Agencia Estatal Boletín Oficial del Estado

La Comisión Permanente del Consejo de Estado, en sesión celebrada el día 26 de octubre de 2017, , emitió, por unanimidad, el siguiente dictamen:

"En cumplimiento de una Orden de V. E. de 2 de octubre de 2017, con registro de entrada el día 5 siguiente, el Consejo de Estado ha examinado el expediente relativo a la interposición de recurso de inconstitucionalidad en relación con la Ley del Parlamento de Cataluña 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.

De antecedentes resulta:

PRIMERO.- En el Diario Oficial de la Generalidad de Cataluña de 31 de julio de 2017 fue publicada la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña. Consta de un preámbulo, once artículos agrupados en cuatro capítulos, dos disposiciones adicionales, una disposición transitoria y cinco disposiciones finales.

El preámbulo comienza señalando que la sociedad de la información se configura como una plataforma global para la libre circulación de la información, las ideas y el conocimiento, y que los poderes públicos apuestan por su implantación, al configurarse las tecnologías de la información y la comunicación (TIC) como elementos esenciales para el actual desarrollo económico y la convivencia social.

Advierte, sin embargo, acerca de la existencia de amenazas que afectan a su desarrollo y ponen en peligro su seguridad y de actividades organizadas en la red con el objetivo de perjudicar las acciones y servicios públicos de gobiernos y empresas privadas. En relación con ello, pone de manifiesto "la beligerancia de las actuaciones en la red dirigidas hacia Cataluña, en general, y, concretamente, hacia la Administración de la Generalidad y sus servicios públicos", lo que hace necesario "abordar una actuación decidida para la protección de la información, las infraestructuras y los intereses de la Generalidad y de las personas e instituciones públicas y privadas de Cataluña".

Destaca la necesidad de garantizar la protección de los servicios básicos para la ciudadanía y de velar por su ciberseguridad, mencionando como uno de los objetivos del servicio público de ciberseguridad la investigación de los ciberataques en el ámbito de sus competencias, a fin de asegurar la tutela de las personas públicas y privadas en el territorio de Cataluña y la coordinación con los cuerpos de seguridad cuando puedan producirse conductas ilícitas.

Todo ello justifica la creación de un organismo que vele por el cumplimiento de las funciones del servicio público de ciberseguridad y permita aumentar el nivel de seguridad de las redes y los sistemas de información de Cataluña, lo que a su vez supone la disolución del Centro de Seguridad de la Información de Cataluña (Cesicat), entidad sin ánimo de lucro dedicada al establecimiento y seguimiento de los programas y planes de actuación necesarios para garantizar una sociedad de la información segura que, sin embargo, no puede, por su forma jurídica, ejercer las funciones ni prestar el servicio público de ciberseguridad.

Se crea así la Agencia de Ciberseguridad de Cataluña como entidad de derecho público con personalidad jurídica propia y sometida al derecho privado, a la que corresponde desarrollar y liderar el servicio público de ciberseguridad necesario para la protección del territorio de Cataluña, gestionar los incidentes de carácter global que afecten a Cataluña y a sus instituciones y coordinar los esfuerzos de los diferentes equipos que puedan tener conocimiento de ellos.

Finalmente y tras mencionar los títulos competenciales en los que se ampara la Ley (artículos 150, 140.7, 121.1.a), 53 y 49 del Estatuto de Autonomía), el preámbulo explica que su aprobación responde también a la necesidad de dar cumplimiento a la Moción 75/X, de 13 de febrero de 2014, sobre las políticas de impulso de las tecnologías de la información y de la comunicación, y a la Resolución 535/X, de 19 de febrero de 2014, sobre la modificación de los estatutos del Centro de Seguridad de la Información de Cataluña.

Por lo que se refiere a la parte dispositiva, la integran, según se ha avanzado, once artículos, agrupados en cuatro capítulos, y una parte final.

El capítulo I recoge las "disposiciones generales" y comprende los artículos 1 y 2, en los que se crea la Agencia de Ciberseguridad de Cataluña, se regulan su naturaleza jurídica y el régimen que se le aplica y se definen su objeto y sus funciones.

El capítulo II versa sobre la "estructura orgánica", que queda establecida en los artículos 3 a 6. El primero de ellos declara que son órganos de gobierno de la Agencia el Consejo de Administración, al que se dedica el artículo 4, y la Dirección, de la que se ocupa el artículo 5, refiriéndose el artículo 6 a los estatutos.

