Agencia Estatal Boletín Oficial del Estado

ECLI:ES:TC:2023:36

El Pleno del Tribunal Constitucional, compuesto por el magistrado don Cándido Conde-Pumpido Tourón, presidente, y las magistradas y magistrados doña Inmaculada Montalbán Huertas, don Ricardo Enríquez Sancho, doña María Luisa Balaguer Callejón, don Ramón Sáez Valcárcel, don Enrique Arnaldo Alcubilla, doña Concepción Espejel Jorquera, doña María Luisa Segoviano Astaburuaga, don César Tolosa Tribiño y doña Laura Díez Bueso, ha pronunciado

EN NOMBRE DEL REY

la siguiente

SENTENCIA

En el recurso de inconstitucionalidad núm. 1220-2021, interpuesto por el Consejo de Gobierno de la Comunidad Autónoma del País Vasco contra los arts. 1, 2, 3, 4, 5, 6 y 7; la disposición adicional única; las disposiciones transitorias primera y segunda, y las disposiciones finales del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Ha comparecido y formulado alegaciones el abogado del Estado. Ha sido ponente el magistrado don César Tolosa Tribiño.

I. Antecedentes

1. Mediante escrito presentado en el registro del Tribunal Constitucional el 3 de marzo de 2021, el Consejo de Gobierno de la Comunidad Autónoma del País Vasco interpuso recurso de inconstitucionalidad contra los arts. 1, 2, 3, 4, 5, 6 y 7; la disposición adicional única; las disposiciones transitorias primera y segunda, y las disposiciones finales del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

La demanda justifica el cumplimiento del plazo previsto en el art. 33.2 de la Ley Orgánica del Tribunal Constitucional (LOTC).

Comienza su exposición identificando el objeto del recurso. A tal fin, hace referencia a que la norma impugnada ofrece un marco jurídico ante el desarrollo y empleo de las nuevas tecnologías y redes de comunicaciones por parte de las administraciones públicas y adopta medidas normativas urgentes concernientes a la documentación nacional de identidad, a la identificación electrónica ante las administraciones públicas y los datos que obran en su poder, a la contratación pública, al sector de las telecomunicaciones y a la seguridad en redes y sistemas de comunicación.

Indica, que el Real Decreto-ley 14/2019, incluye siete artículos, una disposición adicional única, tres disposiciones transitorias y tres finales con las que se modifican siete normas estatales aprobadas por ley orgánica, ley ordinaria y real decreto-ley, en concreto, se introducen las modificaciones en las siguientes disposiciones: (i) apartado 1 del art. 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana; (ii) apartado 1 del art. 15 de la Ley 59/2003, de 19 de diciembre, de firma electrónica; (iii) apartado 2 del art. 9, al cual se añade un nuevo apartado 3, que pasa a ser el apartado 4, así como el apartado 2 del art. 10, al cual se añade un nuevo apartado 3, renumerando los apartados 3 y 4, que pasan a ser 4 y 5; y se añade una nueva disposición adicional sexta, de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas; (iv) se introduce un nuevo art. 46 bis y se modifica el art. 155 de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público; (v) se da una nueva redacción a la letra d) del apartado 1 del art. 35, a la letra d) del apartado 2 del art. 71, a la letra d) del apartado 2 del art. 71, al apartado 1 del art. 116, al apartado 2 del art. 122, al apartado 1 del art. 202 y al apartado 4 del art. 215 de la Ley 9/2017, de 8 de noviembre, de contratos del sector público; (vi) se modifica el apartado 6 del artículo 4, introduce un nuevo apartado 3 en el artículo 6, da nueva redacción al apartado 15 del artículo 76, apartado 28 del artículo 77 y al apartado 1 del artículo 81 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones; (vii) se introduce un apartado 3 en el artículo 11 al Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

A continuación, desarrolla los cinco motivos de impugnación.

A) En el primer motivo de impugnación invoca vulneración del art. 86.1 CE por carecer el Gobierno de habilitación formal para el dictado del Real Decreto-ley 14/2019, ante la inexistencia de la «extraordinaria y urgente necesidad». Por ello, solicita la declaración de inconstitucionalidad, y consiguiente nulidad, de los artículos 1, 2, 3, 4, 5, 6, 7, disposición adicional única, disposiciones transitorias primera y segunda y disposiciones finales. Recuerda la doctrina constitucional aplicable en relación con el presupuesto habilitante y censura que el Gobierno no explica la concurrencia de la situación de urgencia, al detenerse en generalidades tanto en la exposición de motivos del Real Decreto-ley 14/2019, como en la intervención de la ministra de Economía y Empresa en el debate de convalidación. Tampoco se obtiene esa explicación en la memoria abreviada del análisis de impacto normativo. Recuerda la normativa aplicable en relación con la ciberseguridad, así como los planes y normas que los desarrollan desde la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, por lo que no existe una situación imprevisible y descarta que la misma pueda provenir del derecho de la Unión Europea.

