T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-10045)
Pleno. Sentencia 20/2023, de 23 de marzo de 2023. Conflicto positivo de competencia 5253-2021. Planteado por el Consejo de Gobierno de la Comunidad Autónoma del País Vasco, en relación con diversos preceptos del Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021, de 30 de marzo. Competencias sobre seguridad pública, autoorganización y régimen jurídico de las administraciones públicas: extinción del conflicto constitucional por pérdida sobrevenida de su objeto.
13 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Martes 25 de abril de 2023
Sec. TC. Pág. 57886
potestad, que únicamente aparece limitada por motivos de seguridad pública, titulo
competencial que habilita al Estado para establecer la cuestionada autorización.
Aduce que estas cuestiones fueron abordadas en la STC 55/2018, al referirse al
Reglamento (UE) 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio
de 2014, conocido como Reglamento eIDAS (acrónimo de su denominación en lengua
inglesa: Regulation on electronic identification and trust services for electronic
transactions in the internal market). Alude a los requisitos exigidos para la expedición de
un certificado cualificado conforme a la Ley 19/2003, de 19 de diciembre, de firma
electrónica, y recuerda que, en España, el organismo de supervisión es el Ministerio de
Asuntos Económicos y Transformación Digital, al que le corresponde, conforme al
Reglamento (UE) 914/2014, en cumplimiento de las medidas de seguridad, verificar si el
prestador de servicios de confianza y los servicios de confianza que presta cumplen los
requisitos establecidos en el citado reglamento, y, en su caso, la inclusión en la lista de
confianza prevista en su art. 22. Se refiere también a la exigencia que se impone a los
prestadores cualificados de superar las auditorías al menos cada veinticuatro meses.
Entiende el abogado del Estado que existe una amplia habilitación para que cada
administración pueda utilizar en su ámbito competencial sistemas de clave concertada y
otros. Añade que las indicadas exigencias de seguridad no se aplican a estos sistemas
de identificación que se prevén en los arts. 9.2 c) y 10.2 c) de la Ley 39/2015, y que
desarrollan los incisos aquí impugnados del reglamento aprobado por el Real
Decreto 203/2021, por lo que tales sistemas pasan a estar sujetos a una autorización
previa meramente de verificación de su seguridad por parte de la Secretaría General de
Administración Digital, previo informe de la Secretaría de Estado de Seguridad, y
siempre que se garantice un registro previo. La verificación trae causa de la necesidad
de salvaguardar la seguridad pública en el proceso de transformación digital de la
administración, que extiende el riesgo de ataques que impactan en la seguridad pública y
en la propia intimidad de los ciudadanos. Al respecto, la STC 55/2018 ya indicaba: «La
Ley 39/2015 tampoco impone los sistemas de identificación electrónica en las relaciones
del ciudadano con las administraciones públicas ni establece el régimen del registro
previo ni fija requisitos mínimos de seguridad».
Mediante la cita de la STC 142/2018, sostiene que «la ciberseguridad se incluye en
materias de competencia estatal en cuanto, al referirse a las necesarias acciones de
prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones
relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas
y el régimen general de telecomunicaciones», sin perjuicio de que las comunidades
autónomas puedan «dar una respuesta adecuada a las amenazas que puedan afectar a
las redes de comunicación electrónica y sistemas de información de las administraciones
públicas», que se circunscriben exclusivamente a las específicamente referidas al ámbito
del Gobierno y de la administración de la comunidad autónoma y su sector público
dependiente. Esto es, la competencia de las comunidades autónomas se entiende sin
perjuicio de la competencia exclusiva del Estado en materia de seguridad pública,
proyectada, en este caso, sobre la ciberseguridad aplicada a las bases del régimen
jurídico de la administración electrónica en el conjunto de las administraciones públicas.
De este modo, las competencias de las comunidades autónomas que la propia
STC 55/2018, de 24 de mayo, reconoce, no son incompatibles con la introducción de una
autorización previa de la Administración General del Estado cuyo objetivo es únicamente
verificar si el sistema validado tecnológicamente por parte de la administración u
organismo público de que se trate puede o no producir afecciones o riesgos a la
seguridad pública, de modo que, si así fuera y solo en este caso, la administración del
Estado, tras la evaluación de la Secretaría de Estado de Seguridad del Ministerio del
Interior, denegará la autorización con base en dichas consideraciones de seguridad
pública. La existencia de mínimos de seguridad por parte del Estado se infería ya de la
STC 55/2018, que habilitaba el establecimiento de determinadas condiciones o
requisitos, como una verificación de cumplimiento de un nivel mínimo común de
cve: BOE-A-2023-10045
Verificable en https://www.boe.es
Núm. 98
Martes 25 de abril de 2023
Sec. TC. Pág. 57886
potestad, que únicamente aparece limitada por motivos de seguridad pública, titulo
competencial que habilita al Estado para establecer la cuestionada autorización.