El capítulo III disciplina el "régimen económico y financiero, de contratación, de personal y de control", cuestiones que se rigen por lo dispuesto en los artículos 7 a 10, respectivamente.

Finalmente, el capítulo IV regula la "relación con el departamento de adscripción". En él se incluye el artículo 11, relativo al "contrato programa". Por lo que se refiere a la parte final, la integran, en primer lugar, dos disposiciones adicionales: la primera prevé la "adscripción a la Agencia de los bienes de dominio público", mientras que la segunda regula la "cesión a la Agencia de los activos materiales, del personal y del presupuesto" de la Fundación Cesicat y la subrogación de aquella en los contratos y convenios de esta.

Se incluye a continuación una disposición transitoria que regula el ejercicio de las funciones de la Fundación Cesicat hasta la constitución de la Agencia.

Por último, la Ley contiene cinco disposiciones finales, la primera de las cuales lleva a cabo la modificación de la Ley 29/2010, del uso de los medios electrónicos en el sector público de Cataluña; la segunda establece el plazo para la constitución de la Agencia; la tercera regula la disolución de la Fundación Cesicat, recogiéndose en la cuarta las autorizaciones al Gobierno para llevar a cabo las modificaciones necesarias para traspasar a la Agencia los recursos que le corresponden; y la disposición final quinta y última prevé, en fin, la entrada en vigor de la Ley el día siguiente al de su publicación en el Diario Oficial de la Generalidad de Cataluña.

SEGUNDO.- Consta en el expediente la propuesta de Acuerdo para que el Consejo de Ministros solicite del Presidente del Gobierno que promueva recurso de inconstitucionalidad impugnando la Ley del Parlamento de Cataluña 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, conforme a los artículos 161 de la Constitución y 31 de la Ley Orgánica 2/1979, de 3 de octubre, del Tribunal Constitucional, con expresa invocación del artículo 161.2 de la Constitución, de acuerdo con lo establecido en el artículo 30 de la referida ley orgánica, a efectos de que se produzca la suspensión de tales preceptos.

Tras señalar que la Agencia de Ciberseguridad de Cataluña sustituye a la Fundación Centro de Seguridad de la Información de Cataluña (Cesicat), creada a partir del Acuerdo del Gobierno de la Generalidad de 17 de marzo de 2009, por el que se aprueba el Plan de Seguridad de la Información de Cataluña, la propuesta cita los preceptos del Estatuto de Autonomía de Cataluña que, según se recoge en el preámbulo de la Ley que pretende impugnarse, ofrecen soporte competencial a dicha ley, como son, en particular, los artículos 150, 140.7 y 121.1.a): el primero de ellos atribuye a la Generalidad de Cataluña competencias en materia de organización de su administración; el segundo le reconoce la competencia ejecutiva en materia de comunicaciones electrónicas; y el tercero, la competencia exclusiva en materia de comercio y ferias.

Entiende la propuesta que, aun cuando estos preceptos no hacen referencia expresa a la ciberseguridad, sí permiten que la Generalidad establezca las medidas necesarias para la protección de sus infraestructuras y de la estructura de su propia administración y sector público, incluyendo la creación de un organismo impulsor de la ciberseguridad en su territorio y gestor de un CSIRT (Computer Security Incident Response Team), como el que de hecho ya existía antes de la aprobación de la Ley 15/2017. Advierte, sin embargo, que las funciones encomendadas a la nueva Agencia exceden el ámbito de las competencias autonómicas, invadiendo las competencias del Estado en materia de telecomunicaciones y régimen general de comunicaciones.

Considera que la ciberseguridad, definida como "conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno", es uno de los aspectos esenciales para la elaboración de la estrategia en materia de Seguridad Nacional, integrándose así, desde el punto de vista de la distribución de competencias, en el título relativo a la seguridad pública que, de conformidad con el artículo 149.1.29ª de la Constitución, corresponde al Estado con carácter exclusivo, sin perjuicio de la creación de policías por las comunidades autónomas en la forma en que se establezca en los respectivos estatutos en el marco de lo que disponga una ley orgánica.

En relación con ello, recuerda que la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, dictada al amparo de dicho título, incluye en su anexo las tecnologías de la información y las comunicaciones como sector estratégico. Asimismo, indica que el artículo 10 de la Ley 36/2015, de 28 de septiembre, de seguridad nacional, amparada en idéntico título, menciona la ciberseguridad como ámbito de especial interés para la seguridad nacional, siendo, además, el mantenimiento de la ciberseguridad una de las funciones propias del Centro Nacional de Inteligencia, según establece el artículo 4.b) de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia.