Por otra parte, reconoce la dificultad de valorar la conexión de sentido, entre la situación definida y las medidas adoptadas, al no poder identificar las amenazas concretas sobre la administración electrónica. Expone que la centralización que prevé el Real Decreto-ley 14/2019, contraviene los principios de la Ley 36/2015, de seguridad nacional y de la estrategia nacional de seguridad de 2017, inspirada en la coordinación y colaboración. Argumenta, que ya existe una herramienta para garantizar la administración electrónica y es el Esquema Nacional de Seguridad. Por último, se refiere a los diversos capítulos del Real Decreto-ley 14/2019 y se pregunta cuál es la amenaza urgente que lleva a la introducción de las referidas modificaciones legislativas.

B) A continuación, desarrolla los otros cuatro motivos de impugnación del Real Decreto-ley 14/2019, cuyo origen se sustenta en infracciones de naturaleza competencial y sustantiva. De este modo impugna:

a) En el segundo motivo, cuestiona la constitucionalidad del art. 3, en sus apartados primero y segundo; y la disposición transitoria primera, apartado primero, del Real Decreto-ley 14/2019: por establecer la previa autorización e informe en los sistemas de identificación y firma de registro previo utilizados por las administraciones públicas. Tales exigencias ocasionan la vulneración del principio de autoorganización del art. 10.2 del Estatuto de Autonomía para el País Vasco (EAPV) y del principio de autonomía de los artículos 2 y 137 CE, así como la vulneración del art. 9.2 CE por establecer medidas no justificadas, arbitrarias y desproporcionadas.

Entiende que el titulo prevalente y único en el que tiene cabida la previa autorización y el previo informe vinculante, es el art. 149.1. 18 CE, conforme a las SSTC 142/2018, de 20 de diciembre, y 55/2018, de 24 de mayo, al tratarse de garantizar la seguridad de las redes y proteger los derechos de los ciudadanos cuando tratan con las administraciones públicas.

Considera que se trata de medidas no justificadas, arbitrarias y desproporcionadas, que vulneran el art. 9.2 CE, al no superar los requisitos del juicio de proporcionalidad.

b) En el tercer motivo, impugna el art. 3 en su apartado 3 del Real Decreto-ley 14/2019, en lo referente a la prohibición de las tecnologías de registro distribuido (blockchain) en los sistemas de identificación y firma de registro previo, por incurrir en la vulneración de la competencia de autoorganización del art. 10.2 EAPV y del principio de proporcionalidad de las normas e interdicción de arbitrariedad (art. 9.2 CE).

Se remite a los argumentos ya expuestos en relación con la procedencia de encuadrar el titulo competencial nuevamente en el art. 149.1. 18 CE y a la improcedencia del encuadre en el art. 149.1. 29 CE. Contextualiza el problema constitucional en la prohibición «en todo caso» del uso de los sistemas de identificación y firma basados en tecnología de registro distribuido, que antes de la modificación por el Real Decreto-ley 14/2019, tenía acomodo en el apartado 2 c) de los arts. 9 y 10 de la Ley 39/2015, y en que el Estado se arrogue –a futuro– la asunción de la competencia de «autoridad intermedia».

Afirma que el precepto vulnera la competencia de autoorganización en el diseño de la administración electrónica (art. 10.2 EAPV), al arrogarse a futuro las funciones de autoridad intermedia, y al hacerlo de modo genérico e indeterminado y de modo redundante, conculca el principio de proporcionalidad de las normas e interdicción de arbitrariedad (art. 9.2 CE).

c) En el cuarto motivo, cuestiona el art. 3, en sus apartados primero y segundo, del Real Decreto-ley 14/2019 y la disposición transitoria primera en su apartado segundo, por conexión, por la localización de los servidores de las administraciones públicas, al considerar que incurren en la vulneración del art. 139.2 CE y de los principios de libre circulación y libre establecimiento del Tratado de funcionamiento de la Unión Europea (TFUE), así como nuevamente en la vulneración del principio de proporcionalidad de las normas e interdicción de la arbitrariedad (art. 9.2 CE).

Los nuevos apartados 3 de los artículos 9 y 10 de la Ley 39/2015 impiden que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación de clave concertada o cualquier otro que cuente con un registro previo como usuario que permita garantizar su identidad, se encuentren situados en otro país de la Unión Europea en caso de tratarse de categorías especiales de datos a los que refiere el artículo 9 del Reglamento general de protección de datos (RGPD).

Dichos apartados vulneran el art. 4.1 del Reglamento (UE) 2018/1807 al impedir el libre tránsito de datos por la Unión Europea y establecen una medida muy restrictiva, innecesaria y desproporcionada, que contraviene el art. 139.2 CE y los principios de libre circulación y libre establecimiento recogidos en el Tratado de funcionamiento de la Unión Europea.

d) En el quinto y último motivo, impugna el art. 6.1 del Real Decreto-ley 14/2019, por el que se modifica el art. 4.6 de la Ley general de telecomunicaciones (Ley 9/2014), al considerar que se encuentra incurso a su juicio en vulneraciones de carácter sustantivo y competencial, por infringir los arts. 18 y 20 CE, en relación con el art. 53 CE y art. 55 CE, y del art. 86.1 CE; desconocer la intervención preceptiva del poder judicial, con infracción de los arts. 18.3, 20.5 y 117.3 CE, así como el principio de autonomía política y la competencia de autoorganización (arts. 2 y 137 CE y 10.2 EAPV), y, nuevamente el art. 9.2 CE y el principio de proporcionalidad.

