículo 20.1.d CE; etc.
Los citados derechos fundamentales han generado una numerosa regulación y jurisprudencia, tanto respecto a su seguridad y garantía como en relación con su ponderación respecto de otros derechos y bienes jurídicos susceptibles igualmente de protección. Aquí resulta imposible, por su extensión, reproducirla en su conjunto, pero sí que es apropiada y necesaria para nuestro examen la cita de la doctrina general sobre su limitación por la vía de la ley.
Es ampliamente sabido que estos derechos fundamentales no son derechos absolutos, sino que pueden ser sometidos a limitaciones en el marco de un estado democrático si se cumplen determinados requisitos y condiciones. Dicha configuración jurídica se halla recogida tanto en la Constitución (art. 53.1 CE) como en las normas internacionales y europeas que actúan como parámetro interpretativo del ordenamiento estatal, según el artículo 10.1 CE: la Declaración universal de derechos humanos (1948), el Pacto internacional de derechos civiles y políticos (1966), el Convenio para la protección de los derechos humanos y de las libertades fundamentales (1950) y la Carta de derechos fundamentales de la Unión Europea (2001). En el ámbito europeo es sobradamente conocido que la jurisprudencia emanada del Tribunal Europeo de Derechos Humanos ha resultado especialmente decisiva y determinante en esta cuestión..
De acuerdo con lo que acabamos de indicar, y de forma muy sintética, los derechos fundamentales pueden ser limitados siempre y cuando su restricción responda a una finalidad legítima constitucional y necesaria democráticamente, se lleve a cabo mediante una ley (reserva de ley) con la calidad normativa exigible para cumplir el principio de seguridad jurídica y se haga mediante medidas idóneas, proporcionadas, que sean lo menos lesivas y preservando un equilibrio entre el derecho y la limitación, de manera que el resultado de la constricción permita un ejercicio razonable y lo más amplio posible del derecho o la libertad que se somete a la regulación.
En cuanto a la finalidad perseguida, el Tribunal Europeo de Derechos Humanos ha aceptado como finalidad legítima de la restricción de los derechos y las libertades de los individuos, en términos generales, la preservación de otros bienes y valores dignos de protección, como sería el caso de garantizar la seguridad pública. Ahora bien, exige en todo caso la «calidad de la ley» que regule la limitación, en el sentido que sea accesible, clara y previsible. Así, la norma legal debe definir las modalidades y extensión del ejercicio del poder otorgado con la claridad suficiente para aportar al individuo destinatario una protección adecuada contra la arbitrariedad de los poderes públicos. Adicionalmente, tienen que poder preverse, en un grado razonable, según las circunstancias de cada caso, las consecuencias (formalidades, condiciones, restricciones o sanciones) que se derivan de su aplicación. Y las limitaciones deben fundamentarse en una ley de singular precisión cuando se trata de procedimientos de intercepción de las comunicaciones, que constituyen una intromisión en la vida privada y en la correspondencia, de forma que es indispensable que las normas que los regulan sean claras y detalladas, más aún habida cuenta de que la tecnología disponible es cada vez más sofisticada (STEDH 8691/79, de 2 de agosto de 1984, asunto Malone contra el Reino Unido; 11105/84, de 21 de abril de 1990, asunto Huvig contra Francia; 11801/85, de 24 de abril de 1990, asunto Kruslin contra Francia).
En aplicación de dicha doctrina, en varias ocasiones se han declarado contrarias al artículo 8 CEDH las regulaciones de la LECr sobre intervención de las comunicaciones telefónicas, porque la ley no definía con precisión la naturaleza de las infracciones que podían dar lugar a dicha intervención ni las condiciones para su aplicación (STEDH 27671/95, de 30 de julio de 1998, asunto Valenzuela Contreras contra España; 58496/00, de 18 de febrero de 2003, asunto Prado Bugallo contra España).
La ausencia de alguno de los elementos determinantes de la calidad de la ley comporta la vulneración del derecho afectado y, por consiguiente, en estos casos, el Tribunal Europeo ya no se pronuncia sobre el resto de los requisitos necesarios para que las injerencias o límites al derecho afectado sean legítimas (si el límite es necesario en una sociedad democrática para conseguir un fin legítimo y proporcional en relación con este fin). A modo de ejemplo, podemos mencionar las STEDH ya citadas de los asuntos Kruslin contra Francia y Valenzuela Contreras contra España.
Por su parte, el Tribunal Constitucional ha reiterado que toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas, ya sea porque incide directamente en su desarrollo (art. 81.1 CE) o porque limita o condiciona su ejercicio (art. 53.1 CE), requiere una habilitación legal (STC 49/1999, de 5 de abril, FJ 4). Paralelamente, ha destacado la importancia de que la medida restrictiva esté prevista en una norma legal que la avale y que reúna las condiciones mínimas que requiere las exigencias de la seguridad jurídica y la certeza en el derecho (art. 9.3 CE). En otras palabras, es un requisito «previo e insoslayable» la existencia de una cobertura legal expresa y clara de la injerencia, que defina las modalidades y extensión del ejercicio del poder otorgado con la suficiente claridad para aportar al individuo una protección adecuada contra la arbitrariedad (STC 84/2018, de 16 de julio, FJ 2 y 3, citando la STC 217/2015, de 22 de octubre, FJ 2).
Así, considera que es insuficiente, desde la perspectiva de la calidad de la ley, la habilitación genérica que no prevé los presupuestos, condiciones y duración máxima de la intervención (STC 169/2001, de 16 de julio, FJ 6 y 8), como también lo es la que suscita una indeterminación sobre los casos a los que se aplica la restricción, defecto que impide el cumplimiento de su función de garantía y que, por el contrario, otorga el control de la restricción a la libre voluntad de quien lo ejecuta (STC 292/2000, de 30 de noviembre, FJ 15, y 76/2019, de 22 de mayo, FJ 5).
Igualmente, este Consell, en el DCGE 7/2015, de 4 de junio, en relación con la obligación de que las medidas que limitan derechos fundamentales deben estar previstas en la ley y, a la vez, deban reunir ciertas exigencias de «calidad», dijimos que «la norma debe ser suficientemente clara y debe permitir prever, en un grado razonable según las circunstancias de cada caso, las consecuencias que derivan de su aplicación. Por otra parte, el grado de precisión depende en gran medida del contenido y del ámbito de aplicación de la restricción, así como de sus destinatarios. De la misma manera, la noción de previsibilidad se aplica, no solo a un comportamiento respecto del que cualquier ciudadano pueda prever las consecuencias que se derivan, sino también a las formalidades, condiciones, restricciones» (FJ 4).
Llegados a este punto, hay que insistir en que el requisito de calidad en la ley debe cumplirse siempre que quiera restringirse legítimamente el ejercicio de un derecho fundamental, sin perjuicio de que en determinados supuestos, como es el caso del secreto de las comunicaciones, se parta, por mandato constitucional (art. 18.3 CE), de un nivel de protección más alto, dado que es necesaria una autorización judicial previa para la intervención de su ejercicio. Cabe decir, sin embargo, que el Tribunal Constitucional, invocando el derecho a la intimidad para otorgar protección constitucional al cúmulo de información personal derivada del uso de los instrumentos tecnológicos (art. 18.1 CE), ha declarado que la regla general también debería ser la limitación de este derecho mediante resolución judicial motivada. Ahora bien, puesto que no hay reserva constitucional en ese sentido, ha admitido que la ley autorice la limitación de los derechos y libertades siempre y cuando esta se lleve a cabo respetando los principios de proporcionalidad y de razonabilidad. Exige, en consecuencia, la estricta observancia del principio de proporcionalidad de la medida restrictiva, en sus tres dimensiones: juicio de idoneidad (si la medida permite alcanzar el objetivo propuesto y es congruente con este); juicio de necesidad (si no existe otra medida más moderada y de menor intensidad coactiva para la consecución de la finalidad con igual eficacia); juicio de proporcionalidad en sentido estricto (si la medida es ponderada o equilibrada, de forma que se derivaran más ventajas o beneficios para el interés general que perjuicios sobre otros bienes o valores en conflicto) (por todas, STC 173/2011, de 7 de noviembre, FJ 2, y en el mismo sentido, DCGE 7/2015, de 4 de junio, FJ 3, y 2/2019, de 22 de febrero, FJ 3).
C) Una vez hemos expuesto brevemente el parámetro de limitación de los derechos fundamentales, cabe proyectarlo sobre la norma que es objeto de nuestro Dictamen. En primer lugar, examinaremos la finalidad del precepto; analizaremos el sentido y alcance de su contenido a fin de determinar si puede afectar ilegítimamente al ejercicio de derechos fundamentales, y, según el resultado, nos pronunciaremos sobre su adecuación a la Constitución.
Respecto de la finalidad, si ubicamos el precepto en el seno de la norma legal en la que se insiere la Ley general de telecomunicaciones y, a la vez, también tenemos en cuenta su título y contenido regulador, resulta claro, como hemos visto ampliamente en el inicio de este fundamento jurídico, que se trata de un supuesto en el que concurren las materias de régimen general de las comunicaciones y de seguridad pública, en un sentido amplio (orden público y seguridad nacional).
En relación con el orden público, la seguridad pública y la seguridad nacional debemos formular las siguientes consideraciones:
El orden público es un concepto jurídico indeterminado, con origen y apogeo en la gobernanza española del siglo XIX y de la etapa de la dictadura franquista, que con la entrada en vigor del nuevo régimen constitucional perdió buena parte de su sentido tradicional en la medida en que resultaba incompatible con las garantías constitucionales propias de una democracia. De esta forma, el orden público pasó de la vieja y obsoleta construcción como cláusula preventiva y represiva de intervención gubernativa, orientada a la restricción de derechos y libertades, especialmente los de naturaleza política, a una noción actualizada y más acotada denominada seguridad pública. Así, la norma fundamental de 1978 abandonó el uso legislativo anterior, hasta el punto que únicamente lo prevé de manera explícita en tres ocasiones y en unos términos bien diferentes: como límite al derecho de reunión y manifestación (art. 21.2 CE) y al ejercicio de la libertad religiosa en espacios públicos (art. 16.1 CE), para asegurar el respeto simultáneo a otros derechos y como bien jurídico susceptible de ser protegido mediante la función de la seguridad ciudadana, que es ejercida de forma principal por las fuerzas y cuerpos de seguridad (art. 104 CE). Dicho de otro modo, el orden público en el estado de derecho actual es concebido como aquel bien, o, con otras palabras, aquel valor o espacio de tranquilidad y de convivencia social, que actúa como condición necesaria para el ejercicio de otros derechos fundamentales y libertades públicas.
El citado cambio de paradigma jurídico ya fue fijado por la incipiente jurisprudencia del Tribunal Constitucional (STC 33/1982, de 8 de junio, FJ 3), que estableció que el concepto de seguridad pública era una noción más precisa y propia del nuevo sistema constitucional, de forma que el orden público quedaba circunscrito a los aspectos arriba indicados. Desde aquella época, ya lejana, lo cierto es que el Tribunal no ha desarrollado una posterior doctrina delimitante del orden público, en cuanto a su contenido y contornos, y lo mismo podríamos decir de la doctrina del Tribunal Europeo de Derechos Humanos. Este último, más allá de aceptar, según un análisis ponderado, caso por caso, la validez de este concepto jurídico indeterminado como límite legítimo en el ejercicio de ciertos derechos fundamentales, sí que ha recordado que el orden público no puede ser utilizado por la legislación de los estados de modo excesivamente expansivo hasta el punto de devenir un instrumento de restricción u obstaculización de las libertades y derechos fundamentales, especialmente en la esfera de la libertad de expresión y los derechos de participación política, en un sentido amplio (con un énfasis destacado en los derechos de reunión, asociación y manifestación, y de disidencia en general: STEDH 31684/05, de 5 de marzo de 2009, asunto Barraco contra Francia; 17843/11, de 16 de enero de 2018, asunto Dinçer contra Turquía; 11798/85, de 23 de abril de 1992, asunto Castells contra España, entre otros). En todo caso, si procedemos a llevar a cabo una cierta destilación de su doctrina, obtendríamos el principio de que el orden público es legítimo para garantizar la ausencia de violencia, en un contexto de existencia de un riesgo cierto, claro e inminente en que esta puede llegarse a desencadenar.
En consecuencia, a modo de resumen, podemos sostener que, aunque se trata de un concepto jurídico indeterminado, la previsión del orden público en las leyes es legítima si tiene por objeto prevenir y combatir un supuesto claro de afectación de la paz y de la convivencia social. Sin embargo, su invocación por parte del legislador debe ser restrictiva y respetuosa con el ejercicio de los derechos fundamentales y las libertades, de forma que no obstaculice ni desincentive su práctica, condición que requiere una técnica precisa y clara en su regulación, tanto respecto a la concreción de los supuestos habilitantes para su activación como en relación con las condiciones y previsibilidad de su uso por los poderes públicos.
En cuanto a la seguridad pública, como acabamos de exponer, emerge como nuevo concepto con la Constitución de 1978, y se configura como materia de distribución competencial, en este caso en régimen de atribución exclusiva al Estado ex artículo 149.1.29 CE y con la participación destacable de las comunidades autónomas que se doten de policía propia, siendo uno de los dos casos más relevantes el catalán, y a la vez como bien jurídico que garantiza la tranquilidad ciudadana, principalmente a través de la seguridad ciudadana y la protección civil. La jurisprudencia constitucional en seguridad pública ha resultado ser mucho más extensa que en el caso del orden público, y ha sido dictada sobre todo en supuestos de conflictividad competencial o en el examen de constitucionalidad de las leyes sectoriales de cabecera de las citadas submaterias (Ley orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana y Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil). A modo de resumen, podríamos decir que el alto tribunal ha equiparado en gran medida la seguridad pública a la actividad funcional y orgánica orientada a la protección de las personas y los bienes y, con el fin de limitar su potencial expansivo, ha tendido a vincularla, aunque sin excluir otros espacios materiales conexos, con la esfera de las funciones que despliegan los cuerpos de seguridad y de prevención y reacción en las emergencias (entre otras, STC 58/2017, de 11 de mayo, FJ 3 y 4; 87/2016, de 28 de abril, FJ 5; 86/2014, de 29 de mayo, FJ 2 a 4).
Últimamente, sin embargo, el alcance de la seguridad pública se ha ampliado a dos nuevos ámbitos de actuación que hasta el año 2015 eran inéditos, como mínimo respecto a su explicitación formal y al hecho de disponer de una legislación sectorial propia: nos estamos refiriendo a la seguridad nacional y a la ciberseguridad. En sendas sentencias recientes, el Tribunal Constitucional ha optado por no considerarlos una nueva competencia sino que los ha reconducido y subsumido, en buena parte, en la seguridad pública. En el caso de la seguridad nacional ha hecho concurrir en ella, junto con la seguridad pública, la materia de la defensa (STC 184/2016, de 3 de noviembre, FJ 3), y en el supuesto de la ciberseguridad, ha establecido el vínculo con las competencias de telecomunicaciones y la seguridad nacional (STC 142/2018, de 20 de diciembre, FJ 4 a 6).
Respecto a esta última, y dada su evidente conexión con el presente Dictamen, creemos oportuno reproducir el siguiente razonamiento:
«En suma, puede afirmarse que la evolución de las tecnologías de la información y de la comunicación ha hecho que las redes y sistemas de información desempeñen actualmente un papel crucial en nuestra sociedad, siendo su fiabilidad y seguridad aspectos esenciales para el desarrollo de las actividades económicas y sociales. Prueba de ello es que los operadores de redes y servicios de comunicaciones electrónicas disponibles al público están obligados a gestionar ?adecuadamente los riesgos de seguridad que puedan afectar a sus redes y servicios a fin de garantizar un adecuado nivel de seguridad y evitar o reducir al mínimo el impacto de los incidentes de seguridad en los usuarios y en las redes interconectadas? (art. 44.1 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones). Atendiendo a lo que se ha expuesto, puede concluirse que la ciberseguridad se incluye en materias de competencia estatal en cuanto, al referirse a las necesarias acciones de prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas y el régimen en general de telecomunicaciones.» (FJ 4)
Así, de acuerdo con lo que hemos expuesto, puede concluirse que los conceptos de orden público, seguridad pública y seguridad nacional, con las correspondientes modulaciones, son conceptos interconectados, susceptibles de legitimar la intervención del Estado en situaciones de riesgo para las personas y los bienes, en el amplísimo abanico de ámbitos en los que se proyecta el espacio público, incluido el tecnológico, y los cuales se caracterizan en todo caso por su contenido indeterminado, con el subsiguiente margen de apreciación y discrecionalidad en cuanto a los límites de la intervención y, en consecuencia, también en su potencial capacidad de afectar al ejercicio de derechos y libertades individuales. Respecto de la citada configuración, cabe añadir, para completar la síntesis, que la jurisprudencia de los más altos tribunales relativa a la interpretación de los derechos constitucionales tampoco los ha precisado ni acotado más allá de vincularlos, caso por caso, a la protección y a la tranquilidad ciudadana, a la necesidad de preservar el orden pacífico y no violento y, en consecuencia, los ha identificado con la vertiente orgánica y funcional de los servicios públicos de policía y emergencias.
Sin embargo, tanto el Tribunal Constitucional como el Tribunal Europeo de Derechos Humanos han establecido la necesidad de que la regulación de estos conceptos como límites para el ejercicio de los derechos y libertades de los ciudadanos se efectúe mediante por ley, responda a una necesidad democrática y se formule en términos acotados y lo menos constrictivos posibles, así como que su aplicación se lleve a cabo con la mínima y proporcionada intensidad, de modo que el resultado los dificulte o restrinja lo menos posible.
Volviendo al examen de la norma que nos ocupa, el nuevo redactado del artículo 4.6 LGTEL que reforma el Real decreto-ley se articula en torno a estos tres conceptos que operan como finalidad u objetivo de la norma: la preservación o restablecimiento del orden público, la seguridad pública y la seguridad nacional, y, al mismo tiempo, los prevé como supuestos de aplicación o habilitantes para la activación de la facultad de intervención del Gobierno del Estado.
De entrada, dicha conformación normativa contribuye a generar un marco muy amplio e, incluso, imprevisible respecto de su régimen de aplicación: se recurre a tres conceptos jurídicos indeterminados para justificar la atribución del poder al Gobierno, sin necesidad de autorización judicial sin ni siquiera requisito procedimental administrativo específico alguno para intervenir el conjunto de las redes y servicios, los cuales simultáneamente se establecen como objetivo y presupuesto habilitante.
Se trata de una construcción tan imprecisa y poco concreta que contrasta con la regulación de la legislación procesal penal actualmente vigente para la intervención de las comunicaciones personales en supuestos de investigación policial y penal. La comparación que realizamos a continuación es relevante porque se trata del supuesto más destacado del que dispone el ordenamiento jurídico en cuanto a la intervención de comunicaciones por parte de los poderes públicos, susceptible de afectar al ejercicio de los derechos fundamentales ex artículo 18.3 CE, y que ha sido sometido a una intensa y recurrente tarea de escrutinio por parte de los tribunales (Tribunal Supremo, Tribunal Constitucional y Tribunal Europeo de Derechos Humanos). En este sentido, es importante recordar que en el caso del derecho al secreto de las comunicaciones se trata de un derecho esencialmente formal, que se vulnera por el mero hecho de la intercepción ilegítima, al margen o independientemente de los contenidos de la comunicación. Así, los artículos 588 bis.a a 588 octies LECr, tras varias sentencias contrarias al Estado español por parte del Tribunal Europeo de Derechos Humanos, establecen una serie de requisitos concretos previos a la autorización judicial que dará lugar a la intercepción de una comunicación, ya sea de naturaleza privada o pública.
En primer lugar, la ley procesal exige que los indicios delictivos que justifiquen la solicitud se refieran a tipos penales con penas superiores a los tres años, a delitos cometidos en el seno de un grupo o una organización criminal, o que se trate de delitos de terrorismo. Acto seguido, corresponde al juez la decisión de la intervención, según el imperativo constitucional consignado en el artículo 18.3 CE, último inciso, el cual la adoptará solo si procede y en unos términos acotados conforme a los principios de especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad de la medida.
Si volvemos al precepto que estamos examinando (art. 6.uno RDL 14/2019), también puede comprobarse que se proyecta sobre el conjunto de las redes y servicios de comunicaciones electrónicas con un potencial de intervención integral y casi ilimitado. Así se desprende de manera inmediata de la literalidad del texto:
«6. El Gobierno, con carácter excepcional y transitorio, podrá acordar la asunción por la Administración General del Estado de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional. En concreto, esta facultad excepcional y transitoria de gestión directa o intervención podrá afectar a cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional.»
