T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-12078)
Pleno. Sentencia 36/2023, de 19 de abril de 2023. Recurso de inconstitucionalidad 1220-2021. Interpuesto por el Consejo de Gobierno de la Comunidad Autónoma del País Vasco en relación con diversos preceptos del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Límites materiales de los decretos leyes: pérdida parcial de objeto del proceso, concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad y prohibición de tecnologías de registro distribuido en los sistemas de identificación y firma que no vulnera la competencia autonómica de autoorganización (STC 10/2023); no afectación al secreto de las comunicaciones ni a las libertades de expresión e información.
13 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Lunes 22 de mayo de 2023
Sec. TC. Pág. 70722
seguridad nacional. Enmarcados en estos términos la referencia al art. 149.1.29 CE y la
competencia estatal sobre seguridad pública y ciberseguridad en su relación con la
competencia autonómica de autoorganización, procede el examen concreto de los
preceptos impugnados.
a) Respecto al art. 3 del Real Decreto-ley 14/2019, el abogado del Estado se refiere
en primer lugar a las medidas en materia de identificación electrónica ante las
administraciones públicas. Alude a los diferentes sistemas previstos en el Reglamento
(UE) núm. 910/2014, del Parlamento europeo y del Consejo, de 23 de julio de 2014,
conocido como Reglamento eIDAS, señalando que determinadas exigencias de
seguridad no se aplican a los sistemas de identificación que se despliegan conforme a lo
previsto en los arts. 9.2 c) y 10.2 c) de la Ley 39/2015, por lo que tales sistemas pasan a
estar sujetos a una autorización previa de verificación de su seguridad.
La verificación trae causa de la necesidad de salvaguardar la seguridad pública en el
proceso de transformación digital de la administración, que extiende el riesgo de ataques
que impactan en la seguridad pública y en la propia intimidad de los ciudadanos. La
competencia autonómica para autoorganizar la ciberseguridad de sus sistemas de
administración electrónica se entiende sin perjuicio de la competencia exclusiva del
Estado en materia de seguridad pública, proyectada en este caso sobre la
ciberseguridad aplicada a las bases del régimen jurídico de la administración electrónica
en el conjunto de las administraciones públicas. Se trata de una medida perfectamente
coherente con la doctrina constitucional establecida en la STC 55/2018, de forma que
cumpliendo una función típica de las normas de procedimiento administrativo común, se
garantiza un «tratamiento común de los administrados ante todas las administraciones
públicas», salvaguardando su ciberseguridad con un criterio transversal de seguridad
pública aplicado a determinados casos y sin afectar en modo alguno los amplios
márgenes de autoorganización de las administraciones públicas. Las diferentes
administraciones públicas pueden seguir aceptando los sistemas de identificación
electrónica que estimen convenientes, una vez garantizada su seguridad. Lo
anteriormente expuesto es de aplicación a los sistemas de firma electrónica admitidos en
las relaciones con las administraciones públicas (arts. 10.4 y 10.5 de la Ley 39/2015).
En conclusión, los artículos 9.2 c) y 10.2 c) son un ejercicio de la libertad de
configuración legislativa constitucionalmente garantizada, que se basa en la competencia
exclusiva del Estado sobre seguridad pública reflejada en el artículo 149.1.19 CE y que
no desborda los límites del artículo 149.1.18 CE, garantiza un tratamiento común de los
administrados y, por tanto, no invade las competencias autonómicas en materia de
organización y procedimientos administrativos.
Por otra parte, la nueva disposición adicional sexta se limita a restringir
provisionalmente el uso de los sistemas de identificación basados en tecnologías de
registro distribuido y los sistemas de firma basados en los anteriores como sistema de
identificación y firma de los interesados cuando se interrelacionan con la administración
pero únicamente mientras no haya un marco regulatorio ad hoc de carácter estatal o
europeo que haga frente a las debilidades que implica su uso para los datos y la
seguridad pública.