Afirma, que el precepto debe entenderse encuadrado en materia de telecomunicaciones (art. 149.1.21 CE) y expone las facultades que en relación con la misma le corresponde al Estado y a las comunidades autónomas en relación con la misma atendida la doctrina constitucional (SSTC 72/2014, 8/2016, 20/2016 y 78/2017).

Considera que una intervención del calibre de la medida aprobada por este real decreto-ley supone de forma indirecta o mediata una grave afectación restrictiva a los derechos y libertades fundamentales del art. 20 CE, toda vez que la solución del real decreto-ley puede consistir, «burdamente, en apagar el interruptor y así no llegará el mensaje».

Efectivamente, esta intervención se dispone en unos términos tan abiertos que alcanza tanto a inutilizar las redes de comunicaciones, con interrupción total del servicio impidiendo la libertad de expresión e información (art. 20 CE), como a interceptar las comunicaciones y con ellos acceder al secreto de las comunicaciones (art. 18 CE), lo que impide radicalmente la esencia misma de estos derechos fundamentales de los arts. 18 y 20 CE, lo que se amparó en la STC 236/2007, de 7 de noviembre.

Considera que esta gestión directa o intervención bajo esos motivos se dibuja de una forma tan amplia que, a la postre, habilita sin duda para intervenir las comunicaciones (art. 18.3 CE) o para impedir la expresión libre de pensamientos, ideas u opiniones y la comunicación y recepción libre de información veraz [art. 20.1 a) y d) CE]. Para ambos supuestos, nuestra Constitución exige la intervención judicial previa a esta intervención sobre los derechos fundamentales: tanto el art. 18.3 in fine CE, como el art. 20.5 CE.

Añade que esta amplia intervención prevista de los servicios de telecomunicaciones en esta modificación de la Ley 9/2014 supone una vulneración del principio de autonomía política y de la competencia de autoorganización, previstas en los arts. 2 y 137 CE y 10.2 EAPV. En tal sentido, centra la impugnación en dos aspectos por la introducción de la intervención como técnica de control y el establecimiento como parámetro habilitante del «orden público».

Por último, concluye que las medidas impuestas son arbitrarias y desproporcionadas y vulneran con ello el art. 9.2 CE.

2. Por providencia de 20 de abril de 2021 el Pleno, a propuesta de la Sección Tercera, acordó admitir a trámite el recurso de inconstitucionalidad promovido por el Gobierno Vasco en relación con el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones; dar traslado de la demanda y documentos presentados, conforme establece el art. 34 LOTC, al Congreso de los Diputados y al Senado, por conducto de sus presidentes, y al Gobierno, a través del ministro de Justicia, al objeto de que, en el plazo de quince días, puedan personarse en el proceso y formular las alegaciones que estimaren convenientes y publicar la incoación del recurso en el «Boletín Oficial del Estado».

3. El abogado del Estado, en la representación que ostenta, se personó en el proceso por escrito registrado el día 30 de abril de 2021, y solicitó una prórroga del plazo inicialmente conferido para formular alegaciones. La prórroga solicitada le fue concedida por diligencia de ordenación del secretario de justicia del Pleno de 4 de mayo de 2021 por un plazo de ocho días más el plazo inicialmente concedido, a contar desde el siguiente al de expiración del plazo ordinario.

4. Mediante escrito registrado el día 6 de mayo de 2021, la presidenta del Congreso de los Diputados comunicó el acuerdo de la mesa de la Cámara, por la que se persona en el proceso y ofrece su colaboración a los efectos del art. 88.1 LOTC. Lo mismo hizo la presidenta del Senado por escrito que tuvo entrada en este tribunal el día 11 de mayo de 2021.

5. Las alegaciones del abogado del Estado interesando la íntegra desestimación del recurso se registraron en este tribunal el día 26 de mayo de 2021.

A) En relación con la vulneración del art. 86.1 CE, la Abogacía del Estado alega que el Real Decreto-ley 14/2019 cumple el presupuesto habilitante exigido por la doctrina constitucional. Señala que la exposición de motivos de la norma recoge cómo los recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin, cuyo objetivo último sea proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos. En el debate parlamentario de convalidación se aludió especialmente a este extremo, en relación con las medidas acerca del documento nacional de identidad, de identificación ante las administraciones públicas y de ubicación de datos, con el que guardan la necesaria conexión de sentido.

En segundo término, tanto en la exposición de motivos como en el debate parlamentario se explicitan suficientemente los riesgos para los ciudadanos y para la propia administración derivados de la aceleración de la transformación digital de las administraciones públicas y, por ende, se justifica la conexión de la situación con las medidas de prevención que se concretan en el articulado en los arts. 3, 4 y 6 impugnados, es decir, las medidas de prevención como urgente respuesta a los riesgos que se describen y que legitiman la intervención del legislador de urgencia. Lo mismo sucede con el art. 7 respecto al esquema de seguridad allí previsto.

