T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-10045)
Pleno. Sentencia 20/2023, de 23 de marzo de 2023. Conflicto positivo de competencia 5253-2021. Planteado por el Consejo de Gobierno de la Comunidad Autónoma del País Vasco, en relación con diversos preceptos del Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021, de 30 de marzo. Competencias sobre seguridad pública, autoorganización y régimen jurídico de las administraciones públicas: extinción del conflicto constitucional por pérdida sobrevenida de su objeto.
13 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Martes 25 de abril de 2023
Sec. TC. Pág. 57883
Descarta el Gobierno Vasco que la seguridad de los sistemas de identificación y
firma de los ciudadanos ante las administraciones públicas sea materia de seguridad
pública (art. 149.1.29 CE), dada la necesidad de interpretar de modo restrictivo el
aspecto material de la seguridad pública y de situar en el mismo de modo predominante
las organizaciones y los medios instrumentales, en especial, los cuerpos de seguridad a
que se refiere el art. 104 CE (STC 59/1985, de 6 de mayo, FJ 2 in fine). El Estado no
puede invocar de forma vacua la seguridad pública para arrogarse competencias de
control en las competencias de autoorganización vascas sobre su administración
electrónica, y en sentido análogo lo ha rechazado este tribunal en la STC 33/1982, sobre
seguridad alimentaria, o en la STC 313/1994, sobre seguridad industrial. Ambas
sentencias negaron la prevalencia del art. 149.1.29 CE.
Se añade, igualmente, que ni el Real Decreto-ley 14/2019 ni el reglamento
impugnado permiten deducir motivo alguno que justifique una intervención estatal,
amparada en este título, sobre la ordinaria actividad de las administraciones públicas
vascas en la autoorganización de su administración electrónica.
Una vez que se ha determinado que la materia de que se trata debe insertarse en el
art. 149.1.18 CE, la demanda denuncia que los controles establecidos por las normas
impugnadas suponen una vulneración del principio de autoorganización del art. 10.2
EAPV y del principio de autonomía de los arts. 2 y 137 CE, pues los informes y
autorizaciones estatales previstos en los preceptos impugnados conllevan, a la postre,
una posición jerárquica de control estatal sobre la actividad administrativa ordinaria de
las comunidades autónomas, no derivada de la propia Constitución o de previsiones
legales perfectamente legítimas (SSTC 215/2014 y 55/2018), teniendo carácter genérico
o indeterminado, en contra de lo que ha destacado el Tribunal Constitucional
[SSTC 154/2015, FJ 6 b), y 14/2018, FJ 10 c)]. Asimismo, es un control innecesario, al
existir normativa básica, dictada en virtud del art. 149.1.18 CE, sobre seguridad de los
sistemas públicos (esquema nacional de seguridad y las instrucciones técnicas de
seguridad), y desproporcionado, no solo por no justificar que existan medidas menos
restrictivas, sino por carecer de cualquier explicación.
Subsidiariamente, y para el caso de que se considere que estos controles se insertan
en el art. 149.1.29 CE, defiende la demanda que, con fundamento en el art. 17 EAPV, la
comunidad autónoma tiene competencias ejecutivas en materia de seguridad pública,
invocando al efecto la doctrina establecida, entre otras, en las SSTC 86/2014, FJ 4,
y 59/1985, FJ 2 in fine. Se aduce que, aunque las competencias en algunos aspectos
de la ciberseguridad fueran reconducidas a los títulos de la seguridad pública del
art. 149.1.29 CE o de las telecomunicaciones del art. 149.1.21 CE, ello no comporta que
el Estado pueda desarrollar funciones de ejecución excluyendo a las comunidades
autónomas. La Comunidad Autónoma del País Vasco tiene competencias de ejecución
en materia de seguridad sobre las redes y sistemas públicos, que han sido
expresamente reconocidas por el Estado. En tal sentido, se menciona la estrategia de
seguridad nacional de 2017, que constituye el marco de referencia para la política de
seguridad nacional, y que adopta una concepción amplia de la seguridad, en la que las
comunidades autónomas desempeñan un importante papel activo. Por su parte, la
estrategia de ciberseguridad nacional (2019), insiste aún más en el papel ejecutivo que
desempeñan las comunidades autónomas, contemplando que dispongan de sus CSIRT
(por sus siglas en inglés Computer Security Incident Response Team), con competencias
propias y con capacidad de reacción ante incidentes de seguridad, en el marco del Real
Decreto-ley 12/2018 y del Real Decreto 43/2021, y con multitud de servicios relacionados
con esta seguridad pública de los sistemas. Todo ello sin perjuicio de las funciones de
coordinación y colaboración entre todas ellas y con instancias estatales e
internacionales. Del mismo modo, a las comunidades autónomas se les reconocen
funciones ejecutivas en materia del art. 149.1.29 CE en la Ley 8/2011, de 28 de abril, por
la que se establecen medidas para la protección de las infraestructuras críticas.