La combinación de la atribución de una enorme discrecionalidad al Gobierno del Estado a la hora de activar la intervención de las comunicaciones electrónicas, su carácter potencialmente omnicomprensivo sobre el conjunto de la red y los servicios en los que puede operar, junto con la ausencia de previsión de cualquier tipo de delimitación funcional, de procedimiento específico o de garantía adicional en cuanto a los contenidos y sujetos susceptibles de ser afectados por la intervención, convierten a dicho precepto en una verdadera cláusula genérica de intervención gubernamental.
La eventual refutación a la afirmación que acabamos de sostener, que consistiría en aseverar que la capacidad del Gobierno del Estado solo afectaría al soporte instrumental de las comunicaciones, es decir, a las infraestructuras físicas o técnicas (cableado, servidores, antenas, etc.), y no a los contenidos ni a la información, que quedarían preservados de la afectación administrativa, así como el razonamiento de que tan solo se intervendrían con una finalidad de restablecimiento del servicio universal en supuestos de caída del sistema (lo que ya está previsto expresamente en otro párrafo del mismo precepto), no es ni mucho menos la interpretación que consideramos que se desprende de manera inmediata, natural y razonable de la literalidad del texto. Y, en caso de que así fuera ni que sea en parte, tampoco destierra la potencial afectación que implica, para el ejercicio de determinados derechos como la libertad de expresión, el bloqueo, la interrupción o la obstaculización del acceso universal a la red por la que circula la información y la comunicación.
Creemos importante insistir en que el texto del primer párrafo del artículo 4.6 LGTEL opera en términos tan genéricos e indeterminados que resultan incompatibles con una regulación garante de los derechos fundamentales. Respecto del concepto «intervención», incluye una potencial actuación tan amplia como imprecisa respecto a su predeterminación o previsibilidad; interpretación que se refuerza cuando el precepto no se limita a indicar una finalidad reparadora (el restablecimiento del orden público, la seguridad pública o la seguridad nacional) una vez se ha producido un daño o riesgo de daño inminente y cierto sino que también da cobertura a una actuación preventiva («en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional»).
Esta configuración, según nuestra opinión, sustenta la interpretación de la cláusula como genérica e imprevisible. Defectos, estos, en la calidad normativa del artículo 6, apartado uno, RDL 14/2019 que también se reflejan en la justificación vaporosa e inaprehensible del preámbulo. Así, con carácter general se expone en este que:
«Los recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin, cuyo objetivo último sea proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos.» (apdo. I, párr. sexto)
O también que:
«Como se ha justificado en los apartados anteriores, las medidas contenidas en el presente real decreto-ley tienen como finalidad incrementar el estándar de protección de la seguridad pública frente a las crecientes amenazas que plantea el uso de las nuevas tecnologías y a la luz siempre de los últimos sucesos en territorio español.» (apdo. VI, párr. quinto)
Y, más concretamente, respecto al precepto que ahora se analiza:
«Así, en concreto, se modifican los artículos 4.6 y 6.3 de la Ley 9/2014, de 9 de mayo, para reforzar las potestades del Ministerio de Economía y Empresa para llevar a cabo un mayor control y para mejorar sus posibilidades de actuación cuando la comisión de una presunta actuación infractora a través del uso de las redes y servicios de comunicaciones electrónicas pueda suponer una amenaza grave e inmediata para el orden público, la seguridad pública o la seguridad nacional o cuando en determinados supuestos excepcionales que también puedan comprometer el orden público, la seguridad pública y la seguridad nacional sea necesaria la asunción de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas.» (apdo. II, párr. vigesimosexto)
Así, la reforma que opera el Real decreto-ley en la LGTEL, según las propias palabras del legislador, confirmaría la tesis de la evolución de la finalidad y el objeto del precepto, ya que la justificación del preámbulo, la desvinculación de la ley de contratos públicos y los cambios sutiles pero significativos de su literalidad evidencian su colisión con la intención originaria de la Ley, la cual debía ser interpretada conforme a los principios del artículo 5 LGTEL y que, por el contrario, en su versión actual se manifiesta con sustantiva disconformidad con dichos principios.
De acuerdo con lo anterior, podemos llegar a la conclusión que, a pesar de que la nueva redacción del artículo 4.6 LGTEL (según la versión del Real decreto-ley) ha variado en pocos y limitados aspectos respecto a la redacción de la Ley general de telecomunicaciones (en su versión del año 2014), en realidad su objeto y finalidad han mutado de forma sustantiva hasta el punto que el actual redactado es incompatible no solo con el principio de seguridad jurídica ex artículo 9.3 CE, sino también con lo que debe ser una adecuada garantía constitucional de las condiciones para el ejercicio de determinados derechos fundamentales.
Si desarrollamos el argumento anterior, podemos precisar que su texto genera un grave marco de imprevisibilidad dado el carácter amplísimo e indeterminado de la casuística que puede abarcar la norma, ni que sea formalmente, bajo el paraguas de conceptos como el del orden público, la seguridad pública o la seguridad nacional. Hipótesis, esta, que confirma el propio preámbulo cuando se manifiesta incapaz de concretar los motivos que justifican la reforma de este precepto más allá de las referencias eufemísticas y veladas que apunta respecto a las amenazas de las nuevas tecnologías y a los conflictos o disturbios sucedidos recientemente en «parte del territorio español» y que justificarían por razones de urgencia y seguridad la aprobación del Real decreto-ley en la parte que contiene la reforma en cuestión.
Desde la perspectiva de las condiciones para el ejercicio de determinados derechos fundamentales, la indefinición e indeterminación del precepto resulta aún más grave. Los presupuestos habilitantes, así como el alcance de la intervención, abren un espacio de amplísima discrecionalidad administrativa, respecto al cuándo y al qué, los supuestos concretos de la activación y el objeto material sobre el que puede proyectarse, pero también en relación con el cómo, con una evidente indeterminación funcional en cuanto a las medidas limitativas que puede amparar. Así, queda a la libre apreciación del Gobierno estatal una facultad de intervención que además no requiere ni de un procedimiento específico mínimamente articulado (en contraste, por ejemplo, con el caso de la Ley de seguridad nacional) ni de la autorización judicial. En un marco como este, se abren espacios a la aplicación de la norma lesivos, tanto de la libertad de expresión y de información (con la red intervenida por la acción gubernamental no se dan las condiciones para su libre y completo ejercicio) como de potencial afectación al secreto de las comunicaciones, la intimidad y la debida protección de los datos.
En cuanto a estos últimos derechos fundamentales, no debemos olvidar y aquí resulta primordial recordarlo, que hoy en día las redes y servicios de comunicaciones electrónicas son mucho más que una mera infraestructura o tecnología para la comunicación, hasta el punto de que se han convertido en auténticas condiciones de posibilidad o básicas para el ejercicio de los precitados derechos fundamentales, verdaderos pilares de las sociedades democráticas y plurales. El propio Tribunal Europeo de Derechos Humanos, en la decisión del asunto Ahmet Yildirim contra Turquía, STEDH 3111/10, de 18 de diciembre de 2012, resultando definitiva el 18 de marzo de 2013, ya indicó con motivo de una restricción gubernamental de acceso a internet que, aunque fuera limitada, suponía una vulneración de los derechos del Convenio europeo para la protección de los derechos humanos y las libertades fundamentales en la medida en que «Internet es en la actualidad el principal medio de la gente para ejercer su derecho a la libertad de expresión y de información: se encuentran herramientas esenciales de participación en actividades y debates relativos a cuestiones políticas o de interés público» (apdo. 54). En nuestra era, la distinción tradicional entre instrumento y contenido en determinados casos, y en concreto en el ámbito de las nuevas tecnologías y el derecho o el contenido que este pretende garantizar, ha terminado diluyéndose y se ha convertido más en un artificio conceptual, fruto de la pervivencia de las clasificaciones académicas e intelectuales de los siglos XIX y XX, que en una realidad, ya no incipiente sino consolidada, en la que a menudo el instrumento determina e, incluso, crea el contenido.
Dicho esto, conviene ahora recuperar la ya expuesta doctrina del Tribunal Constitucional, a través de la STC 169/2001, en la que, acogiendo el criterio iniciado por la STC 27/1981, de 20 de julio (FJ 10) y reflejado en la STC 49/1999, de 5 de abril (FJ 4), argumenta que «la legitimidad constitucional de cualquier injerencia del poder público en los derechos fundamentales requiere que haya sido autorizada o habilitada por una disposición con rango de Ley, y que la norma legal habilitadora de la injerencia reúna las condiciones mínimas suficientes requeridas por las exigencias de seguridad jurídica y certeza del derecho».
En el mismo sentido, y de hecho con motivo de varios asuntos en los que ha sido parte el propio Estado español, la doctrina del Tribunal Europeo de Derechos Humanos ha establecido reiteradamente que una ley que tenga por objeto la limitación de un derecho fundamental, como sería el caso de los previstos en los artículos 18 (intimidad y secreto de las comunicaciones) y 21 (derecho de reunión y de asociación), aparte de los ya citados criterios de la legitimidad de la finalidad y de la necesidad democrática de la medida y la subsiguiente proporcionalidad de la regulación, debe cumplir, antes de nada, una primera condición vinculada a la reserva de ley, que es, precisamente, la calidad normativa de la misma, conectada al principio de seguridad jurídica, es decir, a la previsibilidad. Y dicha propiedad o atributo se identifica con una regulación lo bastante específica y detallada como para evitar un margen de apreciación de los poderes públicos, a la hora de actuar restringiendo los derechos afectados, que devenga ilimitado o muy amplio. Así, la característica de la nitidez y la claridad en el alcance, las condiciones habilitantes para su ejercicio y los términos y límites de la actividad constrictiva son elementos primordiales en la valoración de la validez y legitimidad de la norma según las prescripciones del Convenio europeo para la protección de los derechos humanos y las libertades fundamentales.
Este canon debe cumplirse con un especial cuidado cuando la propia ley no prevé la intervención judicial en el proceso de limitación gubernativa o administrativa de los derechos, y de modo aún más exigente en actuaciones de los poderes públicos que pueden ser de tipo preventivo o anticipatorio, al amparo del supuesto legal de «la imperiosa necesidad» de prevenir un potencial daño o hacer frente a un «riesgo claro inmediato» sobre las personas y los bienes.
De acuerdo con todo lo anterior, podemos concluir que la regulación examinada, el primer párrafo del apartado 6 del artículo 4 LGTEL, no respeta los estándares mínimos de calidad normativa que exigen tanto la jurisprudencia del Tribunal Constitucional como la del Tribunal Europeo de Derechos Humanos. Y ello es así porque, tal como lo hemos razonado, el precepto se configura sobre una finalidad, unos supuestos habilitantes y un procedimiento que lo convierten en una regulación falta de la previsibilidad necesaria que se exige a una ley que es susceptible de constreñir derechos fundamentales protegidos por el Convenio europeo de derechos humanos y la Constitución. Así, no cumple el primer requisito de validez exigible a este tipo de legislación, la cual, además, dicho sea a efectos de completar el test de validez, una vez alcanzada la mínima calidad normativa, debería acreditar también su legítima necesidad para un estado democrático, su idoneidad respecto al contenido de la medida, además de la proporcionalidad en su conjunto a la hora de garantizar el equilibrio entre la restricción y la viabilidad del ejercicio del derecho o derechos afectados. Estos últimos elementos, sin embargo, aunque han sido apuntados, ya no serán examinados respecto de la norma que nos ocupa, puesto que la primera condición de validez, la calidad de la ley, como acabamos de argumentar, se incumple.
De los razonamientos recién expuestos se desprende que el apartado 6 del artículo 4 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, en su nueva redacción, vulnera el artículo 9.3 CE, en cuanto a las exigencias de calidad de la ley para legitimar la injerencia de los poderes públicos en los derechos fundamentales y las libertades públicas, y al mismo tiempo también es contrario a la jurisprudencia del Tribunal Europeo de Derechos Humanos, de relevancia constitucional en virtud del artículo 10.1 CE, relativa a la calidad de las leyes susceptibles de afectar a los derechos y libertades del Convenio europeo.
En consecuencia, cabe concluir que el apartado uno del artículo 6 RDL 14/2019, de 31 de octubre, en la redacción que da al primer párrafo del apartado 6 del artículo 4 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, en cuanto a la facultad de «intervención» administrativa estatal, es inconstitucional porque vulnera el artículo 9.3 CE.
Finalmente, nos corresponde realizar una última observación sobre la cuestión competencial, que hemos indicado al inicio del presente fundamento jurídico y que hemos dejado inconclusa al haber tratado primeramente la vertiente del precepto relacionada con la afectación de derechos fundamentales. Y, llegados a este punto, consideramos que no se puede reanudar la tarea orientada a obtener una conclusión sobre la eventual vulneración de las competencias de la Generalitat porque, como acabamos de exponer, la falta de calidad normativa impide identificar con precisión el alcance y los límites de la potencial intervención administrativa y gubernamental por parte del Estado. Condición que resulta imprescindible para poder proceder al examen de la delimitación de funciones y responsabilidades entre las administraciones que son titulares de competencias concurrentes en las materias objeto de la norma. Es decir, la insuficiente precisión e imprevisibilidad del tenor literal del precepto dejan sin sentido efectuar la operación jurídica de la delimitación de competencias según los términos de su redactado por causa de la inconstitucionalidad ya apreciada, pero también por la falta de la definición mínima exigible para poder hacerlo.
3. A continuación, nos corresponde pronunciarnos sobre el apartado 5 del artículo 6 RDL 14/2109, que reformula el apartado 1 del artículo 81 LGTEL dándole la redacción siguiente:
«1. Previamente al inicio del procedimiento sancionador, podrá ordenarse por el órgano competente del Ministerio de Economía y Empresa, mediante resolución sin audiencia previa, el cese de la presunta actividad infractora cuando existan razones de imperiosa urgencia basada en alguno de los siguientes supuestos:
a) Cuando exista una amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional.
b) Cuando exista una amenaza inmediata y grave para la salud pública.
c) Cuando de la supuesta actividad infractora puedan producirse perjuicios graves al funcionamiento de los servicios de seguridad pública, protección civil y de emergencias.
d) Cuando se interfiera gravemente a otros servicios o redes de comunicaciones electrónicas.
e) Cuando cree graves problemas económicos u operativos a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o demás usuarios del espectro radioeléctrico.»
Como se desprende de su contenido, el precepto objeto de dictamen, insertado en el cuerpo normativo de la Ley general de telecomunicaciones sobre la inspección y su régimen sancionador, regula las «Medidas previas al procedimiento sancionador». En concreto, atribuye a un órgano de la Administración del Estado (el Ministerio de Economía y Empresa) la potestad para ordenar, antes de que se inicie el procedimiento sancionador y mediante una resolución sin audiencia previa, cuando existan razones de imperiosa urgencia, el cese de la presunta actividad infractora. Dicha urgencia debe proyectarse sobre uno de los cinco supuestos que se han transcrito antes, todos ellos recogidos por el artículo 81.1: cuando exista una amenaza inmediata y grave para el orden público, la seguridad pública, la seguridad nacional o la salud pública (letras a y b); cuando se puedan producir graves perjuicios para el funcionamiento de los servicios de seguridad pública, protección civil y emergencias como consecuencia de la actividad infractora (letra c); cuando se interfiera gravemente en otros servicios o redes de comunicaciones electrónicas (letra d), y cuando dichaactividad cree graves problemas económicos u operativos para otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o para los restantes usuarios del espectro radioeléctrico (letra e).
A fin de obtener la correspondiente conclusión, en primer lugar, describiremos la caracterización del régimen jurídico de este tipo de medidas provisionales en el seno del procedimiento administrativo, así como su encaje en el orden constitucional y la legislación básica del procedimiento administrativo.
A) Las medidas previas al procedimiento sancionador, también llamadas provisionalísimas, son un tipo de medidas cautelares que pueden ser adoptadas con carácter previo al inicio de un procedimiento administrativo de naturaleza sancionadora. Su finalidad tiene por objeto asegurar determinados derechos, bienes o intereses dignos de ser protegidos por parte de la Administración pública ante un riesgo de afectación por daño o pérdida, antes de que se sustancie y finalice un procedimiento administrativo mediante la correspondiente resolución del órgano competente.
Cabe recordar que las medidas cautelares, con carácter general, y por el hecho de que anticipan una decisión previa, aunque sea de manera parcial y provisional, al cierre, o incluso al inicio, de un procedimiento, suponen una excepción al régimen general del procedimiento y de la actuación administrativa, dado que su contenido puede colisionar con el derecho a la presunción de inocencia, modulado en el ámbito sancionador administrativo, y protegido por la Constitución a través del derecho fundamental del artículo 24 CE.
Así, una medida cautelar que suponga una pérdida o menoscabo, aunque sea transitorio, de derechos individuales, puede significar en realidad una sanción encubierta, la cual no tiene amparo en un estado democrático, entre otras razones, porque podría conculcar, como se ha dicho, el principio de inocencia (STC 22/1985, de 15 de febrero, FJ 6). Ahora bien, su adopción se admite, en un procedimiento sancionador, siempre y cuando se lleve a cabo mediante una resolución fundamentada en derecho que, cuando no es reglada, se base en un juicio de razonabilidad sobre la finalidad pretendida y las circunstancias concurrentes, pues una medida desproporcionada o irrazonable no sería cautelar sino que tendría un carácter punitivo en cuanto al exceso (STC 108/1984, de 26 de noviembre, FJ 2.b).
Igualmente, el uso de las medidas provisionales previas al principio del procedimiento administrativo debe ser extremadamente acotado y restringido por el hecho de que tienen lugar antes del inicio de las actuaciones administrativas y pueden incidir en un derecho, bien o interés de un tercero sin que se hayan practicado las pruebas que prevé el proceso ni el administrado haya contado con los trámites y garantías que el ordenamiento jurídico le reconoce. Y ello, en gran medida, como hemos dicho, porque pueden producir una situación de anticipación provisional de la decisión final con un contenido que puede ser sancionador.
Dicha configuración, en consecuencia, es susceptible de afectar a los derechos del ciudadano concernido y de interferir en el principio constitucional de actuación objetiva de la Administración, establecido en los artículos 9.3 y 103 CE. No debemos olvidar, como ha recordado insistentemente la jurisprudencia del Tribunal Constitucional, que la objetividad al servicio de los intereses generales se sitúa en las antípodas de la arbitrariedad y la falta de garantía de los derechos de los administrados, que se aseguran mediante el cumplimiento estricto de los diversos procedimientos y condiciones que vinculan a los poderes públicos mediante la sujeción a las leyes (por todas, STC 34/1995, de 6 de febrero, FJ 3).
En cuanto a la legislación que las regula, esta tipología de medidas cautelares está prevista actual y expresamente en el artículo 56.2 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas (LPACAP), si bien tiene su antecedente en el artículo 72.2 de la Ley 30/1992, de 26 de noviembre, de régimen jurídico de las administraciones públicas y del procedimiento administrativo común (LRJAPC), como consecuencia de la modificación operada por la Ley 4/1999, de 13 de enero, que introdujo la posibilidad de adoptar tales medidas antes del inicio del procedimiento administrativo.
A modo de síntesis, y por lo que ahora interesa, el artículo 56.2 LPACAP admite la legitimidad de las medidas cautelares antes de comenzar el procedimiento administrativo, siempre y cuando se sometan a los requisitos siguientes: que se trate de una situación de urgencia inaplazable, que su finalidad sea la protección provisional de los intereses implicados, que se adopten de forma motivada y que resulten necesarias y proporcionadas. Adicionalmente, exige que se confirmen, levanten o modifiquen en el acuerdo de inicio del procedimiento, que se dictará en un plazo breve de quince días y puede ser objeto del correspondiente recurso. Y, finalmente, afirma que las medidas quedan sin efecto en caso de no iniciarse el procedimiento en el plazo citado o cuando el acuerdo de iniciación no contenga un pronunciamiento expreso sobre las mismas. Por añadidura, también resultaría aplicable la previsión general de que no se pueden adoptar las que puedan causar un perjuicio de difícil o imposible reparación a los interesados o que impliquen una violación de los derechos amparados por las leyes (art. 56.4 LPACAP).
Cabe decir que la normativa actual de las medidas provisionales en el procedimiento administrativo común, incluyendo las de carácter previo al inicio de este (art. 56 LPACAP), resulta también aplicable al procedimiento sancionador, que ha pasado a considerarse como un procedimiento administrativo común sometido a las mismas reglas generales que este, sin perjuicio de algunas especialidades en su tramitación, recogidas en el articulado de la propia Ley (art. 1 LPACAP). Ciertamente, ello constituye una diferencia significativa con la regulación anterior (art. 72 LRJAPC), que no se proyectaba sobre los procedimientos administrativos sancionadores, en los que solo se podían adoptar medidas provisionales si así lo preveían las normas sectoriales que las regularan «mediante acuerdo motivado» y para asegurar «la eficacia de la resolución final que pudiera recaer» (art. 136 LRJAPC). Completaba esta regulación el también ya derogado Reglamento de procedimiento para el ejercicio de la potestad sancionadora (art. 15), aprobado por el Real decreto 1398/1993, de 4 de agosto.