B) En cuanto a los otros cuatro motivos de impugnación del Real Decreto-ley 14/2019, cuyo origen se sustenta en infracciones de naturaleza competencial y sustantiva, aborda en primer lugar la cuestión del encuadramiento competencial de la norma impugnada, aludiendo a su disposición final primera y a la propia parte expositiva del Real Decreto-ley 14/2019, e indica que debe hacerse referencia particular a la ciberseguridad como materia incardinada en la competencia estatal sobre seguridad pública ex artículo 149.1.29 CE, titulo competencial que es el prevalente en los arts. 1, 2 y 3 impugnados por motivos competenciales. Considera que el recurso interpuesto vincula la regulación de los sistemas y las medidas de protección relativos a la administración digital al ámbito de las competencias que corresponden a la Comunidad Autónoma del País Vasco en materia de autoorganización, sin tener en cuenta que, en estas medidas, el Estado ejerce sus funciones en materia de seguridad pública para la prevención de actividades delictivas y, en particular, de todas aquellas que pueden afectar gravemente al interés general, tal y como se indica al vincularlas a la seguridad nacional, al orden público y a la protección de las telecomunicaciones; medidas de protección que, por su propia finalidad, exceden del ámbito territorial de una comunidad autónoma y que no pueden, por tanto, afrontarse desde las medidas de autoprotección que para el ejercicio de su potestad de autoorganización pueda desarrollar la comunidad autónoma.

Las medidas de prevención adoptadas en el ejercicio de la competencia estatal en materia de seguridad pública están vinculadas por el Real Decreto-ley 14/2019 al interés general y tienen por finalidad proporcionar al Estado la capacidad de reacción ante situaciones que afecten a la seguridad nacional y al orden público.

Se alude a la doctrina de la STC 142/2018 en la que, según el abogado del Estado, se reconoce que la creación, diseño y mantenimiento de una infraestructura de administración electrónica se integra en la potestad autonómica de autoorganización, pero al mismo tiempo, se postula su posible afectación a la seguridad pública y a la seguridad nacional. Enmarcados en estos términos la referencia al art. 149.1.29 CE y la competencia estatal sobre seguridad pública y ciberseguridad en su relación con la competencia autonómica de autoorganización, procede el examen concreto de los preceptos impugnados.

a) Respecto al art. 3 del Real Decreto-ley 14/2019, el abogado del Estado se refiere en primer lugar a las medidas en materia de identificación electrónica ante las administraciones públicas. Alude a los diferentes sistemas previstos en el Reglamento (UE) núm. 910/2014, del Parlamento europeo y del Consejo, de 23 de julio de 2014, conocido como Reglamento eIDAS, señalando que determinadas exigencias de seguridad no se aplican a los sistemas de identificación que se despliegan conforme a lo previsto en los arts. 9.2 c) y 10.2 c) de la Ley 39/2015, por lo que tales sistemas pasan a estar sujetos a una autorización previa de verificación de su seguridad.

La verificación trae causa de la necesidad de salvaguardar la seguridad pública en el proceso de transformación digital de la administración, que extiende el riesgo de ataques que impactan en la seguridad pública y en la propia intimidad de los ciudadanos. La competencia autonómica para autoorganizar la ciberseguridad de sus sistemas de administración electrónica se entiende sin perjuicio de la competencia exclusiva del Estado en materia de seguridad pública, proyectada en este caso sobre la ciberseguridad aplicada a las bases del régimen jurídico de la administración electrónica en el conjunto de las administraciones públicas. Se trata de una medida perfectamente coherente con la doctrina constitucional establecida en la STC 55/2018, de forma que cumpliendo una función típica de las normas de procedimiento administrativo común, se garantiza un «tratamiento común de los administrados ante todas las administraciones públicas», salvaguardando su ciberseguridad con un criterio transversal de seguridad pública aplicado a determinados casos y sin afectar en modo alguno los amplios márgenes de autoorganización de las administraciones públicas. Las diferentes administraciones públicas pueden seguir aceptando los sistemas de identificación electrónica que estimen convenientes, una vez garantizada su seguridad. Lo anteriormente expuesto es de aplicación a los sistemas de firma electrónica admitidos en las relaciones con las administraciones públicas (arts. 10.4 y 10.5 de la Ley 39/2015).

En conclusión, los artículos 9.2 c) y 10.2 c) son un ejercicio de la libertad de configuración legislativa constitucionalmente garantizada, que se basa en la competencia exclusiva del Estado sobre seguridad pública reflejada en el artículo 149.1.19 CE y que no desborda los límites del artículo 149.1.18 CE, garantiza un tratamiento común de los administrados y, por tanto, no invade las competencias autonómicas en materia de organización y procedimientos administrativos.

Por otra parte, la nueva disposición adicional sexta se limita a restringir provisionalmente el uso de los sistemas de identificación basados en tecnologías de registro distribuido y los sistemas de firma basados en los anteriores como sistema de identificación y firma de los interesados cuando se interrelacionan con la administración pero únicamente mientras no haya un marco regulatorio ad hoc de carácter estatal o europeo que haga frente a las debilidades que implica su uso para los datos y la seguridad pública.

