T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-8217)
Pleno. Sentencia 10/2023, de 23 de febrero de 2023. Recurso de inconstitucionalidad 718-2020. Interpuesto por el Gobierno de la Generalitat de Cataluña en relación con diversos preceptos del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Límites materiales de los decretos leyes: extinción parcial del proceso, constitucionalidad de los preceptos que modifican disposiciones legales relativas a la administración y firma electrónica e intervención, seguridad y disciplina de redes y servicios de comunicaciones.
45 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Viernes 31 de marzo de 2023
Sec. TC. Pág. 47803
b) Respecto de los artículos 3.1 y 2 (nueva redacción de los arts. 9.3 y 10.3
Ley 39/2015), y del art. 4 del Real Decreto-ley 14/2019, la demanda denuncia la
vulneración de las competencias autonómicas que deriva de la obligación de ubicación
de los sistemas de información y comunicaciones, de regulación de las transferencias de
datos a terceros países u organizaciones internacionales y de control de los datos
cedidos. Considera la recurrente que la regulación incorporada en el Real Decretoley 14/2019 es una alteración del sistema de cesión de datos en el ámbito de las
administraciones públicas que opera como una tutela que no se corresponde con el
sistema de distribución competencial, constituyendo una injerencia en la competencia de
la Generalitat de Cataluña en materia de organización prevista en los arts. 150 y 159
EAC para el desarrollo y ejecución de sus propias competencias.
Se entiende que la obligación de ubicar los sistemas de información en territorio de la
Unión Europea y especialmente en territorio español, restringe las competencias de la
Generalitat y es una medida contraria a las previsiones del Reglamento general de
protección de datos. Lo mismo sucede con las limitaciones de las transferencias de
datos a terceros países solo para los supuestos de decisión de adecuación de la
Comisión o cuando lo exija el cumplimiento de obligaciones internacionales. Por su
parte, la obligación de comunicar previamente a la administración cedente, cuando se
pretenda realizar un tratamiento ulterior de datos para que se pueda comprobar que no
sea para fines incompatibles para el cual se recogieron, se considera una medida de
control inconstitucional sobre la administración de la Generalitat de Cataluña.
(i) Por lo que se refiere a la obligación de ubicar los sistemas de información y
comunicaciones, el art. 3 del Real Decreto-ley 14/2019 añade un nuevo apartado tercero
para los supuestos de identificación de la letra c) de los arts. 9 y 10 de la Ley 39/2015,
incorporando la obligación de que los recursos técnicos necesarios para la recogida,
almacenamiento, tratamiento y gestión de los sistemas citados en dichos preceptos
deben encontrarse situados en el territorio de la Unión Europea. Esta obligación se
restringe al territorio español para el supuesto de tratamiento de categorías especiales
de datos a los que se refiere el art. 9 RGPD. Asimismo el art. 4 del Real Decretoley 14/2019 introduce un nuevo art. 46 bis en la Ley 40/2015, estableciendo la obligación
de ubicar y prestar dentro del territorio de la Unión Europea, los sistemas de información
y comunicaciones para la recogida, almacenamiento, procesamiento y gestión de
determinadas bases de datos como son el censo electoral, los padrones municipales de
habitantes y otros registros de población, datos fiscales relacionados con tributos propios
o cedidos y datos de los usuarios del Sistema Nacional de Salud, así como los
correspondientes tratamientos de datos personales.
Estas medidas contrastan con el objetivo del propio Reglamento general de
protección de datos en el sentido de garantizar un nivel uniforme y elevado de protección
de las personas físicas y eliminar obstáculos a la circulación de datos personales dentro
del territorio de la Unión, precisamente para que dicha regulación fuese equivalente en
todos los estados miembros. Por tanto, aquellas medidas que suponen un
fraccionamiento geográfico en la aplicación de este régimen jurídico, como son las
medidas incorporadas en el Real Decreto-ley 14/2019, son contrarias al derecho
comunitario, máxime cuando además no se conoce cuál es la justificación de dicha
norma. Estas medidas resultan extrañas por no constituir en sí mismas ninguna garantía
suplementaria del propio régimen al cual están sujetas, siendo en cambio restrictivas
para las administraciones públicas en su capacidad de organización de los servicios. El
Reglamento general de protección de datos al definir en la Unión Europea el ámbito de
aplicación territorial de la prestación de servicios en materia de protección de datos, ha
delimitado implícitamente también el ámbito en el que las administraciones públicas
pueden ejercer sus competencias para la organización de sus propios servicios. Una
restricción territorial del ámbito en el que pueden ubicarse los datos comporta, al mismo
tiempo, una vulneración del derecho europeo y una vulneración del ámbito competencial
autonómico para la organización de sus servicios y la ubicación de los datos personales
que gestionan.