Ahora bien, pese a lo anterior, el ámbito de aplicación objetivo de la vigente LPACAP se ha visto reducido en base a lo que prescribe su disposición adicional primera sobre las especialidades por razón de la materia, cuando prevé que «[l]os procedimientos administrativos regulados en leyes especiales por razón de la materia que no exijan alguno de los trámites previstos en esta Ley o regulen trámites adicionales o distintos se regirán, respecto a éstos, por lo dispuesto en dichas leyes especiales» (apdo. 1). Por otra parte, a continuación, la misma disposición establece una lista de las actuaciones y procedimientos que se rigen por su normativa específica y, supletoriamente, por la LPACAP, entre los cuales (aplicación de los tributos en materia tributaria y aduanera, así como su revisión en vía administrativa; gestión, inspección, liquidación, recaudación, impugnación y revisión en materia de Seguridad Social y desempleo; sanciones en materia tributaria y aduanera, en el orden social, en materia de tráfico y seguridad vial y en materia de extranjería, y extranjería y asilo) no se encuentra el procedimiento sancionador en materia de redes y comunicaciones electrónicas (apdo. 2).
En consecuencia, pues, y como regla general, debe interpretarse que, cuando una ley sectorial regula el trámite procedimental para la adopción de medidas provisionales en un procedimiento sancionador (incluidas las adoptadas previamente a su inicio) de forma diferente a como lo hace el artículo 56 LPACAP, prevalece la aplicación de dicha especialidad por razón de la materia, de manera que se plantearían serias dudas sobre si deberían observarse o no en todo caso las garantías que prevé la LPACAP en relación a la actuación cautelar a la que acabamos de hacer referencia.
B) A continuación, nos corresponde examinar el contenido del precepto que ha sido objeto de una nueva redacción por parte del Real decreto-ley sometido a nuestro escrutinio.
No obstante, antes resulta de utilidad referirnos a los cambios principales que ha experimentado su contenido respecto de la versión de la LGTEL vigente hasta el momento de la aprobación del Real decreto-ley 14/2019. Así, debe indicarse que la potestad de adoptar la medida provisional de cese de la actividad infractora con carácter previo al inicio del procedimiento sancionador que se atribuye a la Administración estatal ya estaba prevista en la redacción original de la LGTEL de 2014, y que lo que ha variado es la configuración de los supuestos habilitantes. En efecto, por un lado, se mantienen los previstos anteriormente, pero se amplía su alcance, como es el caso de la letra a, que ahora incorpora los conceptos «de orden público» y de «seguridad nacional» o el de la letra b, que ha sustituido el concepto de «vida humana» por el más amplio de «salud pública». Y, por otra, se introduce el supuesto de la letra e, que habilita el cese de la presunta actividad infractora cuando ocasione graves problemas económicos u operativos a un amplio abanico de destinatarios del sector (a proveedores o usuarios de redes o servicios de comunicaciones electrónicas y, en general, a todos los usuarios del espectro radioeléctrico).
Por su parte, a efectos de la interpretación del conjunto de la norma, resulta ilustrativo referirnos al apartado 2 del artículo 81 LGTEL, pese a no ser objeto de la solicitud por no haber sido reformado, que dispone que la resolución que determine la orden de cese de la actividad afectada puede prever el apoyo de los cuerpos y fuerzas de seguridad para la ejecución forzosa, a través de la autoridad gubernativa. Adicionalmente, dispone que la citada resolución determine el ámbito objetivo y temporal de la medida, que no puede exceder de un mes.
La razón de la modificación del apartado 1 del artículo 81 LGTEL no consta claramente en el preámbulo del Real decreto-ley, que, en una alusión genérica, se limita a decir que «en necesaria correlación con este reforzamiento de funciones públicas en estas situaciones excepcionales, se potencia igualmente la potestad sancionadora del Ministerio de Economía y Empresa con el objetivo de hacer efectivas y reales las actuaciones que pueda adoptar en uso de estas nuevas facultades de actuación dirigidas a preservar o restablecer el orden público, la seguridad pública y la seguridad nacional» (apdo. II, párr. vigésimo octavo).
Como acabamos de indicar, el nuevo redactado del artículo 81.1 LGTEL incorpora, en la línea de lo que ya hemos analizado en este mismo fundamento jurídico con motivo del artículo 4.6 LGTEL, nuevos supuestos habilitantes para la adopción de medidas previas vinculados a los conceptos de orden público y seguridad nacional; salud pública, o en casos de «graves problemas económicos u operativos a otros proveedores o usuarios de redes o servicios de comunicaciones electrónicas o demás usuarios del espectro radioeléctrico».
Resulta claro, pues, que el margen de supuestos en los que la Administración puede apreciar la necesidad de aplicar el cese previo de la actividad antes de empezar el procedimiento sancionador se ha incrementado respecto de la versión anterior del precepto, incluso en el caso de la seguridad pública, que pasa de una posible «actividad infractora» que pueda producir «perjuicios graves al funcionamiento de los servicios de seguridad pública, protección civil y de emergencias» al más extenso de «cuando exista una amenaza inmediata y grave para el orden público, la seguridad pública o la seguridad nacional». Así, este último supuesto se amplía sustancialmente, en el sentido de evolucionar de una afectación más precisa y acotada a determinados servicios públicos a un riesgo más genérico, más impreciso o más difundido, a pesar de la utilización, con similitud restrictiva, de la expresión de amenaza «inmediata y grave».
Por tanto, de manera objetiva, el régimen de las situaciones que justifican la adopción de medidas previas del artículo 81.1 LGTEL, más allá de la comparación con su redacción del año 2014, es en sí mismo destacablemente amplio, con la inserción de evidentes conceptos jurídicos indeterminados, los cuales, y ello es también relevante, se desvinculan del régimen del esquema normativo sancionador de la materia telecomunicaciones para situarse en el de las presuntas amenazas sistémicas: orden público, seguridad pública, salud pública, etc.
Esta caracterización de la norma, adopta especial relevancia para nuestra tarea examinadora cuando se conecta con la ausencia de previsión en su texto de determinadas garantías que son puntales en el régimen jurídico de protección en el ámbito del derecho administrativo de los derechos fundamentales previstos en la Constitución. Nos estamos refiriendo, como hemos indicado más arriba y también anteriormente en este fundamento jurídico, a que el artículo 81.1 LGTEL no recoge expresamente en su redacción la exigencia de que la adopción de medidas previas requiere necesariamente la motivación de la resolución que las acuerda o el propio trámite de audiencia del interesado.
Es cierto que el último párrafo del apartado 2 del artículo 81 LGTEL (que no se ha modificado por el Real decreto-ley) dice que en la resolución «se determinará el ámbito objetivo y temporal de la medida, sin que pueda exceder del plazo de un mes». Sin embargo, este inciso es insuficiente para cumplir, como veremos, las exigencias que requiere el contenido de la ley para habilitar una restricción legítima de los derechos y libertades de los ciudadanos por parte de la Administración pública. No consta en la norma la regla general de que la medida provisional de cese deba ser necesaria y proporcionada; tampoco que debería ser confirmada, levantada o modificada en el acuerdo de inicio del procedimiento si tiene lugar antes del plazo establecido de un mes. Igualmente, no se hace referencia al posible recurso de la resolución que se adopte y no se recoge la circunstancia de que la medida debería quedar sin efecto en caso de no iniciarse el procedimiento en el citado plazo o cuando el acuerdo de iniciación no contenga un expreso pronunciamiento sobre la misma. Finalmente, se echa en falta la cautela general de que no pueden acordarse cuando puedan causar un perjuicio de difícil o imposible reparación a los interesados o impliquen una violación de los derechos de los administrados.
A mayor abundamiento, cabe hacer una última consideración crítica sobre la exclusión expresa que efectúa el artículo 81.1 LGTEL de la audiencia en la tramitación de la medida provisional previa al inicio del procedimiento. Respecto a esta cuestión, es evidente que la audiencia del afectado por la medida es una garantía para el administrado que debería preservarse siempre que así fuera posible y como regla general, a fin de evitar la vulneración de los derechos de los interesados o que se puedan ocasionar perjuicios de difícil o imposible reparación. El hecho de que el precepto la descarte de manera sistemática y apriorística, presumiblemente por las mismas razones de imperiosa urgencia a la que se refiere, no debe impedir que este trámite se realice cuanto antes mejor, una vez adoptada la medida de suspensión y antes del inicio del procedimiento sancionador, a fin de valorar y, si procede, paliar los perjuicios que puede producir al destinatario de la medida. Si se inicia el procedimiento, resulta claro que deben aplicarse las reglas comunes de participación de los interesados, incluida la correspondiente al trámite de la audiencia (art. 82 LPACAP).
Como hemos reiterado, las medidas previas deben ser excepcionales y limitadas a casos en los que sea estrictamente necesaria su adopción para proteger un interés, derecho o bien de interés público que merece ser salvaguardado y que, de lo contrario, correría el riesgo de ser dañado o de desaparecer, debiendo consistir en una intervención eficaz y, al mismo tiempo, lo menos constrictiva posible en relación con los derechos y libertades de la persona afectada, la cual debe poder tener la capacidad de defenderse mediante el subsiguiente sistema de recursos administrativos y judiciales.
Pues bien, si volvemos al artículo 81.1 LGTEL, comprobamos que tanto respecto a los supuestos de justificación de la necesidad, a la falta de previsión explícita de garantías primordiales, como, por ejemplo, la motivación o la exclusión expresa de la audiencia, obtenemos la convicción de que la regulación del artículo 81.1 LGTEL sufre de graves defectos en cuanto a su calidad legislativa, de manera que se trata de una norma que, por su objeto de aplicación, es susceptible de restringir ilegítimamente derechos y libertades amparados constitucionalmente. Si a dicha situación le añadimos que la LGTEL es una norma con rango de ley, sectorial y que no figura entre la legislación a la que se le aplica con carácter supletorio el artículo 56 LPACAP, podemos llegar a la conclusión, o como mínimo se nos generan serias dudas, del todo razonables, de que el precepto que estamos examinando exonera de motivación la resolución mediante la que se adopten las medidas previas al procedimiento sancionador, así como de otras garantías que hemos visto que deberían acompañar a este tipo de medidas cautelares.
Sobre la objetividad en las actuaciones administrativas (art. 9.3 y 103 CE), el derecho a la presunción de inocencia y el derecho a la tutela judicial efectiva (art. 24 CE), debemos recordar que la jurisprudencia constitucional ha valorado con frecuencia el requisito esencial de la motivación como condición necesaria para escrutar el objetivo y proporcionalidad de una medida dictada por los poderes públicos y, así, poder descartar o, en su caso, apreciar, la arbitrariedad en el ejercicio de la potestad pública sometida al imperio de la ley.
De hecho, la doctrina constitucional ha declarado que las garantías procesales establecidas en el artículo 24 CE son aplicables también a los procedimientos administrativos sancionadores, habida cuenta de que son manifestación de la potestad punitiva del Estado, con las matizaciones que resulten de su propia naturaleza (STC 17/2009, de 26 de enero, FJ 2). Y, en el sentido expuesto, ha resaltado que una de dichas garantías es el deber de motivación que, cuando se trata de los actos de la Administración en el ejercicio de sus potestades sancionadoras, adquiere una dimensión constitucional, en la medida en que limitan o restringen el ejercicio de derechos fundamentales (STC 82/2009, de 23 de marzo, FJ 2). Según lo anterior, destaca que una motivación satisface las exigencias de la tutela judicial siempre que exteriorice los elementos de juicio sobre los que se basa la decisión y cuando de su fundamentación resulte una aplicación no irracional, no arbitraria o no manifiestamente errónea de la legalidad (STC 21/2008, de 31 de enero, FJ 3). Asimismo, ha declarado que la exigencia de que una resolución esté motivada permite su posterior control y, de este modo, se evita cualquier arbitrariedad (STC 140/2009, de 15 de junio, FJ 3).
Precisamente, es la motivación de la resolución el elemento que aporta la fundamentación de la justificación de la necesidad, es decir la conexión razonable entre causa (riesgo) y efecto (potencial daño), así como la proporcionalidad de la medida previa, consistente en la ponderación entre la eficacia o idoneidad de la acción acordada y el coste de proteger el derecho o interés que pretende asegurarse. Sin la explicitación de estos argumentos, apoyo cognitivo del derecho como expresión de la razón, difícilmente puede distinguirse entre discrecionalidad y arbitrariedad, y aún más difícil es garantizar el aparato de derechos y libertades de los ciudadanos sometidos al poder de policía de la Administración.
Sin embargo, y partiendo de la validez de los razonamientos que acabamos de exponer, somos conscientes de que alternativamente también podría realizarse, aunque entendemos que de manera forzada, una interpretación en el sentido de que el artículo 56 LPACAP podría ser de aplicación supletoria al artículo 81.1 LGTEL, dado el silencio que manifiesta el precepto en cuestión, pero lo cierto es que, como hemos indicado, las condiciones que evidencia su regulación nos mantienen firmes en nuestra conclusión negativa. Así, el hecho de que una norma con rango de ley, reformada con posterioridad a la LPACAP, y de carácter más sectorial, como es la LGTEL, prevea un procedimiento sancionador específico que incluye un trámite singular de medidas provisionales previas al inicio de las actuaciones administrativas sancionadoras, que guarda silencio sobre garantías tan primordiales como la motivación y que excluye expresamente el trámite de audiencia previa y no hace mención de su posterior sustanciación, a la vez que prevé un plazo propio y diferente para su levantamiento, más largo que el establecido en la normativa administrativa general (1 mes en lugar de 15 días), y que puede ser aplicado para constreñir derechos constitucionales, nos conduce a apreciar, de modo natural y razonable, la evidente insuficiencia, por no decir deficiencia, de su calidad normativa, que, en términos de técnica legislativa clara y previsible, es de difícil adecuación constitucional. Defender una interpretación de constitucionalidad, nos parece en todo caso un ejercicio tan esforzado como voluntarista, que no debería tener cabida ni puede ser válido cuando se trata de preceptos que limitan los derechos e intereses de los ciudadanos, sobre todo por parte de las autoridades gubernativas o administrativas, y al margen de un procedimiento con todas las debidas garantías. Y más aún tratándose de una medida de cese de la actividad, que anticipa un cierto carácter sancionador y que puede comportar graves perjuicios para los intereses de los afectados.
En conclusión, el apartado cinco del artículo 6 RDL 14/2019, de 31 de octubre, en la modificación que efectúa del apartado 1 del artículo 81 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, es inconstitucional porque adolece de unos defectos de calidad normativa, en lo referente a las condiciones de ejercicio de la potestad para dictar medidas previas al procedimiento sancionador en materia de telecomunicaciones, tanto respecto a la incorporación de las garantías de los ciudadanos como a la previsibilidad de su aplicación, que lo hacen incompatible con el principio de seguridad jurídica ex artículo 9.3 CE, así como con las exigencias de la jurisprudencia del Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos para las leyes que limitan derechos fundamentales, en este caso el derecho a la presunción de inocencia y a la tutela judicial efectiva aplicados al ámbito del derecho administrativo sancionador (art. 24 CE).
4. El artículo 6.dos RDL 14/2019 introduce un nuevo apartado 3 al artículo 6 LGTEL, en los siguientes términos:
«3. Las Administraciones Públicas deberán comunicar al Ministerio de Economía y Empresa todo proyecto de instalación o explotación de redes de comunicaciones electrónicas en régimen de autoprestación que haga uso del dominio público, tanto si dicha instalación o explotación vaya a realizarse de manera directa, a través de cualquier entidad o sociedad dependiente de ella o a través de cualquier entidad o sociedad a la que se le haya otorgado una concesión o habilitación al efecto.
El régimen de autoprestación en la instalación o explotación de dicha red puede ser total o parcial, y por tanto dicha comunicación deberá efectuarse aun cuando la capacidad excedentaria de la citada red pueda utilizarse para su explotación por terceros o para la prestación de servicios de comunicaciones electrónicas disponibles al público.
En el caso de que se utilice o esté previsto utilizar, directamente por la administración pública o por terceros, la capacidad excedentaria de estas redes de comunicaciones electrónicas en régimen de autoprestación, el Ministerio de Economía y Empresa verificará el cumplimiento de lo previsto en el artículo 9. A tal efecto, la administración pública deberá proporcionar al Ministerio de Economía y Empresa toda la información que le sea requerida a efecto de verificar dicho cumplimiento.
La obligación establecida en este apartado se entiende sin perjuicio de la prevista en el artículo 7.3 de esta ley.»
A) El análisis del precepto citado requiere que, en primer lugar, efectuemos una referencia previa al régimen de actuación de la Administración pública en el ámbito de las telecomunicaciones.
La LGTEL, como hemos visto, prevé dos tipos de intervenciones de las administraciones públicas en el ámbito de las comunicaciones electrónicas: por una parte, las actuaciones de explotación de redes y/o prestación de servicios de comunicaciones electrónicas a terceros y, por otra parte, las actuaciones en régimen de autoprestación.
En el primer supuesto, las administraciones públicas únicamente pueden actuar como operadores a través de entidades o sociedades controladas directa o indirectamente, cuyo objeto social incluya la instalación y explotación de redes o la prestación de servicios de comunicaciones electrónicas (art. 9.2 y 9.3 LGTEL). Dicha actividad de la Administración queda sujeta al régimen de la LGTEL, con el fin de garantizar la prestación de los servicios bajo condiciones de mercado y criterios de inversor privado, conforme a los principios de separación de cuentas, neutralidad, transparencia, no distorsión de la competencia y no discriminación, así como de cumplir con la normativa sobre ayudas de Estado, evitando de este modo que se produzcan perturbaciones de la competencia (apdo. III, párr. quinto preámbulo y art. 9 LGTEL). Antes de iniciar la actividad, se prevé la obligación de comunicación al Registro de operadores, que depende del Ministerio de Industria, Energía y Turismo (aunque su gestión corresponde transitoriamente a la Comisión Nacional de los Mercados y la Competencia ?en lo sucesivo, CNMC? según la disposición transitoria décima LGTEL), en el que se inscribirán los datos relativos al operador controlado directa o indirectamente por la Administración con carácter declarativo (art. 6.2 y 7 LGTEL y art. 5.4, 5.5, 7 y siguientes del Real decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios). Una vez realizada la notificación, el interesado adquiere la condición de operador y puede comenzar la prestación del servicio o la explotación de la red (art. 5.1 Real decreto 424/2005).
En el caso de autoprestación, objeto del presente análisis, la Administración pública puede desarrollar su actividad al margen del régimen general de libre competencia inherente a la explotación de redes y a la prestación de servicios de comunicaciones electrónicas (art. 5 LGTEL). No obstante, está obligada a notificar al Registro de operadores el proyecto de instalación o explotación de las redes de comunicaciones electrónicas que hagan uso del dominio público, tanto si dicha instalación o explotación se realiza de manera directa como a través de cualquier entidad o sociedad (art. 7.3 LGTEL). La citada comunicación únicamente debe referirse a los proyectos y no es objeto de inscripción en el Registro de operadores en la medida en que, como veremos en seguida, no se trata de una explotación de redes disponibles para el público en general (art. 6 LGTEL; art. 5.4 Real decreto 424/2005).
En cuanto al significado del término «autoprestación», la Comisión del Mercado de las Telecomunicaciones (actualmente integrada en la CNMC) ha precisado que se entiende como tal la explotación de redes y la prestación, por una administración pública, de servicios de comunicaciones electrónicas «para la satisfacción de sus necesidades, esto es, las vinculadas al desempeño de las funciones propias del personal al servicio de la Administración Pública de que se trate y que contribuyan al cumplimiento de los fines que le son propios» (art. 3.1 Circular 1/2010, de 15 de junio de 2010, por la que se establecen las condiciones para la explotación de redes y la prestación de servicios de comunicaciones electrónicas por las administraciones públicas). En el presente supuesto se incluyen los centros de educación o formación de enseñanza reglada, a saber, escuelas, institutos, colegios y centros universitarios así como el área de sus campus, entendiendo que tanto alumnos como profesores forman parte del personal indispensable para el desarrollo de las tareas del centro (art. 3.2 Circular 1/2010). Se asimilan a la autoprestación, entre otros, el servicio de acceso a internet limitado a las páginas web de las administraciones que tengan competencias en el ámbito territorial en las que se preste dicho servicio, el servicio general de acceso a internet en bibliotecas (anexo Circular 1/2010) y las actividades que no se consideran dirigidas al público en general, como el acceso a internet en museos, mercados u hospitales públicos (Acuerdo CNMC de 13 de febrero de 2019, CNS/DTSA/131/19, con cita de varios acuerdos de la Sala de Supervisión Regulatoria del organismo).
Dicho esto, cabe puntualizar que en los supuestos en los que la red tenga capacidad excedentaria y se utilice la misma infraestructura para prestar servicios mayoristas o minoristas a terceros, la Administración pública tiene la consideración, en cuanto a los mismos, de explotadora de redes o prestadora de servicios de comunicaciones electrónicas a terceros y, por consiguiente, queda sujeta al régimen para la explotación de redes y la prestación de servicios de comunicaciones electrónicas por las administraciones públicas que prevé la Circular 1/2010 (art. 3.3).