En suma, una autorización y un informe de control como los que se imponen en los
preceptos impugnados, amparados en el art. 149.1.29 CE, relegan absolutamente las
cve: BOE-A-2023-10045
Verificable en https://www.boe.es
Núm. 98
Martes 25 de abril de 2023
Sec. TC. Pág. 57883
Descarta el Gobierno Vasco que la seguridad de los sistemas de identificación y
firma de los ciudadanos ante las administraciones públicas sea materia de seguridad
pública (art. 149.1.29 CE), dada la necesidad de interpretar de modo restrictivo el
aspecto material de la seguridad pública y de situar en el mismo de modo predominante
las organizaciones y los medios instrumentales, en especial, los cuerpos de seguridad a
que se refiere el art. 104 CE (STC 59/1985, de 6 de mayo, FJ 2 in fine). El Estado no
puede invocar de forma vacua la seguridad pública para arrogarse competencias de
control en las competencias de autoorganización vascas sobre su administración
electrónica, y en sentido análogo lo ha rechazado este tribunal en la STC 33/1982, sobre
seguridad alimentaria, o en la STC 313/1994, sobre seguridad industrial. Ambas
sentencias negaron la prevalencia del art. 149.1.29 CE.
Se añade, igualmente, que ni el Real Decreto-ley 14/2019 ni el reglamento
impugnado permiten deducir motivo alguno que justifique una intervención estatal,
amparada en este título, sobre la ordinaria actividad de las administraciones públicas
vascas en la autoorganización de su administración electrónica.
Una vez que se ha determinado que la materia de que se trata debe insertarse en el
art. 149.1.18 CE, la demanda denuncia que los controles establecidos por las normas
impugnadas suponen una vulneración del principio de autoorganización del art. 10.2
EAPV y del principio de autonomía de los arts. 2 y 137 CE, pues los informes y
autorizaciones estatales previstos en los preceptos impugnados conllevan, a la postre,
una posición jerárquica de control estatal sobre la actividad administrativa ordinaria de
las comunidades autónomas, no derivada de la propia Constitución o de previsiones
legales perfectamente legítimas (SSTC 215/2014 y 55/2018), teniendo carácter genérico
o indeterminado, en contra de lo que ha destacado el Tribunal Constitucional
[SSTC 154/2015, FJ 6 b), y 14/2018, FJ 10 c)]. Asimismo, es un control innecesario, al
existir normativa básica, dictada en virtud del art. 149.1.18 CE, sobre seguridad de los
sistemas públicos (esquema nacional de seguridad y las instrucciones técnicas de
seguridad), y desproporcionado, no solo por no justificar que existan medidas menos
restrictivas, sino por carecer de cualquier explicación.
Subsidiariamente, y para el caso de que se considere que estos controles se insertan
en el art. 149.1.29 CE, defiende la demanda que, con fundamento en el art. 17 EAPV, la
comunidad autónoma tiene competencias ejecutivas en materia de seguridad pública,
invocando al efecto la doctrina establecida, entre otras, en las SSTC 86/2014, FJ 4,
y 59/1985, FJ 2 in fine. Se aduce que, aunque las competencias en algunos aspectos
de la ciberseguridad fueran reconducidas a los títulos de la seguridad pública del
art. 149.1.29 CE o de las telecomunicaciones del art. 149.1.21 CE, ello no comporta que
el Estado pueda desarrollar funciones de ejecución excluyendo a las comunidades
autónomas. La Comunidad Autónoma del País Vasco tiene competencias de ejecución
en materia de seguridad sobre las redes y sistemas públicos, que han sido
expresamente reconocidas por el Estado. En tal sentido, se menciona la estrategia de
seguridad nacional de 2017, que constituye el marco de referencia para la política de
seguridad nacional, y que adopta una concepción amplia de la seguridad, en la que las
comunidades autónomas desempeñan un importante papel activo. Por su parte, la
estrategia de ciberseguridad nacional (2019), insiste aún más en el papel ejecutivo que
desempeñan las comunidades autónomas, contemplando que dispongan de sus CSIRT
(por sus siglas en inglés Computer Security Incident Response Team), con competencias
propias y con capacidad de reacción ante incidentes de seguridad, en el marco del Real
Decreto-ley 12/2018 y del Real Decreto 43/2021, y con multitud de servicios relacionados
con esta seguridad pública de los sistemas. Todo ello sin perjuicio de las funciones de
coordinación y colaboración entre todas ellas y con instancias estatales e
internacionales. Del mismo modo, a las comunidades autónomas se les reconocen
funciones ejecutivas en materia del art. 149.1.29 CE en la Ley 8/2011, de 28 de abril, por
la que se establecen medidas para la protección de las infraestructuras críticas.
En suma, una autorización y un informe de control como los que se imponen en los
preceptos impugnados, amparados en el art. 149.1.29 CE, relegan absolutamente las
cve: BOE-A-2023-10045
Verificable en https://www.boe.es
Núm. 98
