T.C. Sección del Tribunal Constitucional. TRIBUNAL CONSTITUCIONAL. Sentencias. (BOE-A-2023-14928)
Pleno. Sentencia 60/2023, de 24 de mayo de 2023. Recurso de inconstitucionalidad 762-2020. Interpuesto por el Parlamento de Cataluña en relación con diversos preceptos del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Límites materiales de los decretos leyes: pérdida parcial de objeto del proceso, concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad y prohibición de tecnologías de registro distribuido en los sistemas de identificación y firma que no vulnera la competencia autonómica de autoorganización (STC 10/2023).
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Sábado 24 de junio de 2023
Sec. TC. Pág. 89169
impugnados, es decir, las medidas de prevención como urgente respuesta a los riesgos
que se describen y que legitiman la intervención del legislador de urgencia. Lo mismo
sucede con el art. 7, respecto al esquema de seguridad allí previsto.
c) A continuación, plantea la cuestión del encuadramiento competencial de la
norma impugnada, aludiendo a su disposición final primera y a la propia parte expositiva
del Real Decreto-ley 14/2019, e indicando que debe hacerse referencia particular a la
ciberseguridad como materia incardinada en la competencia estatal sobre seguridad
pública del artículo 149.1.29 CE. A juicio del abogado del Estado, ese es el título
competencial prevalente. A tales efectos, transcribe sin citarla partes de la
fundamentación jurídica de la STC 142/2018, de 20 de diciembre, y señala que se trata
de medidas para hacer frente a cuestiones que exceden del ámbito territorial de
Cataluña y que no pueden afrontarse desde las medidas de autoprotección que, para el
ejercicio de su potestad de autoorganización, pueda desarrollar la comunidad autónoma.
El abogado del Estado destaca que el recurso del Parlamento de Cataluña considera en
su argumentación que el título competencial prevalente es el art. 149.1.18 CE, para
luego entender vulnerados los arts. 150 y 159 EAC. Sin embargo, las medidas de
prevención adoptadas en el ejercicio de la competencia estatal en materia de seguridad
pública están vinculadas por el Real Decreto-ley 14/2019 al interés general y tienen por
finalidad proporcionar al Estado la capacidad de reacción ante situaciones que afecten a
la seguridad nacional y al orden público. Se alude a la doctrina de la STC 142/2018 en la
que, según el abogado del Estado, se reconoce que la creación, diseño y mantenimiento
de una infraestructura de administración electrónica se integra en la potestad autonómica
de autoorganización pero, al mismo tiempo, se postula su posible afectación a la
seguridad pública y a la seguridad nacional. Enmarcados en estos términos la referencia
al art. 149.1.29 CE y a la competencia estatal sobre seguridad pública y ciberseguridad
en su relación con la competencia autonómica de autoorganización, examina los
preceptos impugnados.
B) Respecto del art. 3 analiza, en primer lugar, la exigencia de previa autorización
estatal para la utilización de determinados sistemas de identificación y firma, autorización
estatal que solo se produce por motivos de seguridad pública vinculados a la
ciberseguridad. El abogado del Estado alude a los diferentes sistemas previstos en el
Reglamento eIDAS, señalando que determinadas exigencias de seguridad no se aplican
a los sistemas de identificación que se despliegan conforme a lo previsto en el
artículo 9.2 c) y 10.2 c) de la Ley 39/2015, por lo que tales sistemas pasan a estar
sujetos a una autorización previa meramente de verificación de su seguridad.
La verificación trae causa de la necesidad de salvaguardar la seguridad pública en el
proceso de transformación digital de la administración, que extiende el riesgo de ataques
que impactan en la seguridad pública y en la propia intimidad de los ciudadanos.
La competencia autonómica para autoorganizar la ciberseguridad de sus sistemas de
administración electrónica se entiende sin perjuicio de la competencia exclusiva del
Estado en materia de seguridad pública, proyectada en este caso sobre la
ciberseguridad aplicada a las bases del régimen jurídico de la administración electrónica
en el conjunto de las administraciones públicas. Se trata de una medida perfectamente
coherente con la doctrina constitucional establecida en la STC 55/2018, de forma que,
cumpliendo una función típica de las normas de procedimiento administrativo común, se
garantiza un «tratamiento común de los administrados ante todas las administraciones
públicas».