El artículo 6.3 LGTEL, según redacción dada por el Real decreto-ley objeto de dictamen, incorpora al régimen de autoprestación un nuevo deber de comunicar al Ministerio de Economía y Empresa el proyecto de instalación o explotación de redes en régimen de autoprestación que hagan uso del dominio público, tanto si la actividad se realiza de forma directa como indirecta, deber que se añade a la obligación de notificación al Registro de operadores que ya hemos visto que prevé el artículo 7.3 LGTEL (primer párr.). Asimismo, dispone que en caso de que la citada red de comunicaciones electrónicas en régimen de autoprestación tenga capacidad excedentaria y se utilice o esté previsto que se use, directamente por la Administración pública o por terceros, el Ministerio verifique el cumplimiento de las exigencias del artículo 9 LGTEL. Esto es, si se respetan o no las normas aplicables a la explotación de redes y la prestación de servicios de comunicaciones electrónicas en régimen de prestación a terceros por parte de las administraciones públicas y, por lo tanto, a través de operadores controlados por estas. De forma complementaria, se añade que la Administración pública afectada «deberá proporcionar al Ministerio de Economía y Empresa toda la información que le sea requerida a efecto de verificar dicho cumplimiento» (tercer párr.).
Adicionalmente, las administraciones públicas deben comunicar al Ministerio de Economía y Empresa, en el plazo de un mes desde la entrada en vigor del Real decreto-ley, las redes de comunicaciones electrónicas en régimen de autoprestación que utilicen el dominio público a las que se refiere el artículo 6.3 LGTEL, y que hayan sido instaladas o estén en proceso de instalación o explotación (disp. ad. única RDL).
B) El peticionario cuestiona desde una perspectiva competencial el nuevo artículo 6.3 LGTEL y, más concretamente, la facultad «de intervención y control preventivo» mediante la «técnica de la comunicación» que reconoce a la Administración general del Estado, entendiendo que podría constituir una extralimitación de la competencia estatal del artículo 149.1.21 CE y una invasión de la competencia de la Generalitat reconocida en el artículo 140.7 EAC, particularmente en cuanto a la competencia ejecutiva sobre la promoción de la existencia de un conjunto mínimo de servicios de acceso universal.
Para dar respuesta a la solicitud, y efectuadas las consideraciones anteriores, debemos encuadrar competencialmente los preceptos dictaminados y determinar si el Estado está legitimado para su adopción de conformidad con el bloque de la constitucionalidad.
La disposición final primera RDL 14/2019 identifica como título competencial habilitante del artículo 6 la competencia estatal del artículo 149.1.21 CE en materia de régimen general de comunicaciones.
A la vista de su contenido y finalidad, el artículo 6.3 LGTEL y la disposición adicional única RDL 14/2019 inciden efectivamente en el régimen de explotación de las redes y de prestación de los servicios de comunicaciones electrónicas, inserido en la materia del régimen general de comunicaciones (STC 8/2012, FJ 7), sobre la que, como hemos visto, corresponde al Estado ex artículo 149.1.21 CE la totalidad de la competencia normativa e incluso la función ejecutiva necesaria para configurar un sistema materialmente unitario.
Dicho título comprende, en lo que ahora interesa, la regulación de la competencia en el mercado y las obligaciones de hacer y de no hacer de los operadores del sector (STC 8/2016, de 21 de enero, FJ 2). Y, por consiguiente, en palabras del Tribunal Constitucional, el Estado, en ejercicio de su competencia del artículo 149.1.21 CE, «ha decidido caracterizar [el sector] como un sector abierto a la libre competencia cuyas particulares características, sin embargo, determinan no solo una regulación más intensa por parte de los poderes públicos, sino también la posibilidad de establecer excepciones a aquel principio cuando sea necesario para alcanzar determinados objetivos [?]. Y es también la Administración del Estado la que define los servicios cuya prestación por los poderes públicos no supone una distorsión de la libre competencia del sector, bien por tratarse de una autoprestación bien porque, aun prestándose de forma gratuita e ininterrumpida por el poder público, se entiende que no alteran la estructura del mercado» (STC 8/2016, FJ 6).
Una vez determinada la inserción del artículo 6.dos RDL 14/2019 en la materia del régimen general de las comunicaciones, se ha de averiguar si dicha competencia admite el establecimiento de un deber de comunicación a la Administración del Estado de los proyectos relativos a redes de comunicaciones electrónicas en régimen de autoprestación que hagan uso del dominio público. Una comunicación que, en última instancia, le permite verificar el cumplimiento de los requisitos para el uso de la capacidad excedentaria de estas redes, los cuales tienen como finalidad salvaguardar los principios de inversor privado, neutralidad, transparencia, no distorsión de la competencia y no discriminación propios de un mercado liberalizado como es el de las telecomunicaciones, pero con fuerte intervención pública, según hemos señalado al principio de este fundamento jurídico (arts. 107 y 108 TFUE y art. 9 LGTEL).
A los efectos del presente Dictamen, cabe recordar que la LGTEL, además de la comunicación al Registro del artículo 7.3, ya prevé mecanismos de suministro de información al Estado por parte de las personas físicas o jurídicas que explotan redes o prestan servicios de comunicaciones electrónicas y agentes que intervienen en el mercado a petición de las autoridades nacionales de reglamentación de telecomunicaciones (art. 10), es decir, el Gobierno, los órganos superiores y directivos del Ministerio de Industria, Energía y Turismo y del Ministerio de Economía y Competitividad competentes y la CNMC (art. 68). La Ley dedica también su título VIII a la regulación de las potestades de inspección y sanción en la materia.
Pese al citado marco (art. 7.3 y 10 LGTEL), el Real decreto-ley 14/2019 impone ahora nuevas obligaciones a las administraciones públicas: la comunicación al Ministerio del proyecto de instalación o explotación de redes en régimen de autoprestación que «vaya a efectuarse de manera directa» o indirecta y la obligación de suministro de información «[e]n el caso de que se utilice o esté previsto utilizar» la capacidad excedentaria de dichas redes, en el último caso, con objeto de que la Administración estatal verifique el cumplimiento de los requisitos previstos en el artículo 9 LGTEL.
Ahora bien, este régimen de control específico no está suficientemente explicitado por el legislador estatal, puesto que el precepto no concreta los aspectos procedimentales ni los efectos de la comunicación o verificación realizada por la Administración del Estado, siendo por lo tanto inciertas cuáles serían las consecuencias del incumplimiento o cumplimiento defectuoso por parte del operador/Administración pública, a criterio de aquella, de los requisitos previstos en el artículo 9 LGTEL.
En consecuencia, se plantea la pregunta primordial consistente en determinar cuál es el motivo de esta doble comunicación y de una facultad de verificación añadida que incorpora de nuevo el Real decreto-ley 14/2019. Y, si bien no se deduce inmediatamente del texto del precepto, la respuesta sí que podría desprenderse del preámbulo de la norma.
Así, este último justifica el artículo 6 y las reformas que impulsa de la LGTEL «para afrontar situaciones que pueden afectar al mantenimiento del orden público, la seguridad pública o la seguridad nacional». En concreto, respecto a los artículos 4.6 y 6.3 LGTEL, alega que los modifica para reforzar las potestades del Ministerio de Economía y Empresa de cara a un mayor control y mejorar «sus posibilidades de actuación cuando la comisión de una presunta actuación infractora a través del uso de las redes y servicios de comunicaciones electrónicas pueda suponer una amenaza grave e inmediata para el orden público, la seguridad pública o la seguridad nacional o cuando en determinados supuestos excepcionales que también puedan comprometer el orden público, la seguridad pública y la seguridad nacional sea necesaria la asunción de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas» (apdo. II, párr. vigésimo quinto preámbulo RDL 14/2019).
Dicha afirmación, como manifestación de los objetivos perseguidos por el legislador estatal, nos conecta necesariamente con el artículo 4.6 LGTEL, que hemos analizado en este mismo fundamento jurídico y evidencia, consiguientemente, su carácter instrumental: los mecanismos previstos en la nueva versión del artículo 6.3 LGTEL, de doble comunicación y de potestad de verificación estatal, tienen como objetivo contribuir a la obtención de información relevante para la activación de la facultad de «intervención» gubernamental en las redes de comunicaciones electrónicas.
En cuanto a los razonamientos sobre la falta de calidad normativa vinculada a dicha capacidad genérica e indeterminada de injerencia administrativa, nos remiten a lo ya expuesto, y a efectos del presente análisis nos basta con recordar que la facultad de «intervención» amparada en los supuestos habilitantes de la seguridad pública y el orden público, desvinculada del régimen de la contratación administrativa (a diferencia de la versión de la LGTEL de 2014 que la situaba en este marco legal) y sin prever ninguna autorización judicial, es incompatible con las garantías normativas exigibles a toda ley que pueda afectar a derechos y libertades constitucionales.
Por consiguiente, consideramos que si el artículo 6.3 LGTEL que examinamos se aplicara en el sentido de utilizar los mecanismos que prevé (el deber de comunicación y la función de supervisión) de forma mediata o subordinada en relación con el artículo 4.6 LGTEL, estaría actuando de manera espuria respecto a su contenido objetivo. Y, en consecuencia, dicha práctica no sería legítima ni ajustada al sentido literal de su configuración ni al contexto normativo que conforma el conjunto de la LGTEL.
Sobre el supuesto de la asunción transitoria de la gestión directa por parte del Estado, también en el mismo sentido en el que hemos resuelto el artículo 4.6 LGTEL, no apreciamos reproche de inconstitucionalidad alguno, puesto que permite una interpretación vinculada a la garantía de la prestación de los servicios de telecomunicaciones, por su condición de servicio de interés general económico y servicio universal, en situaciones acotadas por la norma; es decir, situaciones excepcionales en las que resulten afectadas la seguridad pública y la seguridad nacional. Por tanto, con carácter ordinario, la Generalitat de Cataluña puede adoptar las medidas que considere adecuadas para garantizar la prestación de los servicios y las redes de comunicación electrónicas que sean de su competencia (art. 140.7 EAC).
En conclusión, el apartado tres del artículo 6 y la disposición adicional única RDL 14/2019, pese a que puede interpretarse que manifiestan una conexión instrumental con el artículo 4.6 LGTEL, según se desprende del preámbulo, y que su contenido resulta superfluo o innecesario teniendo en cuenta las facultades de obtención de información y control que la LGTEL, en sus diversos ámbitos, atribuye al Estado, por sí solos y en los términos en que están redactados no evidencian tacha de inconstitucionalidad respecto a la distribución de competencias entre el Estado y la Generalitat ex artículos 149.1.21 CE y 140.7 EAC.
5. El artículo 7 RDL 14/2019 introduce un nuevo apartado 3 al artículo 11 del Real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que establece:
«3. El Centro Criptológico Nacional (CCN) ejercerá la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) en materia de seguridad de las redes y sistemas de información del sector público comprendido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Los CSIRT de las Administraciones Públicas consultarán, cuando proceda, con los órganos con competencias en materia de seguridad nacional, seguridad pública, seguridad ciudadana y protección de datos de carácter personal y colaborarán con ellos en el ejercicio de sus respectivas funciones.
El CCN ejercerá la función de enlace para garantizar la cooperación transfronteriza de los CSIRT de las Administraciones Públicas con los CSIRT internacionales, en la respuesta a los incidentes y gestión de riesgos de seguridad que les correspondan.»
A) Antes de delimitar el parámetro aplicable a la norma, debemos precisar el objeto y finalidad del apartado 3 del artículo 11 del Real decreto 12/2018, así como su contexto y marco normativo, configurado por normas europeas, estatales y autonómicas.
Respecto al marco europeo donde se inserta principalmente el artículo examinado, cabe mencionar la Directiva 2016/1148, de 6 de julio de 2016, del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS, por las siglas Network and Information Systems), la cual, ante niveles de seguridad fragmentados dentro de la Unión, tiene por objeto alcanzar dicho nivel mínimo e igual para todos los estados miembros. Y lo anterior, por un lado, porque las redes y sistemas de información, sobre todo internet, contribuyen de manera decisiva al desarrollo de las actividades sociales y económicas y del mercado interior, y por otro, por la constatación de la magnitud, frecuencia y efectos de los incidentes de ciberseguridad que, con independencia del lugar donde se produzcan, pueden afectar a diferentes estados miembros y a la Unión en su conjunto, dado el carácter transversal de las redes y sistemas (considerandos 2, 3 y 5 y art. 1).
A fin de dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información, la citada norma europea contiene un planteamiento global que integra requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad aplicables a los operadores de servicios esenciales (que son los que identifican a los estados miembros, y están vinculados con infraestructuras) y a los operadores de servicios digitales (que son los que tienen carácter transfronterizo y por este motivo se someten a un régimen de armonización máxima) (considerando 6 y arts. 5 y 16). Cabe decir que la Directiva NIS solo resulta aplicable a las administraciones públicas cuando hayan sido identificadas como operadores de servicios esenciales. De esta forma, respecto al resto de las redes y sistemas de información de las administraciones públicas, declara que corresponde a los estados la responsabilidad de garantizar su seguridad (considerando 45).
En definitiva, se trata de preservar la seguridad de las redes y sistemas de información evitando toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios ofrecidos por estas redes y sistemas de información o accesibles a través de ellos (art. 4.2). Entre las medidas de prevención, detección, respuesta y mitigación de los incidentes y posibles riesgos, destaca la obligación de designar en cada estado una o más autoridades públicas competentes en materia de seguridad de las redes y sistemas (art. 8.1), así como la creación de una red de equipos de respuesta a incidentes de ciberseguridad informática o CSIRT, que son los que reciben las notificaciones de los incidentes de seguridad (considerando 32 y art. 9). Los estados miembros deben asegurarse de que disponen de CSIRT que funcionen adecuadamente y con capacidad para hacer frente a los incidentes y riesgos y deben velar por una cooperación eficaz a nivel de la Unión. Adicionalmente, tienen que garantizar que todos los operadores se encuentren cubiertos por un CSIRT designado (considerando 34 y art. 9.1). Y, puesto que la mayor parte de las redes y sistemas de información son de gestión privada, la Directiva considera de vital importancia la cooperación de este sector con el sector público y anima a los primeros a crear sus propios mecanismos de cooperación informal (considerando 35).
Además, cada Estado miembro ha de designar un punto de contacto único en materia de seguridad de las redes y sistemas de información (art. 8.3). Dicho punto de contacto actuará de enlace para garantizar la cooperación transfronteriza entre las autoridades de los estados miembros, con las autoridades competentes en los otros estados miembros y con el grupo de cooperación (formado por representantes de estados miembros, la Comisión y ENISA), encargado de dar apoyo y facilitar la cooperación estratégica e intercambio de información entre los estados miembros y desarrollar confianza y seguridad, y la red de CSIRT nacionales (art. 8.4)
Esta red de CSIRT nacionales, creada por la Directiva 2016/1148 con funciones de intercambio de información, apoyo y asistencia mutua, cooperación operativa y sede de debate y análisis, está formada por representantes de los CSIRT de los estados miembros, por la Comisión, que participa en calidad de observador, y por ENISA, que se hace cargo de la secretaría, promoviendo activamente la cooperación entre los CSIRT (art. 12).
Visto lo anterior, resulta claro que son pilares básicos de la regulación europea en el ámbito que nos ocupa los mecanismos de cooperación y colaboración, tanto a nivel estatal como europeo e internacional, y el sistema de notificación de incidentes. En concreto, cuando en un mismo estado sean órganos distintos la autoridad pública competente, el punto de contacto único y los CSIRT, estos deberán cooperar entre ellos respecto al cumplimiento de las obligaciones establecidas en la Directiva, así como los dos primeros deberán informar a los últimos sobre las notificaciones de los incidentes de seguridad objeto de dicha regulación (art. 10.1 y .3).
Cabe señalar que la red de CSIRT, creada por la Directiva 2016/1148, también ejerce funciones de apoyo, asistencia, asesoramiento y colaboración a las administraciones públicas para combatir riesgos e incidentes de seguridad y velar por la integridad y disponibilidad de las redes de comunicaciones electrónicas públicas, aunque, como hemos visto, aquellas no están incluidas en su ámbito de aplicación específico [así lo dispone la Directiva (UE) 2018/1972, del Código europeo de comunicaciones electrónicas, en su considerando 98]. En otro orden de cosas, sobre denuncias que pueden contribuir a la revelación de infracciones de la Directiva NIS, podemos citar la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019.
En el ámbito estatal, hay que hacer mención del Real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, modificado por la norma objeto del Dictamen, que ha traspuesto el contenido de la Directiva 2016/1148, si bien con un ámbito de aplicación subjetivo más amplio con el fin de alcanzar un enfoque global (art. 2). Para garantizar la citada seguridad, el Real decreto-ley 12/2018 establece un sistema de notificación de incidentes y un marco institucional de coordinación entre autoridades competentes y con los órganos de cooperación relevantes del ámbito comunitario (art. 1). En este sentido, designa cuáles son las autoridades competentes (art. 9) y desarrolla a nivel estatal la red CSIRT creada por la Directiva, definiendo a dichos organismos como los equipos de respuesta a incidentes que analizan riesgos y supervisan incidentes a nivel estatal, difunden alertas sobre dichos incidentes y aportan soluciones para mitigar sus efectos (arts. 11 y 12). Cabe decir que el legislador declara haber optado por el término CSIRT, que es el comúnmente utilizado en Europa, en lugar del término CERT (Computer Emergency Response Team), registrado en los EE.UU.
En cuanto al punto de contacto único exigido por la Directiva NIS, se atribuye dicha función al Consejo de Seguridad Nacional (art. 13). A efectos del presente Dictamen, hay que decir que el RDL 12/2018 declara que tiene la condición de CSIRT de referencia en materia de seguridad de las redes y sistemas de información respecto de la comunidad constituida por las entidades públicas incluidas en la LRJSP el Centro Criptológico Nacional (CCN-CERT) (art. 11.1.a.1), que fue creado por el Real decreto 421/2004, de 12 de marzo, adscrito al Centro Nacional de Inteligencia (Ley 11/2002, de 6 de mayo). Este organismo se configura como una línea de defensa frente a los ciberataques, asumiendo la responsabilidad en ciberataques sobre sistemas clasificados, así como de las administraciones públicas y empresas y organizaciones de interés estratégico. Su misión es reducir los riesgos y amenazas provenientes del ciberespacio, potenciando las acciones no únicamente defensivas sino primordialmente preventivas, correctivas y de contención, ofreciendo servicio tanto a las administraciones públicas como a las empresas de interés estratégico, como, por ejemplo, el «Servicio de Alerta Temprana», y el desarrollo de diferentes herramientas, como las APT (Advanced Persistent Threat) y la Lista de coordinación de incidentes y amenazas, el «Informe Nacional del Estado de Seguridad», el «Motor de análisis remoto de troyanos avanzado», las guías CCN-STIC o los centros de seguridad.
Los CSIRT y/o los CERT que, como hemos señalado, son el grupo de expertos responsables del desarrollo de las medidas preventivas y reactivas ante incidentes de seguridad en los sistemas de información, pueden ser públicos o privados. En el supuesto de que una organización no tenga su propio equipo de respuesta puede informar de incidentes a los CSIRT o CERT públicos, lo que ayuda a asegurar su diagnóstico y a prever incidentes futuros.
Otras normas relacionadas con el tema de la seguridad en las redes de comunicación y sistemas de información son la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y el Esquema Nacional de Ciberseguridad 2019, publicado por la Orden PCI/487/2019, de 26 de abril, y aprobado por el Consejo de Seguridad Nacional.
En el ámbito autonómico, cabe destacar la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, que atribuye a esta autoridad pública la misión de garantizar la ciberseguridad, entendida como la seguridad de las redes de comunicaciones electrónicas y de los sistemas de información (art. 2.1). Asimismo, ejerce las funciones de equipo de respuesta a emergencias (CERT), incluyendo la de relación con otros organismos de ciberseguridad estatales e internacionales, y la de coordinación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito territorial. Además, le corresponde ejercer las citadas funciones como equipo de respuesta a emergencias del Gobierno (art. 2.4.c); colaborar con los organismos judiciales y policiales conforme a lo establecido por la normativa vigente, y, en especial, se coordina con los cuerpos policiales para la ciberseguridad y protección de los sistemas de información, de acuerdo con las competencias que tienen reconocidas en la materia (art. 2.6).