Y señala, en fin, que las infraestructuras de telecomunicaciones pueden constituir infraestructuras críticas, correspondiendo al Estado, ex artículo 149.1.29ª de la Constitución, la competencia exclusiva para dictar la normativa que garantice su protección (Sentencia del Tribunal Constitucional 128/2016).

Partiendo de todo ello, la propuesta pasa a examinar el artículo 2.4.f) de la Ley catalana, que menciona como una de las funciones de la Agencia de Ciberseguridad de Cataluña la de "investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información, servicios de tecnologías de la información y la comunicación o la propia información en los que la Agencia intervenga por razón de su competencia".

Tal y como reconoció el Consejo de Garantías Estatutarias en el informe emitido en fase de proyecto, el objeto de estas funciones forma parte de las funciones policiales de preservación de la seguridad pública que van más allá de las que corresponden a la Agencia de Ciberseguridad de Cataluña, al proyectarse la potestad de investigar y analizar los ciberincidentes y ciberataques sobre hechos constitutivos de delitos informáticos y rebasar la capacidad de respuesta en el orden técnico y organizativo ante estas situaciones.

A juicio de la propuesta, la ciberseguridad opera como bien jurídico protegido en las infracciones tipificadas para preservarla, pero no tiene solo una dimensión punitiva, sino que es también un bien jurídico de especial relevancia en la sociedad de la información, debiendo existir una intervención pública promotora de la ciberseguridad y tendente a prevenir cualquier quiebra en este ámbito.

Considera, por ello, que el título prevalente en materia de ciberseguridad es el de seguridad pública y que el artículo 2.4.f) de la Ley catalana ha de impugnarse por invadir las competencias del Estado en la materia, dado que la capacidad de prevenir, investigar y analizar ciberataques e incidentes informáticos, sean o no delito, corresponde al Estado al amparo de la referida competencia.

Sentado lo anterior, la propuesta expone las razones por las que considera que la impugnación ha de hacerse extensiva a la totalidad de la Ley.

Para ello toma como punto de partida el artículo 2.1, que declara que la Agencia "tiene por objeto garantizar la ciberseguridad en el territorio de Cataluña, entendida como la seguridad en las redes de comunicaciones electrónicas y de los sistemas de información", y analiza el resto de los apartados de este precepto, llegando a la conclusión de que su redacción es excesivamente genérica y de que atribuye a la Agencia distintas facultades y funciones en materia de ciberseguridad que afectan a cuestiones relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas y el régimen general de telecomunicaciones, sin establecer mecanismo alguno de coordinación y colaboración con los organismos y estrategias, planes y autoridades nacionales.

Sostiene que la ciberseguridad es una materia que no puede quedar al margen de la intervención estatal, especialmente cuando los ciberataques afecten a sectores y servicios públicos estratégicos, siendo necesaria en tales casos una adecuada coordinación y colaboración entre los organismos autonómicos y estatales implicados. Pese a ello, la Ley catalana asume que es la Generalidad Catalana la que elabora los planes de protección y prevención de ciberdelitos y se limita a regular la coordinación de la Agencia de ciberseguridad de Cataluña con los servicios de los departamentos afectados de la Generalidad, adoptando así un planteamiento estrictamente autonómico y obviando las competencias del Estado en la materia.

La propuesta, que ha sido elaborada por la Dirección General de Relaciones con las Comunidades Autónomas y Entes Locales de conformidad con los informes emitidos por los Ministerios del Interior, de Defensa y de Energía, Turismo y Agenda Digital, finaliza señalando que el plazo para formular el recurso de inconstitucionalidad expira el 31 de octubre de 2017.

TERCERO.- Figuran también en el expediente, además de la propuesta de Acuerdo mencionada en el antecedente anterior y una copia del texto de la Ley de referencia, los informes de la Secretaría General Técnica del Ministerio de Justicia y del Mando conjunto de Ciberdefensa del Ministerio de Defensa, de 22 de agosto y 2 de octubre de 2017, respectivamente, así como el informe de la Dirección General de Relaciones con las Comunidades Autónomas y Entes Locales del Ministerio de la Presidencia y para las Administraciones Territoriales, también de 2 de octubre de 2017.

En ellos se analizan los motivos en que se sustenta la impugnación pretendida, en términos coincidentes con los de la propuesta de Acuerdo a que se refiere el antecedente anterior.