Con la medida prevista en el real decreto-ley se pretende, de forma cautelar y temporal, suspender la posibilidad de implantar esta tecnología en el ámbito de la identificación y firma electrónicas ante las administraciones públicas, hasta que en el marco de la Unión Europea se produzcan desarrollos legislativos al efecto, que permitirán proceder a su eventual implantación, cuando las condiciones de seguridad, interoperabilidad y protección de derechos se encuentren oportunamente definidas y acordadas.

b) Acerca de la regulación sobre la ubicación de determinadas bases de datos prevista en el art. 3.1, que introduce un nuevo apartado tercero en el art. 9 de la Ley 39/2015, el abogado del Estado indica que la obligación de localización de los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación del art. 9.2 c) y de firma del art. 10.2 c) de la Ley 39/2015 tiene por objeto proteger los datos sensibles que los ciudadanos entregan a las administraciones públicas, que de este modo quedan sujetos a la normativa europea, evitando la posibilidad de su manipulación y tratamiento en ubicaciones que no están sujetas a la legislación comunitaria. Hace notar que, a estos efectos, se incluyen también como lugares en los que es posible albergar estos sistemas y datos, aquellos que no siendo territorio de la Unión Europea han sido objeto de una decisión de adecuación de la Comisión Europea. En definitiva, aquellos que también cumplen con los requisitos de protección a los ciudadanos con las mismas garantías que se establecen en la Unión Europea.

El abogado del Estado descarta a continuación las denuncias de vulneración del Reglamento general de protección de datos, pues no es tarea propia de la jurisdicción constitucional el examen de este tipo de cuestiones, sin que tampoco sea posible apreciar una contradicción material con el derecho de la Unión Europea.

Desde el punto de vista competencial se trata de una medida perfectamente consistente con lo establecido en la STC 55/2018, de forma que cumpliendo una función típica de las normas de procedimiento administrativo común, se garantiza un tratamiento común de los administrados ante todas las administraciones públicas, salvaguardando su ciberseguridad con un criterio transversal de seguridad pública aplicado a determinados casos y sin afectar en modo alguno los amplios márgenes de autoorganización de las administraciones públicas.

Añade la STC 142/2018 que «[l]a ‘potestad de autoorganización’ de la comunidad autónoma (STC 204/1992, de 26 de noviembre, FJ 5) supone la potestad para crear, modificar y suprimir los órganos, unidades administrativas o entidades que configuran la respectiva Administración autonómica o dependen de ella, [pero] la misma solo podrá ejercerse sobre ámbitos que, materialmente, correspondan a la propia comunidad autónoma».

c) Sobre el art. 6 del Real Decreto-ley 14/2019, relativo a los cambios introducidos en la Ley 9/2014, el abogado del Estado indica, en primer lugar, que el Tribunal Constitucional tuvo ocasión de pronunciarse expresamente en su sentencia 72/2014, de 8 de mayo, sobre la constitucionalidad del artículo 4.5 de la anterior Ley 32/2003, general de telecomunicaciones, que era casi idéntica a la redacción original del artículo 4.6 de la vigente ley, cuya modificación ahora se recurre. Considera que el Gobierno vasco, reconoce que el art. 6.1 del Real Decreto-ley 14/2019 ha sido lícitamente dictado en base a la competencia exclusiva del Estado ex art. 149.1. 21 CE.

Cuestiona que la norma vulnere los derechos fundamentales reconocidos en los arts. 18 y 20 CE, pues la STC 74/2014 señala con claridad que «la competencia definida en el art. 149.1.21 CE no se refiere a la relación de la radiodifusión, en cuanto medio de comunicación social, con las libertades y derechos fundamentales recogidos en el art. 20 CE y relacionados de algún modo con el derecho a comunicar y recibir información y con la libertad de expresión».

Afirma que las modificaciones introducidas en el art. 4.6 de la Ley 9/2014 por el art. 6.1 del Real Decreto-ley 14/2019, no afectan a sus elementos esenciales. En cuanto a las modificaciones en el art. 4.6 de la Ley 9/2014 resalta que la introducción de una referencia al concepto de orden público en el artículo 4.6 de la Ley 9/2014 como supuesto habilitador para la actuación del Gobierno, en nada modifica el contenido esencial de este artículo, porque como ha señalado reiteradamente el Tribunal Constitucional el concepto de «orden público» ya forma parte o se encuadra dentro del concepto más general de seguridad pública (STC 86/2014, FJ 6), el cual a su vez se encuadra dentro del término más omnicomprensivo de seguridad nacional (STC 86/2014, FJ 3), y ambos conceptos «seguridad pública» y »seguridad nacional», ya aparecían en la redacción original.

Resulta obvio que ante una situación que atente contra el orden público, la seguridad pública o la seguridad nacional, como puede ser un terremoto o un acto deliberado que afecte a la integridad de una red, el artículo 4.6 de la Ley 9/2014 ha de permitir al Gobierno actuar, no solo a nivel de red, sino también en relación con otros elementos como antenas, cableado o torres que se hayan visto afectados, ya que sin ello resultaría imposible el restablecimiento de la red y de los servicios, y la norma no lograría alcanzar la finalidad para la que fue prevista.

Afirma, que no existe vulneración de los arts. 18 y 20 CE en relación con los arts. 53 y 55 CE, ni vulneración del art. 86.1 CE, pues conforme a la STC 86/2014, que analizó la redacción original, cuyo contenido esencial no ha variado, no existe vulneración de los derechos fundamentales, ni, en consecuencia, de los arts. 53 y 55 CE en relación con la garantía de estos derechos, ni del art. 86.1 CE. La reforma no habilita al Gobierno a intervenir los servicios digitales, ni los servicios audiovisuales o los medios de comunicación, sino exclusivamente a intervenir o asumir la gestión directa de redes y servicios de comunicaciones electrónicas tradicionales, y ello, con el solo objetivo, de restablecer su prestación.