Cabe decir que la citada Ley 15/2017 ha sido objeto de pronunciamiento por el Tribunal Constitucional en la STC 142/2018, a la que ya hemos hecho referencia en el fundamento jurídico tercero y volveremos a tratar más adelante. Puede anticiparse, no obstante, que la mencionada Resolución ha avalado su creación y sus funciones con carácter general, si bien las ha circunscrito al ámbito de Cataluña, entendiendo que se dirigen a proteger y mejorar la seguridad de las redes y a alertar ante la existencia de ciberamenazas relacionadas con la Administración de la Generalitat y sus sistemas de información y comunicaciones propios, así como los de los particulares y otras administraciones públicas que se relacionen con ella por medios electrónicos (FJ 7).
En este sector, recientemente, se ha aprobado la Estrategia de Ciberseguridad de la Generalitat de Cataluña para el periodo 2019-2022, que define la estrategia a seguir por esta última a lo largo de este periodo en materia de ciberseguridad y en el ámbito de las administraciones públicas de Cataluña, su sector público, la ciudadanía y aquellas entidades que, en cuestiones de relaciones administrativas y/o comerciales, tratan la información, activos o infraestructuras TIC titularidad de la Generalitat de Cataluña. En el citado documento se confirma la Agencia de Ciberseguridad de Cataluña (en lo sucesivo, ACC) como el principal organismo público competente en este ámbito de actuación.
Por último, más allá de la normativa europea, estatal y autonómica, cabe hacer énfasis en que el bien a proteger es la propia respuesta a los incidentes de seguridad informática de tal manera que actores públicos y privados relacionados con la ciberseguridad se encuentren en lo que se ha llamado Information Sharing, concepto centrado en el procedimiento que permite recopilar, almacenar y distribuir la información necesaria para actuar de forma homogénea, rápida y eficaz contra las ciberamenazas.
B) Una vez descrito a grandes rasgos el panorama normativo actual, dilucidaremos la distribución constitucional y estatutaria de competencias aplicable a la materia objeto de examen, teniendo en cuenta que, como es sabido, la trasposición al ordenamiento interno del derecho europeo debe respetar en todo caso dicha distribución competencial.
La disposición final primera del Real decreto-ley declara que su artículo 7 se ha dictado al amparo de las competencias estatales sobre régimen general de las telecomunicaciones y seguridad pública, previstas en el artículo 149.1 CE, apartados 21 y 29, respectivamente.
El solicitante, citando doctrina constitucional (STC 142/2018, de 20 de diciembre), recuerda que la Generalitat es competente, «como administración electrónica y en cumplimiento de la legislación estatal, para la adopción de las medidas dirigidas a proteger las redes, sistemas de información e infraestructuras tecnológicas de la Administración de la Generalitat y su sector público y de los particulares y otras administraciones públicas que se relacionen con ella por medios electrónicos». Y, en concreto, afirma que «[l]as nuevas previsiones de coordinación del artículo 7 RDL 14/2019, además de incidir en los ámbitos competenciales de la Generalitat desplazando su competencia en la materia, también podrían considerarse desproporcionadas, visto lo previsto en la Directiva (UE) 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, donde uno de los objetivos reconocidos es la contribución y el desarrollo de la confianza y seguridad entre Estados».
La norma objeto de dictamen, transcrita al inicio de este apartado, atribuye al Centro Criptológico Nacional (CCN) la coordinación estatal de todas las autoridades o equipos de respuesta a incidentes de seguridad informática (CSIRT) en materia de seguridad de las redes y sistemas de información. Adicionalmente, obliga a todos los CSIRT de las administraciones públicas a colaborar en el ejercicio de las funciones respectivas y a consultar, cuando proceda, a los órganos con competencias en materia de seguridad nacional, seguridad pública, seguridad ciudadana y protección de datos de carácter personal. Finalmente, atribuye al CCN la función de enlace para garantizar la cooperación transfronteriza de los CSIRT de las administraciones públicas con los CSIRT internacionales, cuando se trate de la respuesta a los incidentes y la gestión de los riesgos de seguridad que les corresponden.
Visto lo anterior, está claro que el precepto objeto de dictamen, por su contenido y finalidad, se insiere en el ámbito de las competencias sobre ciberseguridad, al que nos hemos referido en este mismo fundamento jurídico y en el fundamento jurídico tercero del presente Dictamen. Y lo hemos hecho tomando como punto de partida lo que expusimos profusamente en nuestro Dictamen 5/2017 (FJ 2 y 3).
A modo de síntesis, recordaremos algunos de nuestros razonamientos allí expuestos. Así, pusimos de manifiesto la importancia de la seguridad en las diversas operaciones que tienen lugar en el ciberespacio, y precisamos que los llamados ciberataques son acciones que comprometen la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, la degradación o la destrucción de los sistemas de información y telecomunicaciones o de las infraestructuras que les dan apoyo. En este sentido, señalamos que la «ciberseguridad» tiene varias acepciones: por una parte, presenta un aspecto directamente relacionado con la autoprotección de la Administración de la Generalitat, que tiene como finalidad última prevenir las amenazas y vulnerabilidades inherentes a sus redes interdependientes e infraestructuras de la información, tanto internamente como en sus relaciones con los administrados y con otras administraciones o entidades públicas.
Recordemos que la Generalitat tiene competencias para la organización, diseño, creación y mantenimiento de los servicios de administración electrónica, ya que este es un aspecto fundamental de la potestad de autoorganización que es inherente a la autonomía (arts. 150 y 159.1 EAC), así como tiene atribuidas funciones ejecutivas para la implementación de la convergencia tecnológica y la sociedad digital, y la protección de las redes y sistemas de información de la Administración catalana y su sector público, tanto los propios como los de los particulares y los de otras administraciones que se relacionan con ella por medios electrónicos. Desde esta perspectiva, la Generalitat puede adoptar todo el abanico de medidas de protección de la seguridad, de carácter ordinario y preventivo que considere necesarias, como también las que requiera el restablecimiento de la normalidad de los sistemas (art. 140.7 EAC).
Y, por otra parte, comprende cuestiones, igualmente relevantes, que inciden en ámbitos conectados a las telecomunicaciones y el régimen general de comunicaciones, la defensa y la seguridad pública (art. 149.1.4, .21 y .29 CE y art. 140.7 y 164 EAC) (DCGE 5/2017, FJ 2). De este modo, se identifican con la defensa militar y la seguridad nacional aquellos supuestos de más gravedad, urgencia y mayor dimensión, que pueden afectar a la prestación de los servicios esenciales para la ciudadanía y la convivencia social básica, y se conectan con la seguridad pública los que traten de la protección de determinadas infraestructuras de telecomunicaciones o de la investigación, prevención y persecución de delitos. Y, finalmente, tienen relación con las telecomunicaciones los que se proyectan sobre aspectos más técnicos que permitan asegurar el despliegue y la efectividad de las redes y, en general, de las tecnologías de la información (DCGE 5/2017, FJ 2 y 3).
Por su parte, también respecto del encuadre competencial de la materia de ciberseguridad como sinónimo de seguridad en la red, el Tribunal Constitucional, en la antes citada STC 142/2018, ha razonado que no existe un título competencial autonómico específico respecto de la materia «ciberseguridad», y que «debe partirse del carácter transversal e interconectado de las tecnologías de la información y las comunicaciones y de su conceptuación como conjunto de mecanismos dirigidos a la protección de las infraestructuras informáticas y de la información digital que albergan los sistemas interconectados. Componente tuitivo al que se ha aludido ya y que determina que las cuestiones discutidas en el presente recurso deban resolverse a partir de su encuadramiento material en el ámbito de la seguridad pública en relación con las telecomunicaciones y la seguridad nacional» (FJ 5).
Consiguientemente, tal como hemos indicado en el presente fundamento jurídico, el Estado está habilitado para legislar sobre el régimen general de comunicaciones (art. 149.1.21 CE) en relación con la protección de la seguridad pública (art. 149.1.29 CE). Más aún, confrontando la seguridad nacional con la ciberseguridad, permanece el vínculo establecido entre las competencias de telecomunicaciones y la seguridad nacional (STC 142/2018, FJ 4 a 6).
Finalmente, en ese mismo pronunciamiento, el Tribunal ha declarado que corresponde a la Generalitat «adoptar medidas en materia de ciberseguridad en tanto en cuanto se aplican a las relaciones que tiene con sus administrados y con otras administraciones, así como respecto de las infraestructuras tecnológicas, que pertenezcan a la estructura de la Administración de la Generalitat y a su sector público» (FJ 4). Y refiriéndose a la ACC, ha reconocido que la potestad de autoprotección comprende, entre otras, las funciones «dirigidas a prevenir y mitigar los efectos de los ciberataques [?], para lo que ha de ejercer las funciones de análisis, investigación y respuesta necesarios para restablecer sus propios servicios y garantizar su seguridad». Y que, por otra parte, dicha función «solo se lleva a cabo respecto de los sistemas de información, servicios de tecnologías de la información y la comunicación ?en los que la Agencia intervenga por razón de su competencia?»; es decir, como reitera a lo largo de su pronunciamiento, en relación con la protección exclusivamente de los sistemas de información y comunicación de la Administración de la Generalitat y su sector público (FJ 7).
Por lo que ahora interesa, la citada ACC, creada al amparo de las competencias de autoorganización y provisión de los medios necesarios para el ejercicio de las funciones de la administración electrónica (arts. 150 y 159.1 EAC), tiene atribuidas las funciones de equipo de respuesta a emergencias (CERT) competente en Cataluña, incluyendo la relación con otros organismos de ciberseguridad nacionales e internacionales, y la coordinación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito territorial (art. 2.4.c Ley 15/2017). Sobre esta cuestión, en el Dictamen tantas veces citado dijimos que la ACC ejercerá las citadas funciones en el ámbito de las competencias de la Administración de la Generalitat, con los efectos territoriales que prevé el artículo 115 EAC. Por tanto, es competente en Cataluña como equipo de respuesta a las emergencias que se produzcan, respetando siempre las facultades de otros organismos estatales y supraestatales o internacionales, cuando estén habilitados competencialmente para actuar en el territorio de Cataluña (este podría ser el caso, por ejemplo, del CCN-CERT, INCIBE-CERT o CERT-EU).
Y asimismo, «en cuanto a la atribución de la función de ?coordinación de los equipos de respuesta a incidentes de ciberseguridad (CSIRT) y equipos de respuesta a emergencias o entidades equivalentes que actúen en su ámbito territorial?, debe entenderse que únicamente puede ser ejercida en el marco de sus competencias estatutariamente asumidas. Es decir, en relación con los equipos de respuesta a ciberincidentes o a emergencias de la Administración de la Generalitat y su sector público, creados en los diferentes ámbitos sectoriales y que afecten a las personas físicas y jurídicas sobre las que puede actuar la ACC» (DCGE 5/2017, FJ 3).
Llegados a este punto, hay que recuperar la idea de coordinación que preside todo el entramado de mecanismos orgánicos y funcionales establecidos para la prevención y respuesta a los incidentes de ciberseguridad de las redes. Sobre esta cuestión, cabe recordar que la «coordinación, en general, permite al Estado configurar una instancia o un procedimiento de participación o bien establecer unos criterios de decisión que vinculan a las comunidades autónomas, con el fin de alcanzar una orientación coherente en el ejercicio de las respectivas competencias, pero no puede sustituir la decisión que corresponde a cada una de las partes. El Tribunal Constitucional ha rechazado sistemáticamente que el Estado pueda adoptar las decisiones de carácter sustancial, y ha vinculado la coordinación a la fijación de medios y sistemas de relación que hagan posible la información recíproca, una cierta homogeneidad técnica y la acción conjunta de las autoridades (STC 148/2000, de 1 de junio, FJ 13.d), lo que se conoce como concepto adjetivo o procesal de coordinación» (DCGE 15/2012, de 20 de noviembre, FJ 2).
Respecto al principio de colaboración entre administraciones públicas para el ejercicio de las competencias respectivas en un determinado ámbito de actuación, cabe decir también, a modo de recordatorio, que las fórmulas racionales de actuación conjunta (de cooperación, consulta, participación, concertación o acuerdo) son fundamentales para la efectividad de dicho principio, que es inherente y consustancial al Estado autonómico, pero «no pueden servir para eludir responsabilidades propias ni para ejercer las competencias que el sistema constitucional ha atribuido a otras administraciones» (por todas, STC 132/2018, de 13 de diciembre, FJ 10, y 53/2017, de 11 de mayo, FJ 16).
En los términos expuestos, y puesto que no se desprende lo contrario de los párrafos primero y segundo del nuevo apartado 3 del artículo 7 RDL 13/2018, ninguna objeción puede realizarse a la función de coordinación de los CSIRT a nivel estatal atribuida al CCN, como tampoco al mandato, dirigido indistintamente a los equipos de respuesta a incidentes de ciberseguridad (CSIRT) de todas las administraciones públicas, de consultar a los órganos con competencias específicas en materia de seguridad nacional, seguridad pública, seguridad ciudadana y protección de datos de carácter personal y de colaborar con ellos en el ejercicio de las funciones atribuidas a cada uno.
En cuanto a la función de enlace, también atribuida al CCN por el tercer y último párrafo del mismo artículo 7.3, resulta de la transposición de la Directiva NIS que, como hemos anticipado, exige a cada Estado miembro la designación de un único punto de contacto en materia de seguridad de las redes y sistemas de información para garantizar la cooperación transfronteriza entre las autoridades de los estados miembros y con las autoridades competentes en otros estados miembros y con el grupo de cooperación y la red de CSIRT (art. 8, apdos. 3 y 4). Además, los estados miembros deben velar para que los puntos de contacto único dispongan de recursos adecuados para ejercer sus funciones de forma eficiente y efectiva y cumplan así con los objetivos establecidos por la Directiva NIS (art. 8, apdo. 5). En caso de que proceda, tanto los puntos de contacto único como las autoridades competentes de los estados, de conformidad con el derecho interno, consultarán a las autoridades policiales competentes y a las autoridades responsables de la protección de datos y cooperarán con ellas (art. 8, apdo. 6). Por último, los estados miembros notificarán sin dilación a la Comisión el punto de contacto único, la cual publicará la lista de todos los designados (art. 8, apdo. 7).
Sobre las relaciones de la Generalitat con la Unión Europea, cabe recordar que, con carácter general, la Generalitat participa, en los términos que establezcan el Estatuto y la legislación del Estado, en los asuntos con los que tenga relación, que afecten a las competencias o intereses de Cataluña (art. 184 EAC). Asimismo, la Generalitat aplica y ejecuta el derecho de la Unión Europea en el ámbito de sus competencias, de tal forma que la existencia de una regulación europea no modifica la distribución interna de competencias que establecen la Constitución y el Estatuto. En caso de que la ejecución del derecho europeo requiera la adopción de medidas internas de alcance superior al territorio de Cataluña que las comunidades autónomas competentes no pueden adoptar por medio de mecanismos de colaboración o coordinación, el Estado debe consultar a la Generalitat sobre esas circunstancias antes de que se adopten dichas medidas. A mayor abundamiento, la Generalitat tiene que participar en los órganos que adopten las citadas medidas o, si esta participación no es posible, debe emitir un informe previo (art. 189 EAC).
En nuestro DCGE 3/2011, de 24 de marzo (FJ 2), ya indicamos que «el derecho de la Unión Europea no es canon de constitucionalidad para la resolución de los conflictos de competencia que puedan producirse en el seno del Estado español. En efecto, el principio de autonomía institucional reconocido por el ordenamiento comunitario (art. 4.2 TUE) comporta dos consecuencias importantes que conviene no olvidar, como son que la ejecución y la transposición del derecho comunitario deben realizarse precisamente por las instituciones y poderes públicos que disponen de la competencia constitucional para hacerlo y, sobre todo, que el orden constitucional y estatutario de competencias no puede resultar modificado ni alterado por las disposiciones del derecho comunitario derivado». Ahora bien, citando doctrina constitucional, dijimos que «?no cabe ignorar que la propia interpretación del sistema de distribución competencial entre el Estado y las Comunidades Autónomas tampoco se produce en el vacío? (STC 102/1995, de 26 de junio, FJ 5). Por ello, prestar atención a cómo se ha configurado una institución por la normativa comunitaria puede ser no sólo útil, sino incluso obligado para proyectar correctamente sobre ella el esquema interno de distribución competencial? (STC 33/2005, de 17 de febrer, FJ 4)».
Del mismo modo, recientemente, el Tribunal Constitucional, haciéndose eco de una consolidada doctrina, ha afirmado que no existe en la Constitución, ni en los Estatutos de autonomía o en el bloque de la constitucionalidad, una «?competencia específica? para la ejecución del Derecho comunitario» o «en general para el cumplimiento de los tratados internacionales válidamente celebrados por España [?], sino que esa ejecución o cumplimiento ?corresponde a quien materialmente ostente la competencia, según las reglas de Derecho interno?» (STC 87/2019, de 20 de junio, FJ 6).
Lo anterior significa que el Estado, en un principio, no puede ampararse en la competencia exclusiva sobre relaciones internacionales (art. 149.1.3 CE) para extender su ámbito competencial a cualquier actividad que constituya desarrollo, ejecución o aplicación del Derecho derivado europeo. Ahora bien, no puede ignorarse tampoco la necesidad de proporcionar al Gobierno estatal los instrumentos indispensables para ejercer la función que le atribuye el artículo 93 CE, es decir «?para adoptar las medidas necesarias a fin de garantizar el cumplimiento de las resoluciones de los organismos internacionales en cuyo favor se han cedido competencias? función que solo una interpretación inadecuada de los preceptos constitucionales y estatutarios puede obstaculizar». Y lo anterior teniendo en cuenta que, según la distribución competencial afectada, principalmente si se trata de materias compartidas o concurrentes entre el Estado y las comunidades autónomas, el ejercicio de las competencias propias de uno y otros ha de articularse sin invadir el ámbito competencial ajeno (ibidem).
En el caso que ahora nos ocupa, la designación de un organismo como punto de enlace único de coordinación internacional está amparada por las competencias del Estado en materia de relaciones internacionales (art. 149.1.3 CE) en relación con sus potestades exclusivas sobre telecomunicaciones, seguridad pública y defensa (art. 149.1, subapdos. 4, 21 y 29 CE). A su vez, esta designación no es obstáculo para que las comunidades autónomas designen sus propias autoridades públicas para velar por la seguridad de las redes y sistemas de información que son de su competencia, como tampoco excluye que establezcan los CSIRT que consideren necesarios, que formarán parte de la red de CSIRT creada por la citada Directiva NIS.
Por ello, en conclusión, consideramos que este precepto no evidencia causas de inconstitucionalidad. Y ello es así, tal como se desprende de los argumentos expuestos, porque el Estado, al amparo de sus competencias ex artículo 149.1.3 CE y en cumplimiento de las obligaciones asumidas en aplicación del derecho europeo, debe poder adoptar las medidas necesarias de coordinación a nivel interno pero también con los estados miembros de la Unión y otros organismos europeos, en este caso para dar respuesta a los incidentes y a la gestión de los riesgos de seguridad que correspondan. Así, las autoridades y servicios públicos identificados por la correspondiente legislación sectorial estatal son los responsables principales en las relaciones de colaboración y de cooperación con otros estados.
Esta premisa, no obstante, tampoco impide que las leyes estatales puedan fijar en su normativa un modelo de colaboración que refleje la naturaleza compuesta del modelo constitucional y territorial español. En esta línea, las leyes y normas reglamentarias podrían incluir, por ejemplo, organismos ?comisiones, delegaciones o grupos de trabajo? y mecanismos y procedimientos de participación institucionales que integraran en el ámbito estatal representantes autonómicos. En el campo de la seguridad pública, destaca la previsión del artículo 164 EAC, que incorpora la potencial participación del cuerpo de Mossos d?Esquadra en grupos y delegaciones internacionales, cuando así lo prevean ?y en los términos en que lo hagan? las leyes estatales correspondientes. Y, en la práctica, a través de los sistemas digitales y de telecomunicaciones, la policía catalana y también la vasca tienen acceso en la actualidad, en diferentes niveles, a bases de datos y mecanismos de cooperación europea e internacional.
Sin embargo, esta opción, como ya hemos remarcado, que sería más plural y coherente con un modelo autonómico o federal, no está prevista por la jurisprudencia constitucional vigente que interpreta la norma fundamental, como exigencia o requisito de constitucionalidad de las leyes. En otras palabras, más sintéticamente, una legislación estatal que prevea la participación de las autoridades y servicios públicos autonómicos en las relaciones de cooperación internacional es posible y ajustada al orden constitucional pero no es obligatoria a efectos de su adecuación o validez constitucional. Por consiguiente, es al ámbito político e institucional al que corresponde hacer viable este tipo de alternativas reguladoras, mediante la flexibilización de determinados elementos que se han configurado, como en el presente caso, siguiendo un modelo centralizado.