Por otra parte, el abogado del Estado considera que el art. 3.3 del real decreto-ley
restringe provisionalmente el uso de los sistemas de identificación basados en
tecnologías de registro distribuido y los sistemas de firma basados en los anteriores,
pero únicamente mientras no haya un marco regulatorio ad hoc de carácter estatal o
europeo que haga frente a las debilidades que implica su uso para los datos y la
seguridad pública. Con la medida prevista en el real decreto-ley se pretende, de forma
cautelar y temporal, suspender la posibilidad de implantar esta tecnología en el ámbito
de la identificación y firma electrónicas ante las administraciones públicas, hasta que se
cve: BOE-A-2023-14928
Verificable en https://www.boe.es
Núm. 150
Sábado 24 de junio de 2023
Sec. TC. Pág. 89169
impugnados, es decir, las medidas de prevención como urgente respuesta a los riesgos
que se describen y que legitiman la intervención del legislador de urgencia. Lo mismo
sucede con el art. 7, respecto al esquema de seguridad allí previsto.
c) A continuación, plantea la cuestión del encuadramiento competencial de la
norma impugnada, aludiendo a su disposición final primera y a la propia parte expositiva
del Real Decreto-ley 14/2019, e indicando que debe hacerse referencia particular a la
ciberseguridad como materia incardinada en la competencia estatal sobre seguridad
pública del artículo 149.1.29 CE. A juicio del abogado del Estado, ese es el título
competencial prevalente. A tales efectos, transcribe sin citarla partes de la
fundamentación jurídica de la STC 142/2018, de 20 de diciembre, y señala que se trata
de medidas para hacer frente a cuestiones que exceden del ámbito territorial de
Cataluña y que no pueden afrontarse desde las medidas de autoprotección que, para el
ejercicio de su potestad de autoorganización, pueda desarrollar la comunidad autónoma.
El abogado del Estado destaca que el recurso del Parlamento de Cataluña considera en
su argumentación que el título competencial prevalente es el art. 149.1.18 CE, para
luego entender vulnerados los arts. 150 y 159 EAC. Sin embargo, las medidas de
prevención adoptadas en el ejercicio de la competencia estatal en materia de seguridad
pública están vinculadas por el Real Decreto-ley 14/2019 al interés general y tienen por
finalidad proporcionar al Estado la capacidad de reacción ante situaciones que afecten a
la seguridad nacional y al orden público. Se alude a la doctrina de la STC 142/2018 en la
que, según el abogado del Estado, se reconoce que la creación, diseño y mantenimiento
de una infraestructura de administración electrónica se integra en la potestad autonómica
de autoorganización pero, al mismo tiempo, se postula su posible afectación a la
seguridad pública y a la seguridad nacional. Enmarcados en estos términos la referencia
al art. 149.1.29 CE y a la competencia estatal sobre seguridad pública y ciberseguridad
en su relación con la competencia autonómica de autoorganización, examina los
preceptos impugnados.
B) Respecto del art. 3 analiza, en primer lugar, la exigencia de previa autorización
estatal para la utilización de determinados sistemas de identificación y firma, autorización
estatal que solo se produce por motivos de seguridad pública vinculados a la
ciberseguridad. El abogado del Estado alude a los diferentes sistemas previstos en el
Reglamento eIDAS, señalando que determinadas exigencias de seguridad no se aplican
a los sistemas de identificación que se despliegan conforme a lo previsto en el
artículo 9.2 c) y 10.2 c) de la Ley 39/2015, por lo que tales sistemas pasan a estar
sujetos a una autorización previa meramente de verificación de su seguridad.
La verificación trae causa de la necesidad de salvaguardar la seguridad pública en el
proceso de transformación digital de la administración, que extiende el riesgo de ataques
que impactan en la seguridad pública y en la propia intimidad de los ciudadanos.
La competencia autonómica para autoorganizar la ciberseguridad de sus sistemas de
administración electrónica se entiende sin perjuicio de la competencia exclusiva del
Estado en materia de seguridad pública, proyectada en este caso sobre la
ciberseguridad aplicada a las bases del régimen jurídico de la administración electrónica
en el conjunto de las administraciones públicas. Se trata de una medida perfectamente
coherente con la doctrina constitucional establecida en la STC 55/2018, de forma que,
cumpliendo una función típica de las normas de procedimiento administrativo común, se
garantiza un «tratamiento común de los administrados ante todas las administraciones
públicas».
Por otra parte, el abogado del Estado considera que el art. 3.3 del real decreto-ley
restringe provisionalmente el uso de los sistemas de identificación basados en
tecnologías de registro distribuido y los sistemas de firma basados en los anteriores,
pero únicamente mientras no haya un marco regulatorio ad hoc de carácter estatal o
europeo que haga frente a las debilidades que implica su uso para los datos y la
seguridad pública. Con la medida prevista en el real decreto-ley se pretende, de forma
cautelar y temporal, suspender la posibilidad de implantar esta tecnología en el ámbito
de la identificación y firma electrónicas ante las administraciones públicas, hasta que se
cve: BOE-A-2023-14928
Verificable en https://www.boe.es
Núm. 150