Y, en tal estado el expediente, V. E. dispuso su remisión al Consejo de Estado para dictamen.

I. La consulta se efectúa en cumplimiento de lo dispuesto en el artículo 22.6 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado, que, en la redacción dada por la Ley Orgánica 3/2004, de 28 de diciembre, establece que la Comisión Permanente del Consejo de Estado deberá ser consultada en la "impugnación de las disposiciones y resoluciones adoptadas por los órganos de las Comunidades Autónomas ante el Tribunal Constitucional, con carácter previo a la interposición del recurso".

II. La cuestión que se suscita en el expediente radica en determinar si existen fundamentos jurídicos suficientes para la interposición por el Presidente del Gobierno de recurso de inconstitucionalidad contra la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.

En particular, se cuestiona la constitucionalidad del artículo 2.4.f) de dicha Ley, por considerarse que la regulación contenida en él vulnera la competencia exclusiva del Estado en materia de seguridad pública, consagrada en el artículo 149.1.29ª de la Constitución, si bien se entiende que la impugnación ha de hacerse extensiva al conjunto de la Ley por responder a un planteamiento que invade las competencias estatales en dicho ámbito y en materia de defensa, telecomunicaciones y régimen general de comunicaciones (reglas 4ª y 21ª del artículo 149.1 de la Constitución).

Procede, pues, entrar a examinar si concurren o no motivos para proceder a la impugnación pretendida.

III. Tal y como ha quedado expuesto, la Ley catalana tiene por objeto la creación de una Agencia de Ciberseguridad autonómica como entidad de derecho público de la Administración de la Generalidad (artículo 1) a la que corresponde "garantizar la ciberseguridad en el territorio de Cataluña, entendida como la seguridad de las redes de comunicaciones electrónicas y de los sistemas de información" (artículo 2.1).

Dicha creación pretende ampararse, según precisa la propia Ley en su preámbulo, en la competencia exclusiva de la Generalidad de Cataluña en materia de organización de su Administración, así como en la competencia ejecutiva en materia de comunicaciones electrónicas y en la competencia exclusiva en materia de comercio (artículos 150, 140.7 y 121.1.a) del Estatuto de Autonomía de Cataluña).

No existe, pues, en este caso, título competencial autonómico alguno específicamente referido a la materia sobre la que se proyectan las funciones encomendadas a este nuevo órgano -la ciberseguridad-, como tampoco existe ninguno que, de manera expresa, atribuya competencias sobre tal materia al Estado.

Ahora bien, a pesar de esta ausencia de mención explícita en la Constitución, es posible, a efectos de efectuar el deslinde competencial en la materia, la inclusión de la ciberseguridad en un ámbito material concreto, partiendo para ello de su conceptuación como conjunto de mecanismos dirigidos a la protección de las infraestructuras informáticas y de la información digital que albergan los sistemas interconectados.

Desde esta perspectiva, la ciberseguridad o seguridad informática, también conocida como seguridad de las tecnologías de la información, presenta un componente tuitivo que, proyectándose específicamente sobre el concreto ámbito de la protección de las redes y sistemas de información, permite afirmar su encaje, desde el punto de vista competencial, en el título relativo a la seguridad pública, recogido en el artículo 149.1.29ª de la Constitución.

Con arreglo a este precepto, la competencia en la materia corresponde de forma exclusiva al Estado, "sin perjuicio de la posibilidad de creación de policías por las Comunidades Autónomas en la forma que se establezca en los respectivos estatutos, en el marco de lo que disponga una ley orgánica".

Es precisamente este título el que, desde el punto de vista competencial, ofrece soporte constitucional a la Ley 36/2015, de 28 de septiembre, de seguridad nacional, cuyo artículo 10 identifica la ciberseguridad como uno de los "ámbitos de especial interés de la seguridad nacional (...) que requieren una atención específica, por resultar básicos para preservar los derechos y libertades, así como el bienestar de los ciudadanos, y para garantizar el suministro de los servicios y recursos esenciales". La constitucionalidad de esta ley fue confirmada por la Sentencia del Tribunal Constitucional 184/2016, de 3 de noviembre, por la que se desestimó el recurso de inconstitucionalidad interpuesto contra ella por la Generalidad de Cataluña y en la que se señala que "la seguridad nacional no es una competencia nueva, sino que se integra en las competencias estatales de defensa y seguridad pública".