En consecuencia, y ya como conclusión, el artículo 7 RDL 14/2019, de 31 de octubre, en el nuevo apartado 3 del artículo 11 RDL 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, en la medida en que prevé un modelo basado en la colaboración de los CSIRT de todas las administraciones públicas con los órganos con competencias en seguridad pública y protección de datos de carácter personal, entre los que se incluyen los de la Generalitat, y que el Estado, de acuerdo con sus competencias ex artículo 149.1, subapartados 3, 21 y 29 CE, tiene potestad para designar un punto de contacto único, al efecto de la coordinación transfronteriza para el cumplimiento de las obligaciones de la Directiva 2016/1148, de 6 de julio (art. 8), no vulnera las competencias de la Generalitat previstas en los artículos 140.7, 159.1 y 164 EAC.
Quinto. El examen de constitucionalidad y de estatutariedad de los preceptos del Real decreto-ley 14/2019 relativos a la protección de datos personales
En este fundamento jurídico trataremos los preceptos del capítulo II del Real decreto-ley que regulan aspectos relativos a la protección de datos personales y que han sido cuestionados por el solicitante. En concreto, el artículo 3, apartados uno y dos, RDL 14/2019, que introducen un nuevo apartado 3 en los artículos 9 y 10 LPACAP y su régimen transitorio (disp. trans. primera, apdo. 2 RDL 14/2019); el artículo 4, apartado uno, que incorpora el artículo 46 bis a la LRJSP y su régimen transitorio (disp. trans. segunda RDL 14/2019), y el artículo 4, apartado dos, que da una nueva redacción al artículo 155 de esta última Ley.
Según la disposición final primera, los artículos 3 y 4 RDL 14/2019 se dictan al amparo de las cláusulas competenciales núms. 18 y 29 del artículo 149.1 CE, aunque no identifica cuáles de las medidas reguladas se ampararían en cada uno de los títulos, teniendo en cuenta que tienen un alcance y unos efectos diferentes. No obstante, del preámbulo de la norma parece desprenderse que las previsiones objeto de examen en este fundamento jurídico se encuentran principalmente fundamentadas en la competencia exclusiva estatal sobre seguridad pública (salvo el art. 4.dos). Será necesario, pues, con ocasión del mismo, delimitar cuál es el parámetro competencial aplicable.
1. Antes, sin embargo, conviene efectuar algunas consideraciones generales sobre la materia de la protección de los datos personales, puesto que es subyacente a todos los preceptos ahora examinados en la medida en que afecten a cualquier información sobre una persona física identificada o identificable.
Así, en cuanto a su contexto normativo y de forma sintética, debemos referirnos a su primera regulación internacional, inspiradora de la normativa europea posterior, mediante el Convenio núm. 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, abierto en Estrasburgo para su firma el 28 de enero de 1981 y ratificado por el Estado español en fecha de 27 de enero de 1984 (BOE núm. 274, de 15 de noviembre de 1985), que ha sido modificado recientemente mediante el Protocolo de 10 de octubre de 2018, que lo ha actualizado y ha aprobado una nueva versión del Convenio (firmada también por el Estado español) tras más de tres décadas de vigencia del anterior (Convenio 108+).
A nivel europeo, el artículo 16.1 del Tratado de funcionamiento de la Unión Europea (en lo sucesivo, TFUE) reconoce el derecho de la persona a la protección de los datos de carácter personal que le conciernan, así como el artículo 8.1 de la Carta de derechos fundamentales de la Unión Europea, formalmente proclamada en Niza el 7 de diciembre de 2000. En el marco de dichas normas, se adopta el Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos [en lo sucesivo, Reglamento (UE) 2016/679 o RGPD], que ha derogado la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, la cual tuvo en su momento una importancia primordial en el ámbito que ahora nos ocupa. Este panorama normativo se completa con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, dirección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.
Nuestra atención se centra en el citado Reglamento (UE) 2016/679, que tiene por objeto dos finalidades principales: por una parte, el establecimiento de las normas relativas a la protección de los derechos y libertades de las personas físicas por lo que respecta al tratamiento de los datos personales y, por otra, las referidas a la libre circulación de los datos personales en la Unión, que no podrá ser restringida ni prohibida, en cuanto a su tratamiento, en supuestos diferentes a los que prevé o posibilita el propio Reglamento (art. 1). Así, se busca un equilibrio entre la protección de los ciudadanos y la libertad de iniciativa económica, como también de la cooperación entre estados. Ciertamente, muchos de los principios y fundamentos de la Directiva 95/46/CE siguen activos pero puede decirse que el Reglamento europeo, que fija con más precisión el derecho fundamental a la protección de datos, opera un cambio de modelo que, sintéticamente, pasa de la gestión de los datos al uso responsable de la información. Esto se traduce en nuevos principios como el de la responsabilidad proactiva (arts. 5.2 y 24), el consentimiento expreso del titular de los datos como base de legitimación del tratamiento (arts. 4.11 y 7), el nuevo derecho a la portabilidad (art. 20), la privacidad desde el diseño y por defecto (art. 25), la protección de los datos basada en el análisis de riesgos y las medidas de seguridad adecuadas a los mismos (art. 32), la evaluación de impacto (art. 35), la figura del delegado de protección de datos (art. 37), la importancia de los códigos de conducta (art. 40), el registro de actividades del tratamiento (art. 30), el fortalecimiento del papel de las autoridades de control de los estados miembros (arts. 51 a 59), incluido el del Comité Europeo de Protección de Datos (arts. 68 a 76), que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las citadas autoridades, o el régimen de recursos, responsabilidad y sanciones (arts. 77 a 84).
En una línea secuencial similar, a nivel interno, se han aprobado varias leyes y normas de desarrollo en la materia de protección de datos personales, hasta llegar a la vigente Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD), que ha derogado la precedente Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Visto lo anterior, cabe referirse con carácter previo a la naturaleza y efectos del Reglamento (UE) 2016/679, de aplicación obligatoria desde el 25 de mayo de 2018. Desde una perspectiva formal, se trata de una norma de alcance general, que es obligatoria en todos sus elementos y directamente aplicable a todos los estados miembros (art. 288 TFUE). Por consiguiente, no requiere transposición o desarrollo mediante normas internas y comporta el desplazamiento de las que resulten incompatibles con la misma. Está claro que su adaptación puede exigir la adopción de nuevas disposiciones internas que complementen o aclaren su contenido, pero únicamente con el fin de asegurar el efecto útil de lo que dispone y sin inducir a error sobre su naturaleza y aplicabilidad directa.
El propio Reglamento europeo declara que pretende establecer un marco más sólido y coherente (considerando 7), que evite una aplicación fragmentada, la inseguridad jurídica y las diferencias en la protección de los derechos y libertades en los estados miembros (considerando 9) y que garantice un nivel uniforme y elevado de protección (considerando 10). Cabe señalar que también contiene numerosas remisiones de alcance variable al derecho de los estados miembros, lo que les permite adaptar la regulación, en distintos supuestos, al contexto estatal; o fijar exenciones, limitaciones o derogaciones o condiciones específicas para determinadas categorías de tratamiento de datos, o, incluso, en algunos casos puntuales el Reglamento confiere carácter preceptivo a dicha tarea normativa de desarrollo. Por añadidura, se reconoce con carácter general un margen de maniobra para que los estados miembros especifiquen sus normas (considerando 10) y la posibilidad de que mantengan o introduzcan disposiciones más específicas para adaptar la aplicación de las prescripciones del Reglamento, estableciendo de forma más precisa requisitos concretos para el tratamiento de datos personales con otras finalidades, tomando en consideración la estructura constitucional, organizativa y administrativa del Estado miembro en concreto. Ahora bien, esta limitación debe constituir una medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos, la seguridad pública y la prevención, investigación, detección y enjuiciamiento de infracciones penales o de ejecución de sanciones penales (considerando 19).
En lo relativo a la naturaleza del Reglamento (UE) 2016/679, el Tribunal Constitucional ha recordado que su eficacia jurídica no se agota en el «valor hermenéutico que despliega a los efectos del artículo 10.2 CE, esto es, en el plano de la constitucionalidad» sino que en el «seno de nuestro ordenamiento jurídico representa sobre todo un acto jurídico ?obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro?, como luce al final del texto y con las características inherentes al Derecho de la Unión Europea» (STC 76/2019, de 22 de mayo, FJ 3).
De este modo, aunque reitera que no constituye parámetro de constitucionalidad, añade que cuando se trata del enjuiciamiento constitucional del desarrollo legislativo de un derecho fundamental como es la protección de datos personales, que se encuentra parcialmente determinado por el derecho de la Unión Europea, las exigencias que derivan de este último «no pueden ser irrelevantes a la hora de establecer los márgenes constitucionalmente admisibles de libertad de apreciación política» (STC 1/2012, de 13 de enero, FJ 9). Además, una eventual conclusión de incompatibilidad entre una ley interna y una disposición del derecho de la Unión Europea debe dirimirse «en términos de legalidad ordinaria y selección del derecho aplicable en un primer término, y no en clave de contradicción con la Constitución» (STC 76/2019, de 22 de mayo, FJ 3, haciendo cita de la STC 140/2018, de 20 de diciembre, FJ 6).
Hay que tener presente, para un correcto análisis de los preceptos solicitados, que el régimen jurídico del tratamiento de datos de carácter personal está previsto tanto en el Reglamento (UE) 2016/679 como en la LOPDGDD, ya que ambas fuentes normativas configuran conjuntamente, de forma directa o supletoria, el desarrollo del derecho fundamental a la protección de datos de carácter personal que exigen los artículos 18.4 y 81.1 CE (art. 1.a y 2 LOPDGDD y arts. 2 y 3 RGPD).
Llegados a este punto y teniendo presente su evidente evolución, hay que referirse sintéticamente al derecho fundamental a la protección de datos y a su contenido esencial según lo ha configurado la doctrina constitucional. Este derecho, que nace del artículo 18.4 CE, independientemente del derecho a la intimidad y con singularidad propia, atribuye a su titular un poder de control y de disposición de sus datos personales, automatizados o no, que se hace efectivo mediante la imposición de deberes u obligaciones a terceros. Así, faculta a la persona para decidir qué datos quiere proporcionar a un tercero, sea un poder público o un particular, o cuáles puede recabar este tercero, como también le permite saber y ser informado respecto de quien los posee y para qué los quiere, de modo que puede oponerse a dicha posesión o uso.
En otras palabras, los citados poderes de control y disposición que constituyen parte del contenido nuclear del derecho fundamental a la protección de datos, se concretan jurídicamente en la facultad de consentir la recogida, obtención y acceso a los datos personales, su posterior almacenamiento y tratamiento, y su uso o usos posibles por un tercero. Sentado lo anterior, cabe añadir que el artículo 18.4 CE tiene dos vertientes, como derecho fundamental autónomo descrito anteriormente, que permite al individuo controlar el flujo de las informaciones relativas a su persona, y como derecho fundamental instrumental orientado a la protección o garantía de otros derechos fundamentales, como son los derechos a la intimidad y al honor o a la libertad ideológica (por todas, STC 292/2000, de 30 de noviembre, FJ 6, y, más recientemente, STC 76/2019, FJ 5).
Finalmente, debemos señalar que, para preservar y posibilitar el ejercicio del abanico de facultades que integran el contenido esencial del derecho a la protección de datos, el legislador debe establecer las «garantías adecuadas» de tipo técnico, organizativo y procedimental que lo protejan de manera eficaz. Y lo anterior con independencia de que la necesidad y alcance de las garantías puede diferir bastante según el tipo de tratamiento que se pretenda llevar a cabo, la propia naturaleza misma de los datos (son más exigibles y específicos cuando se trata de categorías especiales de datos) y la probabilidad y gravedad de los riesgos de abusos y de acceso o utilización ilícitos (STC 76/2019, FJ 6, citando jurisprudencia de la doctrina del TJUE).
Dicho esto, cabe indicar que, en la delimitación del derecho fundamental de protección de datos, el legislador estatal deberá armonizar la reserva de ley orgánica relativa a su contenido esencial (art. 81.1 CE) con la posibilidad de un ulterior desarrollo en los diferentes ámbitos materiales en los que se proyecte su ejercicio, que se regirán por las reglas de la distribución constitucional y estatutaria de competencias que derivan del artículo 149.1 CE. En este sentido, la doctrina constitucional recuerda que el artículo 81.1 CE, que no es un título atributivo de competencias sino un precepto ordenador del sistema de fuentes, no puede desvirtuar lo dispuesto en el artículo 149.1 CE sobre la articulación de los ámbitos materiales correspondientes al Estado y a las comunidades autónomas y, por tanto, debe cohonestarse con el bloque de la constitucionalidad. De acuerdo con lo anterior, ha declarado que el ámbito reservado a la ley orgánica, que debe interpretarse restrictivamente, comprende el desarrollo directo del derecho fundamental considerado en abstracto «en cuanto tal» mientras que la regulación de la «materia» sobre la que se proyecta el derecho se atribuye al legislador ordinario, estatal o autonómico, con competencias sectoriales sobre aquella (por todas, STC 135/2006, de 27 de abril, FJ 2).
2. Efectuadas las consideraciones anteriores, a continuación examinaremos los apartados uno y dos del artículo 3 RDL 14/2019, que añaden a los artículos 9 y 10 LPACAP nuevos y sendos apartados 3, con los siguientes contenidos:
Artículo 9 LPACAP:
«3. En relación con los sistemas de identificación previstos en la letra c) del apartado anterior, se establece la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en caso de tratarse de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en territorio español. En cualquier caso, los datos se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes.
Los datos a que se refiere el párrafo anterior no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.»
Artículo 10 LPACAP:
«En relación con los sistemas de firma previstos en la letra c) del apartado anterior, se establece la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en caso de tratarse de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en territorio español. En cualquier caso, los datos se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes.
Los datos a que se refiere el párrafo anterior no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.»
A) Como puede constatarse, se trata de dos previsiones normativas de idéntico contenido, que se aplican específica y concretamente a los sistemas validados por las administraciones públicas de identificación electrónica de los administrados, llamados de clave concertada y otros (art. 9.2.c LPACAP) y de firma diferentes a los de firma electrónica cualificada y avanzada (art. 10.2.c LPACAP) a los que hemos hecho referencia ampliamente en el fundamento jurídico tercero.
En lo que ahora interesa, las normas transcritas adoptan las siguientes medidas: de un lado, establecen la obligación legal que «los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea». En caso de que se trate de categorías especiales de datos, dichos recursos deben estar localizados «en territorio español».
A tales efectos, según el artículo 9 RGPD, que se cita en el texto de las normas objeto de dictamen, están incluidas en las categorías especiales de datos los que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física. Estos datos, vista su naturaleza, son particularmente sensibles y, por consiguiente, el Reglamento (UE) 2016/679 prohíbe su tratamiento como principio, si bien esta regla general se exceptúa en situaciones específicas como, por ejemplo, cuando el interesado dé su consentimiento explícito o sea necesario para proteger sus intereses vitales y se encuentre incapacitado para consentir (art. 9).
Y, de otro, contienen la prohibición de transferencia internacional de los datos a un tercer país o a una organización internacional, salvo dos supuestos: que estos hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por España. Por último, prescribe que los datos tratados deben estar disponibles para que puedan acceder a ellos autoridades judiciales y administrativas.
El solicitante se cuestiona si las limitaciones territoriales a la hora de ubicar los recursos técnicos comportan una injerencia en las competencias de la Generalitat que podrían resultar contrarias a los artículos 150 y 159 EAC en tanto que le afectan «en la organización de los servicios de su competencia cuando los presta de forma directa», como también se plantea si pueden ser constitutivas «de una vulneración de la libre prestación de servicios y de establecimiento que deben garantizar la movilidad de las empresas y los profesionales en toda la Unión Europea, artículo 26 (mercado interior), 49 a 55 (establecimiento) y 56 a 62 (servicios) del Tratado de funcionamiento de la Unión Europea». Además, respecto a la limitación de las transferencias internacionales, entiende que restringe «la posibilidad de utilizar otros mecanismos previstos en el artículo 46 RGPD».
B) Para un correcto análisis de las medidas ahora examinadas, que están conectadas entre sí, empezaremos por los últimos párrafos de los nuevos apartados 3 de los artículos 9 y 10 LPACAP, que establecen la prohibición de realizar transferencias de datos a un tercer país o a una organización internacional, a menos que se trate de alguno de los dos supuestos siguientes: cuando hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.
Ante todo, sin embargo, debe determinarse a qué datos se aplicaría esta limitación de las transferencias internacionales, ya que la norma no es nada clara desde el momento en que la expresión «los datos a que se refiere el párrafo anterior» puede comprender los que se incluyen en categorías especiales (citadas expresamente) pero también otros datos de identificación susceptibles de ser tratados por los sistemas electrónicos de identificación y firma objeto de la regulación (arts. 9.2.c y 10.2.c LPACAP). De la literalidad del precepto y de su interpretación conjunta con el preámbulo del Real decreto-ley (apdo. II, párr. séptimo) parece desprenderse que la restricción de las transferencias solo se aplicaría a las categorías especiales de datos previstos en el artículo 9 RGPD y así lo entendemos en nuestro análisis.
Aclarado lo anterior, y a fin de contextualizar la restricción explicitada, hemos de referirnos, aunque sea muy brevemente, al concepto de transferencia internacional y a su regulación actual en la normativa europea (arts. 44 a 50 RGPD) y estatal (arts. 40 a 43 LOPDGDD) para, acto seguido, encuadrar los preceptos en la materia competencial que les corresponde, dado su contenido y su finalidad.
La transferencia internacional de datos no está explícitamente definida en el artículo 44 RGPD (tampoco lo estaba en la Directiva 95/46/CE) ni en la LOPDGDD, y el propio Tribunal de Justicia de la Unión Europea no ha elaborado una definición formal sino que ha delimitado dicho concepto en sentido negativo (STJUE de 6 de noviembre de 2003, asunto Lindqvist, C-101-01). Así, ha razonado que la publicación en una página web de datos personales almacenada por su proveedor de servicios de alojamiento domiciliado en territorio de la Unión Europea a la que puede accederse desde cualquier lugar, aunque es un tratamiento, no es una transferencia internacional de datos. Lo argumenta sobre la base de que no implica una transmisión directa de datos entre dos sujetos, sino que los datos personales que llegan al ordenador de una persona que se encuentra en un tercer país y que proceden de una persona que los ha publicado en internet, se han transmitido con la ayuda de la infraestructura informática del proveedor de servicios de alojamiento de páginas web donde aquella está alojada. En consecuencia, declara que no existe una «transferencia a un país tercero de datos» cuando una persona que se encuentra en un Estado miembro difunde datos personales en una página web, almacenada por su proveedor de servicios de alojamiento de páginas web que tiene su domicilio en el mismo Estado o en otro Estado miembro, de modo que dichos datos son accesibles para cualquier persona que se conecte a internet, incluidas aquellas que se encuentran en países terceros (apdos. 61 y 71).
Resulta obvio que la determinación de este concepto es, en la práctica, compleja, dados los numerosos medios electrónicos e intermediarios que actúan en este proceso de transferencia, pero, simplificadamente, puede entenderse como el flujo de datos que supone un traslado de los mismos por una persona física o jurídica, pública o privada, o un órgano o entidad administrativos situados en territorio español a un tercer país o a una organización internacional que se encuentran fuera del territorio del Espacio Económico Europeo o EEE, que incluye los estados miembros de la Unión Europea más Islandia, Liechtenstein y Noruega (en este sentido, art. 5.1.s RD 1720/2007, de 21 de diciembre, por el que se aprobaba el Reglamento de la LOPD, vigente en aquello que no se oponga al RGPD y a la LOPDGDD), con el fin último de tratar esta información una vez haya sido recibida por el destinatario. O también podría definirse como aquel acto mediante el que el transmitente permite el conocimiento de los datos personales al destinatario de forma directa, implicando, por consiguiente, una comunicación material de datos personales, con independencia de su finalidad, y siendo internacional cuando el lugar de destino de los datos se localiza fuera del espacio de nivel adecuado o equiparable de protección (en este caso, fuera del EEE). Cabe señalar que la referencia a las organizaciones internacionales como destinatarias de las transferencias es una novedad del Reglamento europeo.
Dicho esto, la transferencia internacional de datos constaría de los siguientes elementos: debe tratarse de datos que permitan identificar o hacer identificable a una persona de manera directa o indirecta; los datos personales pueden ser tratados de forma automatizada o no, o sea, pueden ser objeto de transmisión tanto por medios informatizados como por medios convencionales; la finalidad de la transferencia es que el destinatario efectúe un tratamiento de los datos, ya sea su cesión o comunicación (a otro responsable) o la prestación de un servicio (encargado del tratamiento), y, por último, debe tener lugar un traslado físico y efectivo de los datos de un lugar del territorio del EEE a un Estado o una organización internacional fuera de este, que se convierte en el lugar de destino.
