T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-10045)
Pleno. Sentencia 20/2023, de 23 de marzo de 2023. Conflicto positivo de competencia 5253-2021. Planteado por el Consejo de Gobierno de la Comunidad Autónoma del País Vasco, en relación con diversos preceptos del Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021, de 30 de marzo. Competencias sobre seguridad pública, autoorganización y régimen jurídico de las administraciones públicas: extinción del conflicto constitucional por pérdida sobrevenida de su objeto.
13 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Martes 25 de abril de 2023
Sec. TC. Pág. 57882
razonabilidad con los objetivos perseguidos. Afirma el representante del Gobierno Vasco
que nos encontramos ante una intervención de la Administración General del Estado
absolutamente genérica e indeterminada y donde los preceptos cuestionados solo
indican que cabe la denegación exclusivamente «por motivos de seguridad pública». Y
entiende que la afirmación del título competencial tal y como se recoge en el
art. 149.1.29 CE (disposición final primera del Real Decreto 203/2021), aboca a una
absoluta falta de seguridad jurídica y, en su conjunto, supone la vulneración de la
competencia autonómica vasca en su capacidad de autoorganización (art. 10.2 del
Estatuto de Autonomía para el País Vasco: EAPV).
Se alega también que el marco competencial adecuado de los preceptos
impugnados se corresponde con el del art. 149.1.18 CE, al encontrarnos ante una
cuestión de organización y procedimiento de las administraciones públicas. Se trata de la
regulación de los sistemas de identificación y firma de los ciudadanos ante aquellas, en
donde la seguridad de estos sistemas se ve integrada como un aspecto más de su
diseño y configuración (STC 100/2019). En tal sentido, tras referirse al fundamento
jurídico 9 de la STC 55/2018, de 24 de mayo, sostiene que la STC 142/2018, de 20 de
diciembre, encuadró las políticas de ciberseguridad de las redes y sistemas de
información de la Generalitat de Cataluña en materia de administración electrónica en el
ámbito de la competencia autonómica de los arts. 150 y 159 EAC, y en el marco del
art. 149.1.18 CE.
Esa misma conclusión se alcanza, a juicio del Gobierno Vasco, a partir de la
contestación del Consejo de Ministros al requerimiento efectuado por el Consejo de
Gobierno demandante, donde se insiste en que esa autorización e informe tienen por
objetivo «únicamente verificar si el sistema validado tecnológicamente por parte de la
administración y organismo público del que se trate puede o no producir afecciones o
riesgos a la seguridad pública»; y también se deduce de la intervención de la ministra de
Economía y Empresa en funciones, señora Calviño Santamaría, en el debate de
convalidación del Real Decreto-ley 14/2019. Por esta razón, esta autorización previa y
este informe preceptivo constituyen controles de ciberseguridad del sistema de
identificación y firma que han de situarse en la materia régimen jurídico de las
administraciones públicas (art. 149.1.18 CE).
A continuación, se detiene en el análisis de la STC 142/2018, que definió la
ciberseguridad, como el «conjunto de herramientas, políticas, conceptos de seguridad,
salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones,
formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger
los activos de la organización y los usuarios en el ciberentorno» (FJ 4), por tanto, como
una materia transversal, no reconducible a un único título, y que «afecta a cuestiones
relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas
y el régimen general de telecomunicaciones». En relación con el pronunciamiento
referido a la Agencia de Ciberseguridad de Cataluña, indica la demanda que, según el
art. 2.2 de la Ley del Parlamento de Cataluña 15/2017, de 25 de julio, «tiene por objetivo
la ejecución de las políticas públicas en materia de ciberseguridad», y que la
mencionada sentencia abogó por la constitucionalidad de este precepto «entendido en el
sentido de que el objetivo que persigue la agencia [autonómica] se relaciona con la
necesidad de proteger las redes y sistemas de información de la administración de la
Generalitat y de su sector público y los de los particulares y otras administraciones
públicas que se relacionan por medios electrónicos con dicha administración, no es
contrario al orden constitucional de distribución de competencias» [FJ 7 b) i)]. Sostiene,
asimismo, que, en relación con la atribución a la Generalitat de la función de garantizar la
ciberseguridad en la prestación de los servicios de identificación electrónica y de
identidad, se validó su constitucionalidad [FJ 7 d)], al referirse a funciones circunscritas al
«ámbito del Gobierno y de la administración de la Generalitat y de su sector público
dependiente». De modo que se admitió la constitucionalidad de la garantía de la
ciberseguridad en la prestación de los servicios de identificación electrónica y de
identidad en los sistemas públicos circunscritos a la administración autonómica.