Asimismo, la competencia en materia de seguridad pública da cobertura a la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de infraestructuras críticas, esto es, medidas para garantizar la seguridad de las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre los que descansa el funcionamiento de los servicios esenciales cuyo funcionamiento es indispensable y no permite soluciones alternativas, de tal modo que su perturbación o destrucción tendrían un grave impacto sobre los servicios esenciales (artículos 1, 2.d) y 2.e)). Esta ley incluye un anexo en el que se identifican los sectores estratégicos, incluyéndose entre ellos el sector de las tecnologías de la información y las comunicaciones.

A ella hace referencia expresa la STC 128/2016, afirmando que "el Estado puede, sobre la base de su competencia exclusiva en orden a la seguridad pública, dictar una normativa específica para la protección de las infraestructuras estratégicas en la que se contemple un registro o catálogo común de las mismas, para todo el territorio, y se disponga un sistema integrado, también de alcance nacional, para su pleno aseguramiento". La sentencia aclara, además, que la normativa estatal "no requiere de "desarrollo", en el sentido constitucional del concepto, por parte de la Comunidad Autónoma, dictada como está en ejercicio de una competencia estatal -la de seguridad pública enunciada en aquel precepto constitucional- que no se articula con las (competencias) autonómicas en términos de "bases" o "normas básicas" del Estado y "desarrollo" autonómico".

La conexión entre ciberseguridad y seguridad pública es, pues, evidente, pudiendo por tanto entenderse aquella incardinada en la mencionada competencia exclusiva del Estado, cuyo alcance ha quedado delimitado en diversas sentencias del Tribunal Constitucional.

En efecto, ya en su Sentencia 104/1989 el Tribunal Constitucional definió la seguridad pública como la "actividad dirigida a la protección de personas y bienes y al mantenimiento de la tranquilidad y el orden ciudadano" que engloba "un conjunto plural y diversificado de actuaciones (...) orientadas a una misma finalidad tuitiva del bien jurídico así definido". Añade la sentencia que, "dentro de este conjunto de actuaciones hay que situar (...) las que corresponden a los Cuerpos y Fuerzas de Seguridad", si bien sus servicios "no agotan el ámbito material de lo que hay que entender por seguridad pública en cuanto que concepto delimitador de la competencia". Y aclara, en fin, que "la competencia exclusiva del Estado en materia de seguridad pública no admite más excepción que la que derive de la creación de las policías autonómicas", sin que sea posible extender la competencia autonómica "más allá de lo que claramente se desprende de los términos con que se regula en la Constitución y en el Estatuto de Autonomía".

En esta misma línea, la STC 184/2016, antes citada, reproduciendo parte del contenido de la STC 84/2014, recuerda que "es doctrina consolidada de este Tribunal que la seguridad pública es una competencia exclusiva del Estado ex art. 149.1.29 CE y solamente se encuentra limitada por las competencias que las Comunidades Autónomas hayan asumido respecto a la creación de su propia policía (por todas, STC 148/2000, FJ 5), de forma que corresponderán al Estado, además de los servicios policiales que en todo caso han quedado reservados a las Fuerzas y Cuerpos de Seguridad del Estado, las restantes potestades o facultades administrativas que, siendo relevantes para la seguridad pública, no sean sin embargo propias ni inherentes de las funciones o servicios policiales, según han sido definidos por la Ley Orgánica de Fuerzas y Cuerpos de Seguridad y por la Ley Orgánica a que se remite el art. 104.2 CE (...) En suma, nuestro canon de enjuiciamiento se concreta en que en materia de "seguridad pública" al Estado le corresponden todas las potestades normativas y ejecutivas, salvo las que se deriven de la creación de policías autonómicas en el marco de la Ley Orgánica a la que se refiere el art. 149.1.29 CE".

A la luz de esta doctrina jurisprudencial, ha de concluirse que la competencia normativa en materia de seguridad pública y, por ende, en materia de ciberseguridad como ámbito incardinado en este título competencial, corresponde al Estado con carácter exclusivo.

IV. Esta conclusión, sin embargo, no impide, como advierte la propuesta, que las comunidades autónomas puedan, al amparo de las competencias que sus respectivos Estatutos de Autonomía les reconocen, adoptar determinadas medidas que coadyuven a garantizar la protección de sus infraestructuras y la seguridad de las tecnologías de la información y la comunicación (TIC).