Dado que los datos personales de ciudadanos europeos situados en la Unión Europea son accesibles desde el exterior del EEE, el objetivo primordial que persigue el Reglamento (UE) 2016/679 cuando regula esta figura es garantizar que cuando se transfieran a terceros países se mantenga un nivel de protección adecuado y conforme con el estándar mínimo que se establece en su articulado. El principio general es, pues, que solo puede efectuarse una transferencia internacional de datos si el destinatario cumple con todas las obligaciones relativas al tratamiento que establece la normativa europea aplicable y asegura las garantías suficientes a la hora de realizar la transferencia y, sobre todo, en posibles y ulteriores transferencias que pueda llevar a cabo (considerando 101 y art. 44 RGPD). Ahora bien, este objetivo tiene que encontrar un equilibrio con la preservación de otros intereses como son que el flujo de datos a terceros países favorece la expansión del comercio internacional y la cooperación internacional en materia de seguridad y prevención de los delitos (considerandos 1 y 101 RGPD y 7 Directiva 2016/680). Por su parte, el Convenio 108+ impone la regla general del libre movimiento de datos entre las partes contratantes siempre y cuando se trate de estados que dispongan de normas armonizadas sobre esta materia (art. 14).
Visto este principio general, el Reglamento (UE) 2016/679 permite la transferencia internacional de datos solo en los siguientes supuestos:
a) Cuando se base en una decisión de adecuación de la Comisión Europea que, para decirlo muy sintéticamente, es un acto jurídico emitido por esta en el que, a partir del análisis de una serie de condiciones y requisitos, se certifica que el estado u organización internacional destinatario tiene un nivel de protección adecuado de los datos personales o sustancialmente equivalente al de la normativa europea (art. 45 RGPD). Actualmente, los estados sobre los que existe una decisión de adecuación vigente son: Suiza (Decisión 2000/518/CE, de 26 de julio), Canadá (Decisión 2002/2/CE, de 20 de diciembre), Argentina (Decisión 2003/490/CE, de 30 de junio), Guernsey (Decisión 2003/821/CE, de 21 de noviembre), Isla de Man (Decisión 2004/411/CE, de 28 de abril), Jersey (Decisión 2008/393/CE, de 8 de mayo), Islas Feroe (Decisión 2010/146/CE, de 5 de marzo), Andorra (Decisión 2010/625/UE, de 19 de octubre), Israel (Decisión 2011/61/UE, de 31 de enero), Uruguay (Decisión 2012/484/UE, de 21 de agosto), Nueva Zelanda (Decisión 2013/65/UE, de 19 de diciembre), Japón (Decisión de ejecución 2019/419, de 23 de enero) y, con singularidades propias, los Estados Unidos de América (Decisión 2016/1250/UE, de 12 de julio, aplicable a las entidades de este país certificadas en el marco del Privacy Shield UE-EE.UU.).
b) Cuando se base en garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas, de los que deberá ser informado (art. 46 RGPD). Estas garantías se dividen en dos bloques, según si requieren autorización expresa de la autoridad de control o no. Por un lado, no es necesaria autorización en caso de que las garantías se aporten mediante un instrumento jurídicamente vinculante y exigible entre autoridades u organismos públicos; normas corporativas vinculantes, conocidas como Binding Corporate Rules o BCR (art. 47 RGPD); cláusulas tipo de protección de datos adoptados por la Comisión o bien por una autoridad de control y aprobadas por la Comisión; códigos de conducta, o mecanismos de certificación (art. 46.2 RGPD). Y, por otro, debe existir la autorización previa de la autoridad de control cuando se aporten mediante cláusulas contractuales acordadas entre el exportador y el destinatario de los datos o mediante disposiciones que se incorporen en acuerdos administrativos entre las autoridades o los organismos públicos que incluyan derechos efectivos y exigibles para los interesados (art. 46.3 RGPD).
Cabe indicar que la transferencia internacional sobre la base del cumplimiento de una obligación internacional, que sería otro supuesto admitido, está prevista en el considerando 102 del Reglamento (UE) 2016/679 y no en su articulado. En este sentido, debemos señalar que dicha transferencia debe llevarse a cabo respetando el conjunto de previsiones que contiene dicha norma europea en su parte dispositiva.
No obstante, seguidamente, el propio Reglamento (UE) 2016/679 admite un abanico de excepciones para situaciones específicas, en lista cerrada o de numerus clausus (entre otras, cuando sea necesaria por razones importantes de interés público, ejercicio o defensa de reclamaciones, o se realice desde un registro público), que, además de los casos anteriores, permiten la transferencia internacional de datos sin autorización de las autoridades de control, siempre y cuando su exportador garantice a los interesados derechos exigibles y efectivos respecto al tratamiento de sus datos (art. 49 y considerando 114 RGPD). Algunas de estas excepciones no son aplicables a las administraciones públicas en ejercicio de poderes públicos (art. 49.1, párr. primero, letras a, b, c, conforme al art. 49.3 RGPD) y son de alcance bastante amplio, desde el momento en que se aceptan porque obedecen a intereses legítimos imperiosos (art. 49.1, segundo párr., RGPD).
Consiguientemente, expuesto lo anterior, puede decirse que, de hecho, el Reglamento (UE) 2016/679 es bastante más permisivo que la normativa española anterior a la hora de admitir las transferencias internacionales y amplía los casos en que están admitidas, aunque las rodea de las cautelas y garantías correspondientes.
Por su parte, la LOPDGDD, a la hora de regular las transferencias internacionales de datos, se remite a lo que dispone el Reglamento (UE) 2016/679, a lo que ella misma determina en su articulado, a las normas de desarrollo aprobadas por el Gobierno y a las circulares de las autoridades estatal y autonómicas de protección de datos, en el ámbito de sus respectivas competencias (art. 40). En cuanto al articulado orgánico, se refiere a las especialidades relacionadas con procedimientos mediante los que las autoridades de control pueden aprobar modelos contractuales o BCR, y a los supuestos que requieren autorización o información previas de una determinada transferencia (arts. 41 a 43).
A los efectos de este Dictamen, cabe destacar la previsión del apartado 5 del artículo 49 RGPD, que contiene una habilitación específica para que los estados miembros puedan restringir las transferencias internacionales más allá de lo que dispone el Reglamento europeo. Así, declara que, en caso de que no exista una decisión por la que se constate la adecuación de la protección de los datos, están facultados para establecer límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Ahora bien, somete dicha potestad a dos requisitos: la limitación debe estar fundamentada en «razones importantes de interés público» y las disposiciones que se dicten en este sentido deben ser notificadas a la Comisión. Sobre el alcance de esta norma no aporta nada el considerando 112 RGPD que, simplemente, la enuncia.
Teniendo en cuenta la normativa europea expuesta, nos corresponde aplicar el parámetro de constitucionalidad, a fin de poder concluir su adecuación a la norma fundamental y, si procede, al Reglamento europeo.
Como cuestión previa, haremos una breve referencia a la eventual reserva de ley orgánica ex artículo 81 CE. Una vez examinado el contenido de la medida que nos ocupa, puede decirse que, puesto que no desarrolla el propio concepto de transferencia internacional de datos con carácter general, no constituye un desarrollo directo del contenido esencial del derecho fundamental del artículo 18.4 CE, reservado a la ley orgánica, sino que es una regulación sectorial que singulariza la cuestión de las transferencias internacionales en la gestión de determinados sistemas de información y comunicación de las administraciones públicas y, en última instancia, afecta a la forma en que estas pueden organizar la gestión de dichos servicios.
A la luz de esta última premisa, debemos identificar cuál sería la finalidad de la norma que estamos analizando para ponerla en relación con su dimensión competencial y así poder determinar si el Estado cuenta con la habilitación para dictar la medida o, si por el contrario, afecta a las competencias organizativas de la Administración pública de la Generalitat.
Tal como hemos indicado al inicio de este apartado, la norma introduce una restricción a las transferencias internacionales de datos, respecto de un determinado tipo de ellas, las de categoría especial, y en relación con unos concretos sistemas de identificación de los interesados ante las administraciones públicas (clave concertada y otros) y de firma electrónica (diferente a los de firma electrónica cualificada y avanzada basada en certificados electrónicos cualificados de firma electrónica).
De conformidad con su contenido, por consiguiente, entendemos que nos situamos en el marco de las competencias compartidas relativas a las bases del régimen jurídico de las administraciones públicas y del procedimiento administrativo, configurado por los artículos 149.1.18 CE y 159.1.a y .c EAC y, en conexión, por razón de su finalidad última, con la protección de la ciberseguridad. Esta última materia, según la dimensión que adquiera, puede remitir también a los títulos de los artículos 149.1.29 CE y 164 EAC, en los términos en que los hemos descrito en los fundamentos jurídicos tercero y cuarto.
De entrada, debemos señalar que la iniciativa reguladora de reforzar las garantías de seguridad en el tratamiento de la categoría especial de datos, que es susceptible de afectar a un derecho fundamental de las personas, teniendo en cuenta su contenido, constituye una finalidad legítima por parte del legislador estatal que responde a un interés público. Los datos relativos a cuestiones significativamente sensibles (como es el caso que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas o afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física) son, como resulta evidente, dignos de una protección reforzada por razón del interés público consistente en la garantía del habeas data de los ciudadanos. Esta protección ampliada encuentra encaje tanto en las previsiones del Reglamento europeo, que las facilita a través del régimen de excepciones justificadas (considerandos 51 y ss. y art. 9.4 RGPD), como en el canon de constitucionalidad y de estatutariedad aplicable.
Respecto al orden constitucional español, este Consell considera que, por una parte, la regulación objeto de dictamen no exige la reserva de ley orgánica, puesto que no desarrolla ni afecta de forma directa el núcleo esencial del régimen jurídico de un derecho fundamental, en este caso, la protección de datos ex artículo 18.4 CE. Y, por otra, que la medida consistente en incrementar el nivel de seguridad de tal derecho en este concreto aspecto, por la vía de la limitación de su transferencia internacional, encuentra cobijo en las competencias estatales en materia de régimen jurídico de las administraciones públicas y de procedimiento común (art. 149.1.18 CE).
En este sentido, creemos que las competencias de la Generalitat no se ven vulneradas, porque lo que resulta relevante a efectos de su soporte constitucional es que el legislador estatal prescribe la seguridad y garantía de determinados datos por razón de su contenido altamente sensible, con independencia de si se vinculan o van aparejados con un tipo de identificación y firma electrónica de operativa autonómica. En consecuencia, la finalidad perseguida es la igualdad de los ciudadanos en el ámbito material de las relaciones con las administraciones públicas. Y queda demasiado espacio para la duda cuando se argumenta que todos los ciudadanos del Estado pueden estar amparados por una legislación básica que les garantiza que sus datos, susceptibles de identificar su esfera religiosa, sexual, médica o política, no pueden ser transferidos fuera del espacio asegurado por el Reglamento europeo, a menos que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Estado español.
Esta restricción incorporada por la ley estatal responde, en nuestra opinión, a un interés público, y no es desproporcionada hasta el punto de contravenir la normativa europea, en la medida en que compatibiliza una finalidad legítima con el respeto al sistema general de transferencias internacionales habilitado por la normativa europea (art. 49.5 RGPD) y, por su parte, encuentra inserción en el contenido de las bases estatales en régimen jurídico de las administraciones y procedimiento común en cuanto a la posición igualitaria de los ciudadanos ante las administraciones públicas.
La Generalitat, en todo caso, puede articular su sistema o modelo de administración electrónica, con el margen que le atribuyen los artículos 159.1.a y .c EAC, pero respetando y asegurándose de que los datos de categoría especial no pueden ser transmitidos a terceros países, externos al EEE, si estos no son titulares de una decisión de adecuación de la Comisión Europea o la operación no viene soportada por una obligación internacional debidamente contraída. Un marco, el indicado, que entendemos permite compatibilizar el ejercicio de las competencias propias y a la vez implementar un sistema de garantías reforzado por la legislación estatal de protección de datos reformada.
En consecuencia, los apartados uno y dos del artículo 3 RDL 14/2019, en el último inciso de los nuevos artículos 9.3 y 10.3 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, no vulneran las competencias de la Generalitat ex artículo 159 EAC y encuentran amparo en el título competencial del artículo 149.1.18 CE, y se adecúan a las previsiones de los artículos 44 a 50 Reglamento (UE) 2016/679.
C) Seguidamente, nos referiremos a otra de las medidas antes descritas, conectada con la anterior, contenida en sendos primeros párrafos de los nuevos artículos 9.3 y 10.3 LPACAP, que consiste en la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación y firma de las administraciones públicas previstos en los artículos 9.2.c y 10.2.c LPACAP «se encuentren situados en territorio de la Unión Europea». Y, en concreto, cuando se trate de categorías especiales de datos previstos en el artículo 9 del Reglamento (UE) 2016/679, se añade que deben situarse «en territorio español». Recordemos que estos datos son los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona física. En consonancia con esta obligación y para garantizar su cumplimiento, las entidades del sector público que gestionen directamente o a través de medios propios los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación y firma deben adoptar las medidas necesarias para ubicar los recursos utilizados en territorio europeo o, si procede, dentro del territorio español, en el plazo máximo de seis meses a partir de la entrada en vigor del Real decreto-ley (disp. trans. primera, apdo. 2).
Nuevamente, el legislador estatal fundamenta esta doble restricción territorial en razones de seguridad pública y/o seguridad nacional y en la necesidad de asegurar que el Estado en cuyo territorio se ubiquen los recursos necesarios para gestionar los citados sistemas se someta a la normativa de la Unión Europea en materia de protección de datos (apdo. II, párr. séptimo preámbulo RDL 14/2019). Debe señalarse, a modo de indicación, que la medida que ahora se dictamina tiene como complementaria, en el ámbito de la contratación pública, la obligación de que la empresa adjudicataria informe, mediante la correspondiente declaración, sobre donde están ubicados los servidores y donde se prestarán los servicios asociados a los mismos, antes de la formalización del contrato (art. 122.2.c de la Ley 9/2017, de 8 de noviembre, de contratos del sector público, por la que se trasladan al ordenamiento jurídico español las directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, según la redacción dada por el art. 5, apdo. cinco, RDL 14/2019).
Ahora bien, la expresión «recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas» validados por las administraciones públicas de identificación electrónica de los administrados, llamados de clave concertada y otros (art. 9.2.c LPACAP) y de firma diferentes a los de firma electrónica cualificada y avanzada (art. 10.2.c LPACAP), sobre los que se proyecta la limitación territorial, tiene un alcance genérico que, por otro lado, no está delimitado en la ley. Así, si acudimos al Reglamento (UE) 2016/679, define el «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea mediante procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción» (art. 4.2), lo que ya incluye la «recogida» y el «almacenamiento» (citados expresamente en la norma dictaminada). Al citado conjunto de actividades el Real decreto-ley añade la de «gestión de los sistemas», que no se acaba de apreciar qué alcance puede tener. En definitiva, estamos ante una restricción que, en principio, afectaría principalmente a la ubicación de los servidores y servicios asociados, pero que podría incluir también otros recursos y elementos asociados a los mismos.
De este modo, puede vislumbrarse que el Real decreto-ley pretende ejercer un control de los datos, entre otras situaciones y posibilidades, ante la nueva forma de prestación de los servicios de tratamiento de la información, denominada cloud computing o computación en la nube. De manera resumida, ya que es una cuestión compleja técnicamente, en un entorno de cloud computing la gestión de la información está de forma virtual en poder del cliente (que puede ser una administración pública), que la trata a través de internet accediendo a soluciones de bases de datos, correo electrónico o cualquier tipo de aplicaciones según sus necesidades, mientras que el proveedor del servicio puede encontrarse, prácticamente, en cualquier lugar del mundo y proporcionar los servicios mediante prácticas de deslocalización, compartición de recursos y movilidad o realizando subcontrataciones adicionales. Así, la multiubicuidad de los datos en la nube se articula a menudo mediante una cadena de subcontrataciones que, comportan, en muchos casos (aunque no debe ser así necesariamente) transferencias internacionales.
Dicha forma de utilizar tecnologías de la información y la comunicación que ya existían a un nuevo nivel la hace diferente, ya que permite el uso de recursos de hardware, software, almacenamiento, servicios y comunicaciones que se encuentran distribuidos geográficamente y a los que se accede de forma dinámica mediante una red (gratuita o abonando una tarifa) al mismo tiempo que proporciona a sus clientes un servicio de tecnologías de la información bajo demanda y de gran flexibilidad. Como consecuencia, el cliente (o contratista) puede desconocer la localización precisa de los datos que trata y no disponer de su control directo y de acceso, ni de su eliminación y portabilidad, ya que la información no está físicamente en su poder, aunque, si contiene datos personales, sí que es el responsable de ellos desde el punto de vista del Reglamento (UE) 2016/679.
En este entorno, pues, intervienen varios sujetos: el usuario o cliente (puede ser una administración pública) que contrata y utiliza los servicios de cloud computing o recursos informáticos a través de la red, y el proveedor, que es un tercero que proporciona estos servicios en la nube. Aparte de clientes y proveedores, pueden concurrir también otros sujetos (subcontratados), como los socios o partners del proveedor de cloud, que ofrecen y soportan servicios adicionales de valor añadido. En función de cómo sea este valor añadido, se puede hablar de diferentes modalidades de contratación por parte del cliente o usuario final: una solución de infraestructura como servicio o IaSS (capacidad de almacenamiento y proceso en bruto a través de la red y servidores de alojamiento web) cuando el valor añadido es nulo porque el usuario final debe construir las aplicaciones que necesita prácticamente desde cero; una solución de plataforma como servicio o PaSS, mediante la que se proporcionan utilidades para construir aplicaciones y desarrollar soluciones (bases de datos o entornos de programación, entre otros), o una solución de software como servicio o SaaS, cuando el usuario encuentra en la nube herramientas finales con las que puede implementar directamente los procesos que le interesan (una aplicación de contabilidad, de correo electrónico, un programa de gestión documental, etc.).
En consecuencia, puesto que los datos pueden estar en cualquier momento en cualquier lugar (data can be collected in Germany, stored in India and processed in the Unites States), pero los derechos y obligaciones relativos a los mismos deben garantizarse en todo caso, el RDL 14/2019 contiene varios mecanismos para evitar estas situaciones de incertidumbre y garantizar así la protección de los datos personales, como pueden ser la verificación por el contratista de las condiciones en que el proveedor debe prestar el servicio, incluyendo la solicitud de información sobre la ubicación del tratamiento, sobre la existencia de subcontratación y las políticas de seguridad que sigue, sobre los derechos de los usuarios y las obligaciones legales que se compromete a observar. Otros instrumentos también pueden facilitar dicho control, tales como la aplicación por parte del proveedor de la norma ISO/IEC 27018, de 29 de julio de 2014, sobre los requisitos para la protección de la información de identificación personal (PII) en sistemas cloud, de conformidad con los principios de privacidad en la norma ISO/IEC 29100, para entornos de trabajo con sistemas de almacenamiento en la nube.
Aun así, la aplicación de las cautelas previstas no siempre es fácil, tanto por las peculiaridades que se han descrito (el carácter dinámico y cambiante de la ubicación física de los datos) como porque puede haber falta de transparencia por parte del proveedor o un insuficiente control por parte del responsable (contratista). En este sentido, puesto que las reglas y controles en materia de transferencias internacionales de datos personales, a pesar de ser efectivas, pueden no ser suficientes cuando se trata de la prestación de servicios cloud, se ha considerado que una parte de la solución podría ser el desarrollo del European cloud computing centres or EU-based clouds para asegurar a los clientes que los datos personales se tratarán en el seno de la Unión Europea o en países con garantías adecuadas («The reform of the EU Data Protection Directive: the impact on business European Business Summit Brussels» SPEECH/11/349 de la Comisaría de Justicia de la Comisión Europea, de 18 de mayo de 2011, y, en este sentido, la iniciativa de la Comisión Europea The European Cloud Strategy 2012).
En este panorama, la limitación aprobada por el Real decreto-ley evitaría ya de entrada la deslocalización de los recursos fuera de la Unión Europea de todos los sujetos que intervienen, de forma directa o subcontratada, en la provisión de los servicios y la gestión de los sistemas de información objeto de la medida. Por tanto, resulta claro que el legislador estatal ha ido más allá del Reglamento (UE) 2016/679 y ha aprobado una limitación que, per se, ya facilita de entrada el control de los tratamientos de los datos personales afectados por los sistemas de identificación y firma electrónica que prevén los artículos 9.2.c y 10.2.c LPACAP, que favorece en su totalidad el cumplimiento del nivel de protección adecuado que otorgan las normas europeas y estatales.
Y ello hasta el punto de que difícilmente podrán tener lugar transferencias internacionales de datos en la gestión de estos sistemas si todos los recursos técnicos necesarios para la prestación del servicio han de estar localizados en el territorio europeo. En otras palabras, la prohibición general de deslocalización de las instalaciones es una medida más restrictiva que la regla aplicable a las transferencias internacionales de categorías especiales de datos que se recoge a continuación y que hemos examinado anteriormente, ya que es una restricción adicional que no permite ubicar sistemas en cloud de terceros países u organizaciones internacionales, incluso en los casos en que estos gocen de una decisión de adecuación o se trate de cumplir con una obligación internacional.