cve: BOE-A-2023-8217
Verificable en https://www.boe.es
Núm. 77
Viernes 31 de marzo de 2023
Sec. TC. Pág. 47803
b) Respecto de los artículos 3.1 y 2 (nueva redacción de los arts. 9.3 y 10.3
Ley 39/2015), y del art. 4 del Real Decreto-ley 14/2019, la demanda denuncia la
vulneración de las competencias autonómicas que deriva de la obligación de ubicación
de los sistemas de información y comunicaciones, de regulación de las transferencias de
datos a terceros países u organizaciones internacionales y de control de los datos
cedidos. Considera la recurrente que la regulación incorporada en el Real Decretoley 14/2019 es una alteración del sistema de cesión de datos en el ámbito de las
administraciones públicas que opera como una tutela que no se corresponde con el
sistema de distribución competencial, constituyendo una injerencia en la competencia de
la Generalitat de Cataluña en materia de organización prevista en los arts. 150 y 159
EAC para el desarrollo y ejecución de sus propias competencias.
Se entiende que la obligación de ubicar los sistemas de información en territorio de la
Unión Europea y especialmente en territorio español, restringe las competencias de la
Generalitat y es una medida contraria a las previsiones del Reglamento general de
protección de datos. Lo mismo sucede con las limitaciones de las transferencias de
datos a terceros países solo para los supuestos de decisión de adecuación de la
Comisión o cuando lo exija el cumplimiento de obligaciones internacionales. Por su
parte, la obligación de comunicar previamente a la administración cedente, cuando se
pretenda realizar un tratamiento ulterior de datos para que se pueda comprobar que no
sea para fines incompatibles para el cual se recogieron, se considera una medida de
control inconstitucional sobre la administración de la Generalitat de Cataluña.
(i) Por lo que se refiere a la obligación de ubicar los sistemas de información y
comunicaciones, el art. 3 del Real Decreto-ley 14/2019 añade un nuevo apartado tercero
para los supuestos de identificación de la letra c) de los arts. 9 y 10 de la Ley 39/2015,
incorporando la obligación de que los recursos técnicos necesarios para la recogida,
almacenamiento, tratamiento y gestión de los sistemas citados en dichos preceptos
deben encontrarse situados en el territorio de la Unión Europea. Esta obligación se
restringe al territorio español para el supuesto de tratamiento de categorías especiales
de datos a los que se refiere el art. 9 RGPD. Asimismo el art. 4 del Real Decretoley 14/2019 introduce un nuevo art. 46 bis en la Ley 40/2015, estableciendo la obligación
de ubicar y prestar dentro del territorio de la Unión Europea, los sistemas de información
y comunicaciones para la recogida, almacenamiento, procesamiento y gestión de
determinadas bases de datos como son el censo electoral, los padrones municipales de
habitantes y otros registros de población, datos fiscales relacionados con tributos propios
o cedidos y datos de los usuarios del Sistema Nacional de Salud, así como los
correspondientes tratamientos de datos personales.
Estas medidas contrastan con el objetivo del propio Reglamento general de
protección de datos en el sentido de garantizar un nivel uniforme y elevado de protección
de las personas físicas y eliminar obstáculos a la circulación de datos personales dentro
del territorio de la Unión, precisamente para que dicha regulación fuese equivalente en
todos los estados miembros. Por tanto, aquellas medidas que suponen un
fraccionamiento geográfico en la aplicación de este régimen jurídico, como son las
medidas incorporadas en el Real Decreto-ley 14/2019, son contrarias al derecho
comunitario, máxime cuando además no se conoce cuál es la justificación de dicha
norma. Estas medidas resultan extrañas por no constituir en sí mismas ninguna garantía
suplementaria del propio régimen al cual están sujetas, siendo en cambio restrictivas
para las administraciones públicas en su capacidad de organización de los servicios. El
Reglamento general de protección de datos al definir en la Unión Europea el ámbito de
aplicación territorial de la prestación de servicios en materia de protección de datos, ha
delimitado implícitamente también el ámbito en el que las administraciones públicas
pueden ejercer sus competencias para la organización de sus propios servicios. Una
restricción territorial del ámbito en el que pueden ubicarse los datos comporta, al mismo
tiempo, una vulneración del derecho europeo y una vulneración del ámbito competencial
autonómico para la organización de sus servicios y la ubicación de los datos personales
que gestionan.
cve: BOE-A-2023-8217
Verificable en https://www.boe.es
Núm. 77