cve: BOE-A-2023-10045
Verificable en https://www.boe.es
Núm. 98
Martes 25 de abril de 2023
Sec. TC. Pág. 57882
razonabilidad con los objetivos perseguidos. Afirma el representante del Gobierno Vasco
que nos encontramos ante una intervención de la Administración General del Estado
absolutamente genérica e indeterminada y donde los preceptos cuestionados solo
indican que cabe la denegación exclusivamente «por motivos de seguridad pública». Y
entiende que la afirmación del título competencial tal y como se recoge en el
art. 149.1.29 CE (disposición final primera del Real Decreto 203/2021), aboca a una
absoluta falta de seguridad jurídica y, en su conjunto, supone la vulneración de la
competencia autonómica vasca en su capacidad de autoorganización (art. 10.2 del
Estatuto de Autonomía para el País Vasco: EAPV).
Se alega también que el marco competencial adecuado de los preceptos
impugnados se corresponde con el del art. 149.1.18 CE, al encontrarnos ante una
cuestión de organización y procedimiento de las administraciones públicas. Se trata de la
regulación de los sistemas de identificación y firma de los ciudadanos ante aquellas, en
donde la seguridad de estos sistemas se ve integrada como un aspecto más de su
diseño y configuración (STC 100/2019). En tal sentido, tras referirse al fundamento
jurídico 9 de la STC 55/2018, de 24 de mayo, sostiene que la STC 142/2018, de 20 de
diciembre, encuadró las políticas de ciberseguridad de las redes y sistemas de
información de la Generalitat de Cataluña en materia de administración electrónica en el
ámbito de la competencia autonómica de los arts. 150 y 159 EAC, y en el marco del
art. 149.1.18 CE.
Esa misma conclusión se alcanza, a juicio del Gobierno Vasco, a partir de la
contestación del Consejo de Ministros al requerimiento efectuado por el Consejo de
Gobierno demandante, donde se insiste en que esa autorización e informe tienen por
objetivo «únicamente verificar si el sistema validado tecnológicamente por parte de la
administración y organismo público del que se trate puede o no producir afecciones o
riesgos a la seguridad pública»; y también se deduce de la intervención de la ministra de
Economía y Empresa en funciones, señora Calviño Santamaría, en el debate de
convalidación del Real Decreto-ley 14/2019. Por esta razón, esta autorización previa y
este informe preceptivo constituyen controles de ciberseguridad del sistema de
identificación y firma que han de situarse en la materia régimen jurídico de las
administraciones públicas (art. 149.1.18 CE).
A continuación, se detiene en el análisis de la STC 142/2018, que definió la
ciberseguridad, como el «conjunto de herramientas, políticas, conceptos de seguridad,
salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones,
formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger
los activos de la organización y los usuarios en el ciberentorno» (FJ 4), por tanto, como
una materia transversal, no reconducible a un único título, y que «afecta a cuestiones
relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas
y el régimen general de telecomunicaciones». En relación con el pronunciamiento
referido a la Agencia de Ciberseguridad de Cataluña, indica la demanda que, según el
art. 2.2 de la Ley del Parlamento de Cataluña 15/2017, de 25 de julio, «tiene por objetivo
la ejecución de las políticas públicas en materia de ciberseguridad», y que la
mencionada sentencia abogó por la constitucionalidad de este precepto «entendido en el
sentido de que el objetivo que persigue la agencia [autonómica] se relaciona con la
necesidad de proteger las redes y sistemas de información de la administración de la
Generalitat y de su sector público y los de los particulares y otras administraciones
públicas que se relacionan por medios electrónicos con dicha administración, no es
contrario al orden constitucional de distribución de competencias» [FJ 7 b) i)]. Sostiene,
asimismo, que, en relación con la atribución a la Generalitat de la función de garantizar la
ciberseguridad en la prestación de los servicios de identificación electrónica y de
identidad, se validó su constitucionalidad [FJ 7 d)], al referirse a funciones circunscritas al
«ámbito del Gobierno y de la administración de la Generalitat y de su sector público
dependiente». De modo que se admitió la constitucionalidad de la garantía de la
ciberseguridad en la prestación de los servicios de identificación electrónica y de
identidad en los sistemas públicos circunscritos a la administración autonómica.
cve: BOE-A-2023-10045
Verificable en https://www.boe.es
Núm. 98