La finalidad del artículo 4.6 de la Ley 9/2014 no es, en ningún caso, la interceptación del contenido ni el control de la red o la interrupción del servicio sino, precisamente, su mantenimiento o restablecimiento ante situaciones tasadas, provisionales y extraordinarias de anormal funcionamiento. En materia del derecho al secreto de las comunicaciones del artículo 18 CE, la distinción es especialmente relevante, intentando la recurrente, de manera interesada, confundir la «intervención» de una red o servicio para lograr su restauración, que es a lo que se refiere este artículo 4.6 con la interceptación legal de una comunicación concreta de un ciudadano, accediendo a su contenido. La intervención mencionada en el art. 4.6 no habilita, ni mucho menos, a interceptar el contenido de la comunicación de los ciudadanos ni a interrumpirla y, por tanto, no vulnera el derecho al secreto de las comunicaciones reconocido en el artículo 18 CE ni al derecho a la libertad de expresión del artículo 20 CE.

Por tanto, el objetivo de la habilitación concedida al Gobierno no puede en ningún caso consistir, como sugiere la parte recurrente, «burdamente, en apagar el interruptor y así no llegará el mensaje», sino que su finalidad es restablecer el suministro de la red o servicio de que se trate, devolviéndolo a la situación anterior a ese «anormal funcionamiento» al que se refiere el último párrafo del artículo 4.6 de la Ley 9/2014.

El abogado del Estado sostiene que no existe vulneración de la intervención preceptiva del Poder Judicial pues el artículo 4.6 de la Ley 9/2014 no vulnera derechos fundamentales garantizados en los arts. 18.3 y 20.5 CE, ya que en ningún caso permite una interceptación de comunicaciones privadas, de datos personales o de contenidos sino meramente una gestión material o una toma de decisiones dirigidas a restablecer el normal funcionamiento de la red o servicio y con ello el pleno ejercicio por los ciudadanos de sus derechos a la información y a la libertad de expresión, garantizados en el artículo 20 CE.

Considera sorprendente la referencia al artículo 117.3 CE pues solo desde una interpretación completamente distorsionada del artículo 4.6 de la Ley 9/2014, podría llegar a entenderse que este atribuye al Gobierno el ejercicio de la potestad jurisdiccional que corresponde a los juzgados y tribunales.

Afirma, que no existe vulneración del principio de autonomía política ni de la competencia de autoorganización reconocidos en los artículos 2 y 137 CE y 10.2 EAPV, pues el artículo 4.6 no afecta a las redes corporativas de las comunidades autónomas. Ni tampoco vulnera el art. 9.2 CE al limitarse a otorgar al Gobierno la facultad de mantener o restablecer el servicio en casos excepcionales y transitorios de anormal funcionamiento que afecten al orden o la seguridad pública o a la seguridad nacional. El precepto, no permite controlar los contenidos de internet, ya que conforme al art. 1.2 de la Ley 9/2014 quedan excluidos del ámbito de aplicación de esta ley los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas, las actividades que consistan en el ejercicio del control editorial sobre dichos contenidos y los servicios de la sociedad de la información, regulados en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas.

6. El letrado del servicio jurídico central de la administración general del País Vasco, mediante escrito registrado el 14 de octubre de 2022, manifiesta que, tras la interposición del recurso, los apartados primero y segundo del art. 3 del Real Decreto-ley 14/2019 han sido modificados por la Ley 11/2022, de 28 de junio, en su disposición final 1.1, apartado 2, letra c), lo que pone en conocimiento del tribunal a los efectos de aplicación de la doctrina constitucional, según la cual, únicamente subsistiría el proceso contra esos dos preceptos cuando la controversia competencial se mantuviese viva tras la modificación normativa operada por la Ley 11/2022, de 28 de junio, general de telecomunicaciones.

7. Mediante escrito de 10 de febrero de 2023, el magistrado don Juan Carlos Campo Moreno, manifestó su abstención por haber participado en la condición de diputado en la votación de 27 de noviembre de 2019 de la Diputación Permanente del Congreso de los Diputados, en la que se convalidó el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

8. Mediante el auto 63/2023, de 21 de febrero, se acepta por el Pleno la abstención formulada por el magistrado don Juan Carlos Campo Moreno en el recurso de inconstitucionalidad núm. 1220-2021, apartándole definitivamente de los referidos recursos y de todas sus incidencias.

9. Por providencia de 18 de abril de 2023, se señaló para deliberación y votación de la presente sentencia el día 19 del mismo mes y año.