Aduce que estas cuestiones fueron abordadas en la STC 55/2018, al referirse al
Reglamento (UE) 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio
de 2014, conocido como Reglamento eIDAS (acrónimo de su denominación en lengua
inglesa: Regulation on electronic identification and trust services for electronic
transactions in the internal market). Alude a los requisitos exigidos para la expedición de
un certificado cualificado conforme a la Ley 19/2003, de 19 de diciembre, de firma
electrónica, y recuerda que, en España, el organismo de supervisión es el Ministerio de
Asuntos Económicos y Transformación Digital, al que le corresponde, conforme al
Reglamento (UE) 914/2014, en cumplimiento de las medidas de seguridad, verificar si el
prestador de servicios de confianza y los servicios de confianza que presta cumplen los
requisitos establecidos en el citado reglamento, y, en su caso, la inclusión en la lista de
confianza prevista en su art. 22. Se refiere también a la exigencia que se impone a los
prestadores cualificados de superar las auditorías al menos cada veinticuatro meses.
Entiende el abogado del Estado que existe una amplia habilitación para que cada
administración pueda utilizar en su ámbito competencial sistemas de clave concertada y
otros. Añade que las indicadas exigencias de seguridad no se aplican a estos sistemas
de identificación que se prevén en los arts. 9.2 c) y 10.2 c) de la Ley 39/2015, y que
desarrollan los incisos aquí impugnados del reglamento aprobado por el Real
Decreto 203/2021, por lo que tales sistemas pasan a estar sujetos a una autorización
previa meramente de verificación de su seguridad por parte de la Secretaría General de
Administración Digital, previo informe de la Secretaría de Estado de Seguridad, y
siempre que se garantice un registro previo. La verificación trae causa de la necesidad
de salvaguardar la seguridad pública en el proceso de transformación digital de la
administración, que extiende el riesgo de ataques que impactan en la seguridad pública y
en la propia intimidad de los ciudadanos. Al respecto, la STC 55/2018 ya indicaba: «La
Ley 39/2015 tampoco impone los sistemas de identificación electrónica en las relaciones
del ciudadano con las administraciones públicas ni establece el régimen del registro
previo ni fija requisitos mínimos de seguridad».
Mediante la cita de la STC 142/2018, sostiene que «la ciberseguridad se incluye en
materias de competencia estatal en cuanto, al referirse a las necesarias acciones de
prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones
relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas
y el régimen general de telecomunicaciones», sin perjuicio de que las comunidades
autónomas puedan «dar una respuesta adecuada a las amenazas que puedan afectar a
las redes de comunicación electrónica y sistemas de información de las administraciones
públicas», que se circunscriben exclusivamente a las específicamente referidas al ámbito
del Gobierno y de la administración de la comunidad autónoma y su sector público
dependiente. Esto es, la competencia de las comunidades autónomas se entiende sin
perjuicio de la competencia exclusiva del Estado en materia de seguridad pública,
proyectada, en este caso, sobre la ciberseguridad aplicada a las bases del régimen
jurídico de la administración electrónica en el conjunto de las administraciones públicas.
De este modo, las competencias de las comunidades autónomas que la propia
STC 55/2018, de 24 de mayo, reconoce, no son incompatibles con la introducción de una
autorización previa de la Administración General del Estado cuyo objetivo es únicamente
verificar si el sistema validado tecnológicamente por parte de la administración u
organismo público de que se trate puede o no producir afecciones o riesgos a la
seguridad pública, de modo que, si así fuera y solo en este caso, la administración del
Estado, tras la evaluación de la Secretaría de Estado de Seguridad del Ministerio del
Interior, denegará la autorización con base en dichas consideraciones de seguridad
pública. La existencia de mínimos de seguridad por parte del Estado se infería ya de la
STC 55/2018, que habilitaba el establecimiento de determinadas condiciones o
requisitos, como una verificación de cumplimiento de un nivel mínimo común de
cve: BOE-A-2023-10045
Verificable en https://www.boe.es
Núm. 98