En el caso de Cataluña cabe mencionar como ejemplo expresivo de tal afirmación la aprobación, mediante Acuerdo del Gobierno GOB/50/2009, de 17 de marzo, del Plan de Seguridad de la Información de Cataluña, que se estructuró en torno a cuatro líneas de actuación: establecer una estrategia de seguridad en las TIC orientada a concienciar a los ciudadanos de las amenazas y vulnerabilidades de la seguridad en Internet, apoyar la protección de las infraestructuras críticas de telecomunicaciones (redes de comunicaciones electrónicas, centros de procesamiento de datos de las administraciones públicas...) mediante actuaciones de análisis y apoyo dirigidas a los servicios TIC públicos, las redes de los servicios de emergencias y de protección civil y los servicios privados que les dan soporte, promocionar la creación de un tejido empresarial sólido en seguridad TIC e incrementar la confianza de los ciudadanos en la sociedad de la información.

Posteriormente, mediante Acuerdo del Gobierno de 22 de diciembre de 2009, se autorizó la constitución de la Fundación Centro de Seguridad de la Información de Cataluña (Cesicat), a la que se encomendó la consecución de los objetivos perseguidos por el referido Plan, configurándose así como una herramienta importante para el fomento de la seguridad de las tecnologías.

Desde esta perspectiva, no ofrece dudas que se trata de un órgano creado al amparo de la competencia de autoorganización prevista en el artículo 150 del Estatuto de Cataluña, al que se encomiendan funciones meramente auxiliares en materia de seguridad de la información.

La Agencia de Ciberseguridad de Cataluña, creada al amparo de dicha competencia, pretende sustituir a este organismo autonómico, que deberá iniciar el procedimiento de disolución en el momento de constitución de aquella y cederle sus bienes, derechos y obligaciones (disposición final tercera de la Ley catalana 15/2017).

Ahora bien, la nueva Agencia no se limita a suceder al Cesicat asumiendo sus mismas funciones, sino que está llamada a "prestar el servicio público de ciberseguridad", según reconoce el preámbulo de la Ley, desarrollando y liderando tal servicio, coordinando la ciberseguridad entre los diferentes actores "en el ámbito de Cataluña" y garantizando la ciberseguridad de la Administración de la Generalidad.

A tal fin, la Ley 15/2017 le atribuye el ejercicio de amplias funciones en materia de ciberseguridad, tales como la planificación, gestión, coordinación y supervisión de la ciberseguridad en Cataluña, estableciendo la capacidad preventiva y reactiva necesaria para paliar los efectos de ciberincidentes y las pruebas (artículo 2.4.b)), la participación en las tareas de lucha contra las conductas ilícitas, incluidas la intervención directa y la obtención de pruebas electrónicas (artículo 2.4.e)), la investigación y el análisis tecnológico de los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información, servicios de tecnologías de la información y la comunicación o la propia información en los que la Agencia intervenga por razón de su competencia (artículo 2.4.f)) o la aprobación de normas técnicas de seguridad de cumplimiento obligatorio para la Administración de la Generalidad y los organismos y entidades vinculados o dependientes, incluyendo las normas para la protección de los sistemas de información policiales (artículo 2.5.a)), entre otras, correspondiéndole igualmente garantizar la ciberseguridad en la prestación de los servicios de identificación electrónica y de identidad y confianza digitales por parte de los prestadores establecidos en Cataluña (artículo 2.5.d)).

Esta enunciación no exhaustiva de algunas de las funciones de la Agencia revela que no se trata de un órgano puramente auxiliar o de apoyo a la protección de la seguridad tecnológica, sino de una entidad con una capacidad de actuación en el ámbito de la ciberseguridad que se proyecta sobre aspectos sustantivos de su régimen jurídico. En consecuencia, al atribuirle tales funciones, la norma catalana está rebasando el ámbito competencial en el que han de desenvolverse las medidas que la Generalidad puede adoptar en relación con esta materia.

Tales medidas han de limitarse, según se ha argumentado, a cuestiones instrumentales, de carácter técnico u organizativo, o a actividades de apoyo y fomento de la protección de las redes y sistemas de información, pero no pueden, en modo alguno, menoscabar la competencia exclusiva del Estado en materia de seguridad pública (que, sin ninguna duda, comprende, por ejemplo, las competencias normativas necesarias para regular la investigación y el análisis de los ciberataques, por tratarse de una función directamente conectada con la protección de la seguridad de las tecnologías de la información y, por tanto, con la ciberseguridad entendida como materia incluida en el concepto más amplio de "seguridad pública", al margen de su evidente dimensión penal en los casos en que se produzcan delitos informáticos) ni dar lugar a una cláusula general de atribución de competencias a la Agencia en materia de ciberseguridad (artículo 2.4.b), antes citado). Tampoco pueden dichas medidas proyectarse sobre otros ámbitos cuya regulación solo el Estado puede asumir al amparo de los correspondientes títulos competenciales (tal es el caso, por ejemplo, de la intervención de las comunicaciones, regulada en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, o de la intervención de los sistemas informáticos o telemáticos, que ha de ajustarse a lo dispuesto en la Ley de Enjuiciamiento Criminal de 1882, pudiendo también citarse como ejemplo el establecimiento de garantías en la prestación de servicios de identificación electrónica, por tratarse de una cuestión regulada en la Ley 59/2003, de 19 de diciembre, de firma electrónica).