II. Fundamentos jurídicos

1. Objeto del recurso, modificaciones posteriores de los preceptos impugnados y posiciones de las partes.

El objeto de la presente resolución es resolver el recurso de inconstitucionalidad interpuesto por el Gobierno de la Comunidad Autónoma del País Vasco contra los arts. 1, 2, 3, 4, 5, 6 y 7; la disposición adicional única; las disposiciones transitorias primera y segunda, y la disposición final primera del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

A) Modificaciones posteriores de las normas impugnadas

Conviene indicar, en lo que al objeto del presente recurso de inconstitucionalidad interesa, las normas que han sido modificadas por los preceptos que se impugnan de modo específico (apartados primero, segundo y tercero del art. 3 y apartado primero del art. 6 del Real Decreto-ley 14/2019), así como las modificaciones posteriores que dichas normas han sufrido, a los efectos de que podamos pronunciarnos más adelante sobre la pervivencia del objeto conforme a nuestra doctrina.

a) El apartado primero del art. 3 del Real Decreto-ley 14/2019, modifica el apartado segundo del art. 9, añade el párrafo tercero al art. 9 y renumera el párrafo tercero que pasa a ser el apartado cuarto, de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas (LPACAP). Sucede, en lo que ahora es relevante, que la letra c) del apartado segundo del art. 9 LPACAP, ha sido modificado por la disposición final 1.1 de la Ley 11/2022, de 28 de junio, general de telecomunicaciones (Ley 11/2022) sustituyendo el sistema de previa autorización por el de previa comunicación acompañada de una declaración responsable.

b) El apartado segundo del art. 3 del Real Decreto-ley 14/2019, modifica el apartado segundo del artículo 10, y le añade un nuevo apartado tercero, renumerando los apartados tercero y cuarto que pasan a ser cuarto y quinto LPACAP. La letra c) del apartado segundo del art. 10 LPACAP, ha sido modificada por la disposición final 1.1 de la Ley 11/2022, sustituyendo el sistema de previa autorización por el de previa comunicación acompañada de una declaración responsable.

c) El apartado primero del art. 6 del Real Decreto-ley 14/2019, da una nueva redacción al art. 4.6 Ley 9/2014 y a su vez ha sido modificado por la Ley 11/2022. Tras la modificación, la asunción por la administración general del estado de la gestión directa de determinados servicios de comunicaciones electrónicas disponibles al público es matizada al indicarse que no se comprenden los servicios de comunicaciones interpersonales. Se mantiene que la asunción se puede realizar, para garantizar la seguridad pública y la seguridad nacional, pero se excluye, tras la modificación, que dicha asunción se pueda llevar a cabo por afectar al orden público.

También se excluye la asunción de la gestión directa de las redes y servicios que se exploten o presten íntegramente en autoprestación. Se añade, que en ningún caso esta intervención podrá suponer una vulneración de los derechos fundamentales y libertades públicas reconocidas en el ordenamiento jurídico. Asimismo, se incorpora en la norma que los acuerdos de asunción de la gestión directa del servicio deberán ser comunicados por el Gobierno en el plazo de veinticuatro horas al órgano jurisdiccional competente para que, en un plazo de cuarenta y ocho horas, establezca si los mismos resultan acordes con los derechos fundamentales y libertades públicas reconocidas en el ordenamiento jurídico, procediendo a su anulación en caso negativo

B) La interposición del recurso se fundamenta en argumentos que pueden agruparse en torno a tres tipos de infracciones constitucionales:

a) Se considera que se incumplen los requisitos previstos en el art. 86 CE, en relación con el presupuesto habilitante de extraordinaria y urgente necesidad, por la utilización del decreto-ley y por la ausencia de conexión de sentido entre la situación definida y las medidas adoptadas, al no poder identificarse las circunstancias que fundamentan el presupuesto habilitante, esto es, las amenazas concretas sobre la administración electrónica, lo cual afectaría a la totalidad de los preceptos de este.

b) A los apartados primero, segundo y tercero del art. 3 y a los apartados primero y segundo de la disposición transitoria primera del Real Decreto-ley 14/2019, que establecen: (i) el sistema de previa autorización e informe vinculante y la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación se encuentren situados en territorio de la Unión Europea o en su caso en territorio español (apartados primero y segundo y disposición transitoria primera); (ii) la prohibición «en todo caso» del uso de los sistemas de identificación y firma basados en tecnología de registro distribuido (apartado tercero), se les atribuye la vulneración de la competencia de autoorganización del art. 10.2 EAPV en relación con el principio de autonomía (arts. 2 y 137 CE) y el art. 9.3 CE (pese a que el recurrente por error se refiera al art. 9.2 CE).

Además, específicamente a la localización territorial de los recursos técnicos se le reprocha que infrinja el art. 139.2 CE, el principio de proporcionalidad e interdicción de arbitrariedad (art. 9.3 CE, pese a que el recurrente se refiera nuevamente al art. 9.2 CE) y los principios de libertad de establecimiento y circulación garantizados por el Tratado de funcionamiento de la Unión Europea (TFUE), así como preceptos del Reglamento (UE) 2018/1807.

c) Finalmente, en relación con el apartado 1 del art. 6 del Real Decreto-ley 14/2019, por el que se modifica el art. 4.6 de la Ley general de telecomunicaciones (Ley 9/2014) e incorpora una facultad gubernativa de intervención amplia y de alcance general sobre el conjunto de redes y servicios de las comunicaciones electrónicas, considera que se encuentra incurso en vulneraciones de carácter sustantivo y competencial, por infringir los arts. 18 y 20 CE en relación con los arts. 53, 55 y 86.1 CE; y por desconocer la intervención preceptiva del poder judicial, con infracción de los arts. 18.3, 20.5 y 117.3 CE. Asimismo, atribuye al precepto la vulneración del principio de autonomía política y de la competencia de autoorganización al introducir la intervención como técnica de control y al establecer como parámetro habilitante el «orden público» (arts. 2 y 137 CE y 10.2 EAPV), y, por último, entiende que también vulnera el art. 9.2 CE por infracción del principio de proporcionalidad, cita del precepto que debe entenderse referida, como hemos advertido, al art. 9.3 CE.