Con la medida prevista en el real decreto-ley se pretende, de forma cautelar y
temporal, suspender la posibilidad de implantar esta tecnología en el ámbito de la
identificación y firma electrónicas ante las administraciones públicas, hasta que en el
marco de la Unión Europea se produzcan desarrollos legislativos al efecto, que
permitirán proceder a su eventual implantación, cuando las condiciones de seguridad,
interoperabilidad y protección de derechos se encuentren oportunamente definidas y
acordadas.
b) Acerca de la regulación sobre la ubicación de determinadas bases de datos
prevista en el art. 3.1, que introduce un nuevo apartado tercero en el art. 9 de la
Ley 39/2015, el abogado del Estado indica que la obligación de localización de los
recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de
los sistemas de identificación del art. 9.2 c) y de firma del art. 10.2 c) de la Ley 39/2015
cve: BOE-A-2023-12078
Verificable en https://www.boe.es
Núm. 121
Lunes 22 de mayo de 2023
Sec. TC. Pág. 70722
seguridad nacional. Enmarcados en estos términos la referencia al art. 149.1.29 CE y la
competencia estatal sobre seguridad pública y ciberseguridad en su relación con la
competencia autonómica de autoorganización, procede el examen concreto de los
preceptos impugnados.
a) Respecto al art. 3 del Real Decreto-ley 14/2019, el abogado del Estado se refiere
en primer lugar a las medidas en materia de identificación electrónica ante las
administraciones públicas. Alude a los diferentes sistemas previstos en el Reglamento
(UE) núm. 910/2014, del Parlamento europeo y del Consejo, de 23 de julio de 2014,
conocido como Reglamento eIDAS, señalando que determinadas exigencias de
seguridad no se aplican a los sistemas de identificación que se despliegan conforme a lo
previsto en los arts. 9.2 c) y 10.2 c) de la Ley 39/2015, por lo que tales sistemas pasan a
estar sujetos a una autorización previa de verificación de su seguridad.
La verificación trae causa de la necesidad de salvaguardar la seguridad pública en el
proceso de transformación digital de la administración, que extiende el riesgo de ataques
que impactan en la seguridad pública y en la propia intimidad de los ciudadanos. La
competencia autonómica para autoorganizar la ciberseguridad de sus sistemas de
administración electrónica se entiende sin perjuicio de la competencia exclusiva del
Estado en materia de seguridad pública, proyectada en este caso sobre la
ciberseguridad aplicada a las bases del régimen jurídico de la administración electrónica
en el conjunto de las administraciones públicas. Se trata de una medida perfectamente
coherente con la doctrina constitucional establecida en la STC 55/2018, de forma que
cumpliendo una función típica de las normas de procedimiento administrativo común, se
garantiza un «tratamiento común de los administrados ante todas las administraciones
públicas», salvaguardando su ciberseguridad con un criterio transversal de seguridad
pública aplicado a determinados casos y sin afectar en modo alguno los amplios
márgenes de autoorganización de las administraciones públicas. Las diferentes
administraciones públicas pueden seguir aceptando los sistemas de identificación
electrónica que estimen convenientes, una vez garantizada su seguridad. Lo
anteriormente expuesto es de aplicación a los sistemas de firma electrónica admitidos en
las relaciones con las administraciones públicas (arts. 10.4 y 10.5 de la Ley 39/2015).
En conclusión, los artículos 9.2 c) y 10.2 c) son un ejercicio de la libertad de
configuración legislativa constitucionalmente garantizada, que se basa en la competencia
exclusiva del Estado sobre seguridad pública reflejada en el artículo 149.1.19 CE y que
no desborda los límites del artículo 149.1.18 CE, garantiza un tratamiento común de los
administrados y, por tanto, no invade las competencias autonómicas en materia de
organización y procedimientos administrativos.
Por otra parte, la nueva disposición adicional sexta se limita a restringir
provisionalmente el uso de los sistemas de identificación basados en tecnologías de
registro distribuido y los sistemas de firma basados en los anteriores como sistema de
identificación y firma de los interesados cuando se interrelacionan con la administración
pero únicamente mientras no haya un marco regulatorio ad hoc de carácter estatal o
europeo que haga frente a las debilidades que implica su uso para los datos y la
seguridad pública.
Con la medida prevista en el real decreto-ley se pretende, de forma cautelar y
temporal, suspender la posibilidad de implantar esta tecnología en el ámbito de la
identificación y firma electrónicas ante las administraciones públicas, hasta que en el
marco de la Unión Europea se produzcan desarrollos legislativos al efecto, que
permitirán proceder a su eventual implantación, cuando las condiciones de seguridad,
interoperabilidad y protección de derechos se encuentren oportunamente definidas y
acordadas.
b) Acerca de la regulación sobre la ubicación de determinadas bases de datos
prevista en el art. 3.1, que introduce un nuevo apartado tercero en el art. 9 de la
Ley 39/2015, el abogado del Estado indica que la obligación de localización de los
recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de
los sistemas de identificación del art. 9.2 c) y de firma del art. 10.2 c) de la Ley 39/2015
cve: BOE-A-2023-12078
Verificable en https://www.boe.es
Núm. 121