Por otro lado, la función de "informar preceptivamente en los procedimientos de elaboración de disposiciones normativas tramitadas por la Administración de la Generalidad en materia de ciberseguridad" (artículo 2.5.b)) presupone la existencia de una competencia normativa autonómica no prevista en su Estatuto de Autonomía ni susceptible de verse amparada en la Constitución, por lo que carece de todo fundamento constitucional desde el punto de vista de la distribución competencial.

En definitiva, la regulación que en relación con las cuestiones apuntadas establece la Ley catalana no es compatible con el esquema actual de distribución constitucional de competencias, lo que permite apreciar la existencia de motivos para proceder a la impugnación de los preceptos mencionados.

V. Las consideraciones realizadas han de completarse con un breve análisis de la relación teleológica que la Ley 15/2017 guarda con otras leyes catalanas aprobadas poco después y que se enmarcan dentro del conjunto de actuaciones llevadas a cabo por la Generalidad en su propósito declarado de construir estructuras de Estado con virtualidad sustitutoria de las actualmente vigentes en el sistema estatal.

Entre ellas, es preciso citar la Ley 17/2017, de 1 de agosto, del Código Tributario de Cataluña y de aprobación de los libros primero, segundo y tercero, relativos a la Administración Tributaria de la Generalidad, y la Ley 21/2017, de 20 de septiembre, de la Agencia de Protección Social de Cataluña, ambas impugnadas ante el Tribunal Constitucional, que ha admitido a trámite los recursos mediante Providencias de 12 de septiembre y 17 de octubre de 2017.

La aprobación de una y otra norma trae causa, a su vez, de las previsiones contenidas en la Ley 3/2015, de 11 de marzo, de medidas fiscales, financieras y administrativas de Cataluña, que vino a materializar las propuestas contenidas en los informes del Consejo Asesor para la Transición Nacional de Cataluña, en los que se diseñó la denominada "hoja de ruta" para la constitución de un Estado catalán y se abordaron diversas cuestiones estrechamente relacionadas con la pretensión de crear estructuras de Estado dotadas de características precisas para operar la sustitución del sistema estatal en el momento en que se produzca la pretendida independencia de Cataluña. Dicha ley fue parcialmente anulada por el Tribunal Constitucional mediante Sentencia 128/2016, de 7 de julio, que declaró inconstitucionales, entre otros preceptos, los relativos a la elaboración de un plan director sobre la Administración Tributaria de Cataluña y a la creación de la Agencia Catalana de Protección Social (disposiciones adicionales vigésima segunda y vigésima quinta).

La creación de la Agencia de Ciberseguridad de Cataluña no se encuentra mencionada en la referida ley como una de las actuaciones encomendadas a la Generalidad de Cataluña dentro del llamado proceso de transición nacional para la "desconexión" del Estado -aunque sí se incluyó la elaboración de un plan director sobre los sectores de la energía, telecomunicaciones, sistemas de información y de transporte ferroviario en la disposición adicional vigésima sexta, que fue declarada inconstitucional por la STC 128/2016 antes citada- y no puede, por su propia configuración, por sus funciones y por el papel que está llamada a desempeñar en Cataluña, equipararse a la Agencia Tributaria de Cataluña ni a la Agencia Catalana de Protección Social.

Ahora bien, la constatación de esta realidad no impide apreciar que, examinada en su conjunto, la Ley catalana 15/2017 está redactada en términos ambiguos, incluyendo algunas previsiones que podrían entenderse indistintamente aplicables dentro del orden de distribución de competencias diseñado por la Constitución de 1978 o al margen de él, y tampoco oculta que la Agencia que crea dicha Ley constituye, en su propio ámbito, una estructura organizativa idónea para actuar de forma autónoma en un eventual Estado catalán independiente. Su creación, de hecho, se encuentra prevista en el "Informe sobre la seguridad interna e internacional de Cataluña" elaborado por el ya mencionado Consejo Asesor para la Transición Nacional de Cataluña, que tiene por objeto "analizar los principales retos y actuaciones de Cataluña en el a´mbito de la seguridad interna e internacional durante el periodo de transicio´n nacional y, ma´s concretamente, los primeros meses de construccio´n de un eventual nuevo Estado catala´n".