Ahora bien, dejando a un lado la defectuosa técnica legislativa utilizada, y por las mismas razones que hemos sostenido en el examen de la limitación de las transferencias internacionales, puede decirse que la limitación de localizar los recursos necesarios, en la medida en que comprende la totalidad del territorio de la Unión Europea, es legítima desde el punto de vista del derecho fundamental del artículo 18.4 CE y no es contraria al Reglamento (UE) 2016/679. Igualmente, ha sido dictada por el legislador sectorial estatal en desarrollo de las garantías del administrado y al amparo de las competencias previstas al artículo 149.1.18 CE.
No podemos sin embargo llegar a la misma conclusión respecto a la obligación de situar los recursos técnicos únicamente «en territorio español» la cual, según nuestra opinión, vulneraría los principios y las previsiones del citado Reglamento (UE) 2016/679 porque constituiría una medida innecesaria y desproporcionada, por mucho que se trate de proteger las categorías especiales de datos. Así, de dicha medida legal estatal resulta que los tratamientos de datos fuera de España quedarían prohibidos, equiparándose su régimen jurídico más al de una transferencia internacional que al que corresponde al espacio europeo. Recordemos que, precisamente, con la aplicación del Reglamento europeo se alcanza un nivel uniforme y elevado de protección de los derechos y libertades de las personas físicas con respecto al tratamiento de sus datos personales que permite eliminar los obstáculos a la circulación de datos personales en el territorio al que alcanza dicha norma.
Y, por tanto, es innecesaria porque el conjunto de estados de la Unión Europea que constituyen el ámbito de aplicación territorial del Reglamento (UE) 2016/679 están sometidos a prescripciones y garantías equivalentes, como resulta evidente e inmediato del hecho de formar parte del mismo ordenamiento jurídico y, consiguientemente, parece que ningún motivo podría avalar una medida que presupone una insuficiente cobertura, o la necesidad de una mayor protección, respecto del resto de estados miembros que forman parte de la Unión Europea. En el caso de España, cabe recordar que del artículo 93 CE se deriva que el ordenamiento estatal integra como derecho propio el derecho europeo en una posición jerárquica inmediatamente inferior a la Constitución y los tratados internacionales, y del cual son fuente superior los reglamentos comunitarios.
Y, además de innecesaria, cabe añadir que es una norma desproporcionada puesto que el resultado de su presunta adopción podría afectar al principio de libertad de establecimiento garantizado en los tratados originarios de la Unión Europea. Y ello sería así porque, tal como también lo hemos indicado, dicha regla limitaría de manera no razonable la libre competencia entre operadores económicos o empresas a la hora de competir en el conjunto del EEE, en la medida en que les fijaría una condición obstructiva y desmesurada de restricción de la ubicación de sus recursos ?circunscrita al territorio español? que les restaría libertad e incidiría en el principio de competencia en igualdad de condiciones.
En conclusión, los apartados uno y dos del artículo 3 RDL 14/2019, de 31 de octubre, en la obligación que incorporan en los artículos 9.3 y 10.3 LPACAP de situar los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de los artículos 9.2.c y 10.2.c LPACAP «en territorio español», así como la disposición transitoria primera, apartado 2 RDL 14/2019, cuando regula el régimen transitorio de dicha obligación, son contrarios a los principios del Reglamento (UE) 2016/679, respecto a la libre circulación de datos personales en el mercado interior (art. 1 y considerando 13).
Sentado lo anterior, creemos oportuno recordar al Gobierno que la contradicción de un reglamento europeo no puede dirimirse, en sentido estricto, en sede de la jurisdicción constitucional, por tratarse de un supuesto de legalidad ordinaria y selección del derecho aplicable, del que tiene última palabra la tiene el Tribunal de Justicia de la Unión Europea.
D) El apartado uno del artículo 4 RDL 14/2019 introduce un nuevo artículo 46 bis en la LRJSP, cuyo texto dice lo siguiente:
«Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deberán ubicarse y prestarse dentro del territorio de la Unión Europea.
Los datos a que se refiere el apartado anterior no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.»
Como puede constatarse, este precepto, dados su contenido y finalidad, contiene una serie de medidas equiparables a las examinadas en los apartados anteriores, si bien en este caso proyectadas sobre la Ley del régimen jurídico del sector público y otros sistemas de información y comunicación que gestionan habitualmente las administraciones públicas. En concreto, los relativos a los padrones municipales de habitantes y otros registros de población, los de datos fiscales relacionados con tributos propios o cedidos y los de datos de los usuarios del Sistema Nacional de Salud. Esto es: por una parte, se establece la regla general que no pueden efectuarse transferencias internacionales de los datos personales que tratan a menos que se hagan a terceros países que hayan sido objeto de una decisión de adecuación de la Comisión o que sean resultado del cumplimiento de una obligación internacional asumida por España.
Y, por otra parte, se incorpora también la limitación de la localización de los recursos «dentro del territorio de la Unión Europea», que se traduce nuevamente en la obligación de que dichos sistemas de información y comunicaciones, así como los correspondientes tratamientos de datos personales, deben ubicarse y prestarse dentro del territorio europeo. En este último caso, el precepto parece distinguir entre instalaciones físicas y tratamientos, aunque no lo esclarece, y aplica las mismas medidas a los datos relativos a la salud, que, como es sabido, son datos especiales, así como a otros datos que no lo son pero que, por la naturaleza de la información a la que afectan, el legislador estatal ha considerado que pueden someterse a unas condiciones o limitaciones específicas, teniendo en cuenta que también debe observarse lo establecido por la normativa sectorial aplicable.
Según lo indicado, las entidades del sector público deben adoptar las medidas necesarias para ubicar, o reubicar, en territorio europeo, los recursos que utilicen para gestionar directamente o a través de medios propios los sistemas de información y comunicaciones a que se refiere el artículo 46 bis, en el plazo de seis meses a partir de la entrada en vigor del Real decreto-ley (6 de mayo de 2020) (disp. trans. segunda, apdo. 1).
Cabe destacar que la principal diferencia con los artículos examinados en los apartados anteriores es que el nuevo artículo 46 bis LRJSP no prevé la restricción más intensa de la ubicación de los recursos en el territorio español sino que, como hemos dicho, exige que estén localizados dentro de la Unión Europea.
Y lo anterior pese a que dicha norma también comprende datos relativos a la salud (en este caso del Sistema Nacional de Salud), que hemos visto que sí que están sometidos a la citada obligación de localización en territorio español cuando son objeto de tratamiento por determinados sistemas de identificación y firma gestionados por las administraciones públicas. Además, el preámbulo, refiriéndose a este concreto artículo, justifica también la restricción territorial que se contiene «por motivos de seguridad pública», sin ulteriores explicaciones. Y, cuando se refiere a la regla sobre la transferencia internacional de datos, habla erróneamente de cesión de datos.
Sin embargo, al margen de estas observaciones críticas, pueden aplicarse al nuevo artículo 46 bis LRJSP las mismas consideraciones efectuadas respecto a la regla general de limitación de las transferencias internacionales, admitidas solo en casos de decisión de adecuación o cumplimiento de una obligación internacional asumida por España, y a la exigencia de situar los recursos en territorio europeo. En consecuencia, el apartado uno del artículo 4 RDL 14/2019 y la disposición transitoria segunda del RDL 14/2019 no vulneran las competencias de la Generalitat sobre régimen de las administraciones públicas ex artículo 159 EAC y encuentran amparo en el título competencial del artículo 149.1.18 CE.
E) El apartado dos del artículo 4 RDL 14/2019 da una nueva redacción al artículo 155 LRJSP, que establece que:
«1. De conformidad con lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y su normativa de desarrollo, cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad.
2. En ningún caso podrá procederse a un tratamiento ulterior de los datos para fines incompatibles con el fin para el cual se recogieron inicialmente los datos personales. De acuerdo con lo previsto en el artículo 5.1.b) del Reglamento (UE) 2016/679, no se considerará incompatible con los fines iniciales el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos.
3. Fuera del caso previsto en el apartado anterior y siempre que las leyes especiales aplicables a los respectivos tratamientos no prohíban expresamente el tratamiento ulterior de los datos para una finalidad distinta, cuando la Administración Pública cesionaria de los datos pretenda el tratamiento ulterior de los mismos para una finalidad que estime compatible con el fin inicial, deberá comunicarlo previamente a la Administración Pública cedente a los efectos de que esta pueda comprobar dicha compatibilidad. La Administración Pública cedente podrá, en el plazo de diez días oponerse motivadamente. Cuando la Administración cedente sea la Administración General del Estado podrá en este supuesto, excepcionalmente y de forma motivada, suspender la transmisión de datos por razones de seguridad nacional de forma cautelar por el tiempo estrictamente indispensable para su preservación. En tanto que la Administración Pública cedente no comunique su decisión a la cesionaria esta no podrá emplear los datos para la nueva finalidad pretendida.
Se exceptúan de lo dispuesto en el párrafo anterior los supuestos en que el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales esté previsto en una norma con rango de ley de conformidad con lo previsto en el artículo 23.1 del Reglamento (UE) 2016/679.»
En relación con este precepto, el solicitante alega que el régimen jurídico de carácter general para las comunicaciones de datos entre administraciones públicas comportaría una restricción desproporcionada de las competencias reconocidas a la Generalitat en materia de organización de su Administración y sobre régimen jurídico y procedimiento administrativo, en los términos previstos en los artículos 150 y 159 EAC.
Por su parte, el preámbulo del Real decreto-ley argumenta que el objetivo de la reforma es «permitir un mayor control de los datos cedidos entre Administraciones Públicas, al efecto de garantizar la adecuada utilización de los mismos» situando el precepto analizado en el contexto del Reglamento (UE) 2016/679 en cuanto a la regulación que efectúa de la licitud del tratamiento de los datos personales para finalidades diferentes de las inicialmente previstas (apdo. II, párrs. duodécimo y decimotercero). Y la disposición final primera, apartado 2, declara que dicho precepto ha sido dictado al amparo de los artículos 149.1.18 y .29 CE.
En este sentido, centrándonos en el ámbito sobre el que incide el artículo 155 LRJSP, ahora modificado, cabe recordar, muy sintéticamente, que según la norma europea, los datos que se han recogido para fines determinados, explícitos y legítimos, no pueden tratarse con posterioridad de forma incompatible con estos fines. Referente a ello, el Reglamento (UE) 2016/679 establece la presunción general de que son en todo caso actividades compatibles con otra anterior los tratamientos que tengan finalidades de archivo en interés público, de investigación científica e histórica o estadísticas, aunque están igualmente sometidos al cumplimiento de una serie de garantías adecuadas, como pueden ser el principio de minimización, anonimización o seudonimización (art. 5.1.b y 89.1 RGPD). Para determinar si el tratamiento posterior con distinto fin es o no compatible con el fin por el que se recogieron inicialmente los datos personales, la citada norma europea ofrece algunos elementos o criterios de valoración: entre otros aspectos, debe tenerse en cuenta el contexto en el que se recogieron estos datos o las expectativas razonables del interesado basadas en su relación con el responsable en cuanto al posterior uso de sus datos (art. 6.4 RGPD y considerando 50). En caso de que el interesado haya sido informado y haya dado su consentimiento explícito, esta comprobación no resulta necesaria.
Establecido lo anterior, los dos primeros apartados del artículo 155 LRJSP, según la redacción dada por el Real decreto-ley, trasladan dicha regulación europea al ámbito de las comunicaciones o transmisiones de datos entre administraciones públicas para el ejercicio de sus funciones, que presenta peculiaridades propias. Y lo hacen remitiéndose al Reglamento europeo, reproduciendo parcialmente sus previsiones (técnica legislativa que admite el considerando 8 RGPD a efectos de una mejor comprensión de la norma interna) y, complementariamente, estableciendo la obligación de que cada Administración debe facilitar el acceso del resto de administraciones públicas a los datos relativos a los interesados que tenga en su poder si bien mediante un procedimiento que asegure las máximas garantías de seguridad, integridad y disponibilidad.
Respecto al apartado 3, regula el procedimiento o trámite interadministrativo que permitirá valorar y comprobar si la finalidad ulterior a la que se quiere destinar los datos es o no compatible con la que inicialmente legitimó su tratamiento, estableciendo una obligación adicional de consulta a la Administración que comunica los datos. De este modo, la Administración destinataria de los datos, responsable del nuevo tratamiento, no podrá llevarlo a cabo (por más que lo considere compatible) hasta que, previamente, lo haya comunicado a la Administración que los recogió inicialmente, la cual puede comprobar que, efectivamente, se da la citada compatibilidad y, en caso contrario, puede oponerse en un plazo de diez días. Para dicha comprobación, tendrá en cuenta los criterios establecidos en el artículo 6.4 RGPD, que hemos mencionado anteriormente.
Seguidamente, el citado apartado 3, en aplicación de las previsiones del artículo 23.1 RGPD (y del propio art. 6.4), dispone que esta garantía o procedimiento interadministrativo de constatación de la finalidad compatible puede ser exceptuado cuando una norma con rango de ley establezca que el tratamiento para una finalidad diferente se fundamenta en una «medida necesaria y proporcional en una sociedad democrática». Así, según la remisión que se contiene en el mismo: para salvaguardar la seguridad del Estado, la defensa, la seguridad pública, la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, los objetivos de interés económico o financiero importantes (incluyendo los ámbitos fiscales, presupuestarios, monetarios, de sanidad pública y la seguridad social), el ejercicio de la autoridad pública, la protección de la independencia judicial, del interesado y de los derechos y libertades de los demás o la ejecución de demandas civiles.
De hecho, la propia norma objeto de dictamen incorpora una excepción a la regulación procedimental que prevé, cuando declara que la Administración general del Estado puede suspender la transmisión de los datos personales por «razones de seguridad nacional», si bien exige que dicha potestad de suspensión tenga carácter excepcional y cautelar y se adopte de manera motivada y por el tiempo estrictamente indispensable para la preservación de la mencionada seguridad.
Hasta aquí nos hallamos ante una regulación que se remite a la normativa europea respecto a los principios y condiciones generales para un tratamiento lícito de los datos, que transcribe parcialmente, a la vez que desarrolla otros aspectos concretos del derecho fundamental ex artículo 18.4 CE cuando se proyecta sobre el sector público. No estamos, por consiguiente, ante la regulación del contenido esencial del citado derecho fundamental sino de una norma sectorial dictada por el legislador estatal al amparo del artículo 149.1.18 CE, que determina las especificidades y garantías adecuadas para preservar los derechos y libertades de las personas titulares de los datos cuando estos son objeto de comunicación o transmisión entre las administraciones públicas, ya sea con el objetivo de facilitar el ejercicio de sus funciones y competencias propias, ya sea para hacer efectivos otros derechos de los administrados en este concreto ámbito material, como es el caso del artículo 28.2 LPACAP. Recordemos que este precepto otorga a los interesados el derecho a no aportar en un procedimiento administrativo los documentos que ya se encuentren en poder de la Administración ante la que actúa o que hayan sido elaborados por cualquier otra Administración pública.
Cabe decir que el propio precepto prevé como medida restrictiva la suspensión de la transmisión de los datos entre las administraciones implicadas cuando se trate de preservar otros objetivos de interés público, en concreto, la protección de la seguridad nacional (art. 149.1.29 CE). En este caso, consideramos que la seguridad nacional constituye un presupuesto habilitante cualificado que puede operar como excepción del régimen general de comunicación de datos entre administraciones públicas. Así, consideramos que este concepto, según la jurisprudencia constitucional reciente (STC 184/2016, de 3 de noviembre, FJ 3 y 4, y en el mismo sentido los DCGE 18/2015, FJ 3 y 4; 5/2017, FJ 2 y 3), se convierte en una submateria con unas notas de riesgo estructural, sistémico y global que superan la noción de la seguridad pública en un sentido ordinario, vinculada a la protección de personas y bienes. En el caso de la seguridad nacional, la potencial amenaza se conecta con la materia de defensa (art. 149.1.4 CE), concurrencia esta que nos remite a situaciones de crisis que podrían consistir en riesgos excepcionales de atentados terroristas o ciberataques a nivel internacional, por mencionar algunos ejemplos lo bastante reveladores. Y esta esfera, como resulta evidente, recae de manera clara e inmediata en el ámbito de la competencia exclusiva del Estado, en coordinación y cooperación, en el caso de Cataluña, como también es evidente, con las autoridades autonómicas catalanas y el cuerpo de Mossos d?Esquadra.
Por otro lado, la propia norma incorpora una serie de cautelas o garantías para delimitar dicha potestad estatal de suspensión, que es definida como excepcional: tendrá carácter cautelar y se adoptará de forma motivada y por el tiempo estrictamente indispensable para su preservación.
Así pues, por todo lo que se ha expuesto, entendemos, como en los supuestos examinados en apartados anteriores, que la norma no vulnera las competencias de la Administración de la Generalitat respecto al procedimiento y al régimen jurídico de las administraciones públicas previstas en el artículo 159.2 EAC.
En conclusión, el apartado dos del artículo 4 del Real decreto 14/2019, que da nueva redacción al artículo 155 LRJSP, se adecúa al Reglamento (UE) 2016/679 y no vulnera las competencias de la Generalitat respecto del régimen jurídico de las administraciones públicas ex artículo 159.1 y .2 EAC, puesto que encuentra amparo en los títulos competenciales del artículo 149.1.18 y .29 CE.
Vistos los razonamientos contenidos en los fundamentos jurídicos precedentes, formulamos las siguientes
CONCLUSIONES
Primera. El Real decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones y, en concreto, los artículos 1, 2, 3, 4, 6, 7, las disposiciones adicional única y transitorias primera y segunda y la disposición final primera, son contrarios al artículo 86.1 CE, porque no cumplen el requisito constitucional de la extraordinaria y urgente necesidad.
Adoptada por unanimidad.
Segunda. El artículo 3.uno y .dos del Real decreto-ley 14/2019, en la redacción que da a los artículos 9.2.c y 10.2.c de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, concretamente en el inciso «previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses. Sin perjuicio de la obligación de la Administración General del Estado de resolver en plazo, la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios», vulnera las competencias de la Generalitat del artículo 159 EAC y no encuentra amparo en el artículo 149.1.18 y .29 CE. Por conexión, la disposición transitoria primera, apartado 1, y la disposición final primera, apartado 2 del Real decreto-ley 14/2019 también las vulneran y tampoco encuentran amparo en los preceptos constitucionales citados.
Adoptada por unanimidad.
Tercera. El artículo 6.uno del Real decreto-ley 14/2019, en la redacción que da al primer párrafo del apartado 6 del artículo 4 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones, en cuanto a la facultad de «intervención» que atribuye al Estado, es inconstitucional porque vulnera el artículo 9.3 CE, ya que no cumple las exigencias de calidad normativa que debería observar una ley susceptible de producir injerencias en el ejercicio de los derechos fundamentales y las libertades públicas.
Adoptada por unanimidad.
Cuarta. El artículo 6.cinco del Real decreto-ley 14/2019, en la redacción que da al apartado 1 del artículo 81 de la Ley 9/2014, es inconstitucional porque vulnera el artículo 9.3 CE, ya que no cumple las exigencias de calidad normativa, tanto respecto a la incorporación de las garantías de los ciudadanos como a la previsibilidad de su aplicación.
Adoptada por unanimidad.
Quinta. El artículo 3.uno y .dos del Real decreto-ley 14/2019, en la obligación que incorpora a los artículos 9.3 y 10.3 de la Ley 39/2015, de situar «en territorio español» los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas previstos en los artículos 9.2.c y 10.2.c de la citada Ley, así como, por conexión, la disposición transitoria primera, apartado 2, del propio Real decreto-ley, son contrarios al principio de libre circulación de datos previsto en el artículo 1 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos y por el que se deroga la Directiva 95/46/CE.
Adoptada por unanimidad.
Sexta. El resto de preceptos examinados del Real decreto-ley 14/2019 no son contrarios al Estatuto ni a la Constitución.
Adoptada por unanimidad.
Este es nuestro Dictamen, que pronunciamos, emitimos y firmamos en el Palau Centelles en la fecha indicada en el encabezamiento.
Barcelona, 30 de diciembre de 2019
Àlex Bas Vilafranca
Consejero secretario
Joan Egea Fernàndez
Presidente
LIBROS Y CURSOS RELACIONADOS
Nuevas medidas de eficiencia digital y procesal en la Justicia. Paso a paso
Dpto. Documentación Iberley
12.75€
12.11€
+ Información
Una visión constitucional de la Ley Orgánica de Protección de la Seguridad Ciudadana
V.V.A.A
25.50€
24.23€
+ Información
Cuaderno n.º 1. Los derechos digitales y su regulación en España, la Unión Europea e Iberoamérica
Moisés Barrio Andrés
12.75€
12.11€
+ Información
Tratado de protección de datos personales
José Luis Domínguez Álvarez
29.75€
28.26€
+ Información
Derecho digital. Esquemas y casos prácticos para su estudio
V.V.A.A
26.35€
25.03€
+ Información