En esta línea, la norma autonómica configura un organismo al que, con carácter general, le corresponde, como afirma el preámbulo, "desarrollar y liderar el servicio público de ciberseguridad" en el territorio de Cataluña. Y, de conformidad con este planteamiento, le encomienda en su artículo 2.2 "la ejecución de las políticas públicas en materia de ciberseguridad", expresión esta deliberadamente ambigua, que evita explicitar si se trata de las políticas que solo al Estado, en ejercicio de su competencia exclusiva en materia de seguridad pública, corresponde adoptar, o de las que se entiende que pueda llegar a diseñar la Generalidad de Cataluña una vez producida la pretendida "desconexión". De ser este el sentido del precepto, se estaría asumiendo como posible la definición de un modelo catalán propio de actuación en la materia y el establecimiento de la herramienta organizativa necesaria para articular esas políticas propias, políticas cuya definición por parte de la Comunidad Autónoma supondría, en el marco de la Constitución, una inequívoca apropiación de las competencias exclusivas del Estado. Por lo demás, tampoco en caso de que el precepto haga referencia a las políticas estatales puede admitirse una autoatribución, por parte de Cataluña, de esa competencia de ejecución en la medida en que no exista en la normativa estatal cobertura para ello.

La idea de una Agencia que pueda actuar al margen del ordenamiento constitucional vigente late igualmente en la referencia que el artículo 2.5.b), antes citado, hace a la capacidad de producción normativa de la Generalidad en el ámbito de la ciberseguridad, habida cuenta de que, con arreglo al actual esquema de distribución constitucional, la competencia normativa en materia de ciberseguridad queda reservada al Estado.

En definitiva, no se trata solo de que la norma autonómica cree una Agencia a la que, tal y como ha quedado expuesto, atribuye determinadas funciones que exceden el ámbito al que ha de quedar circunscrita la actuación en materia de ciberseguridad de un órgano autonómico, sino de que dicha norma configura una entidad administrativa para el potencial ejercicio de competencias ajenas por la Comunidad Autónoma en el eventual escenario de una Cataluña independiente.

Desde esta perspectiva, no puede ignorarse que la Ley 15/2017 se inserta, como una pieza más, en el actual proceso catalán de creación de instrumentos administrativos orientados a actuar en un Estado independiente, ignorando así que "ninguna autoridad autonómica puede, sin quiebra de la Constitución y del respectivo Estatuto de Autonomía, decidir por sí la construcción o formación de unas "estructuras" que, al identificarse como "de Estado", supondrían la más abierta determinación de arrumbar la actual posición institucional, conforme al ordenamiento en vigor, de la Comunidad Autónoma, sustituyéndola por otra de carácter estatal, operación sólo posible en nuestro derecho mediante una revisión formal de la Constitución (título X)" (STC 52/2017, de 10 de mayo, por la que declaró la inconstitucionalidad del Decreto 16/2015, de 24 de febrero, del Gobierno de la Generalidad de Cataluña, por el que se crea el Comisionado para la Transición Nacional, y del acuerdo relativo al "plan ejecutivo para la preparación de estructuras de Estado" y al "plan de infraestructuras estratégicas").

A la vista de todo lo anterior, debe concluirse que existen fundamentos jurídicos suficientes para impugnar la Ley catalana 15/2017 en su totalidad.

Y, en mérito de lo expuesto, el Consejo de Estado es de dictamen:

Que existen fundamentos jurídicos suficientes para la interposición de recurso de inconstitucionalidad contra la Ley catalana 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, debiendo como mínimo impugnarse, en todo caso, y por incurrir en inconstitucionalidad, las letras b), e) y f) del artículo 2.4 y las letras a), b) y d) del artículo 2.5."

V. E., no obstante, resolverá lo que estime más acertado.

Madrid, 26 de octubre de 2017

LA SECRETARIA GENERAL,

EL PRESIDENTE,

EXCMA. SRA. VICEPRESIDENTA DEL GOBIERNO Y MINISTRA DE LA PRESIDENCIA Y PARA LAS ADMINISTRACIONES TERRITORIALES.