Como se ha expuesto pormenorizadamente en el relato de antecedentes, el abogado del Estado ha negado las vulneraciones constitucionales denunciadas, interesando, en consecuencia, la íntegra desestimación del recurso de inconstitucionalidad.

2. Sobre la pérdida sobrevenida de objeto. Aplicación de la STC 10/2023, de 23 de febrero

La resolución del presente recurso de inconstitucionalidad viene determinada por la STC 10/2023, de 23 de febrero, que ha desestimado el recurso de inconstitucionalidad núm. 718-2020, interpuesto por el Gobierno de la Generalitat de Cataluña contra el Real Decreto-ley 14/2019. Es por ello preciso remitirse a sus fundamentos jurídicos, en concreto:

Procede la remisión al fundamento jurídico 2 de la STC 10/2023, relativo a las «observaciones sobre la pervivencia del objeto del recurso de inconstitucionalidad». En dicho fundamento hemos sostenido que, conforme a la doctrina constitucional, la impugnación cuyo contenido es el control del «recto ejercicio de la potestad de dictar decretos-leyes» (art. 86.1 CE) no perdía objeto, pese a las modificaciones posteriores de la norma.

Por otra parte, hemos señalado que el recurso de inconstitucionalidad sí había perdido objeto de modo sobrevenido en las impugnaciones sustantivas y competenciales atribuidas específicamente a los apartados primero y segundo del art. 3 del Real Decreto-ley 14/2019, en cuanto modifica los arts. 9.2 c) y 10.2 c) de la Ley 39/2015, atendido el alcance de la modificación producida por la Ley 11/2022 [STC 10/2023, FJ 2 ii)].

También nos hemos pronunciado a favor de que la pérdida de objeto alcanzaba a las impugnaciones sustantivas y competenciales del apartado primero del art. 6 del Real Decreto-ley 14/2019, al haber desaparecido la referencia al «orden público» en el actual art. 4.6 de la Ley 11/2022 [FJ 2 iii)] –y añadimos ahora– y también a «la intervención» como técnica de control, que a juicio del recurrente, infringía la competencia de autoorganización de la Comunidad Autónoma del País Vasco (arts. 2 y 137 CE y 10.2 EAPV).

3. Resolución de las impugnaciones que no han perdido objeto.

Por lo expuesto anteriormente subsiste el objeto del recurso de inconstitucionalidad en relación con las siguientes impugnaciones que pasamos a resolver:

A) En el primer motivo de impugnación se invoca la vulneración del art. 86.1 CE, por carecer el Gobierno de habilitación formal para el dictado del Real Decreto-ley 14/2019, ante la inexistencia de la «extraordinaria y urgente necesidad» y la ausencia de conexión de sentido derivada de la falta de identificación del presupuesto habilitante. También en parte del quinto motivo, se considera infringido el art. 86.1 CE al entender que la intervención prevista en el art. 6.1 del Real Decreto-ley 14/2019, por el que se modifica el art. 4.6 de la Ley 9/2014, supone de forma indirecta o mediata una grave afectación restrictiva a los derechos y libertades fundamentales, al disponerse en términos tan abiertos que alcanza tanto a inutilizar las redes de comunicaciones, con interrupción total del servicio impidiendo la libertad de expresión e información (art. 20 CE), como a interceptar las comunicaciones y con ello acceder al secreto de las comunicaciones (art. 18 CE).

a) Expuesto lo anterior, por aplicación de lo resuelto en el fundamento jurídico 3 de la STC 10/2023, procede descartar la tacha de inconstitucionalidad fundada en la infracción del presupuesto habilitante para dictar el decreto-ley –«extraordinaria y urgente necesidad» (art. 86.1 CE)–, al apreciar el Tribunal «que las circunstancias reflejadas en la exposición de motivos del decreto-ley impugnado y puestas de manifiesto durante la fase de convalidación y en el expediente de elaboración de la norma reflejan, más allá de una mera conveniencia política, una situación de hecho que permite concluir, en el ámbito del control externo que compete realizar a este tribunal, que existen razones suficientes para apreciar la existencia de una situación de extraordinaria y urgente necesidad». La concurrencia de dicha situación, que también se debe predicar respecto de art. 5 del Real Decreto-ley 14/2019, no impugnado en el recurso de inconstitucionalidad resuelto por la STC 10/2023, atendidos los términos genéricos de su planteamiento, comporta la desestimación de la alegada ausencia de conexión de sentido que el recurrente sustentaba precisamente en la ausencia de identificación del presupuesto habilitante.

b) En segundo lugar, en relación con el límite material sustraído a la regulación de los decretos-leyes, en cuanto que «no podrán afectar […] a los derechos, deberes y libertades de los ciudadanos regulados en el Título I» de la Constitución (art. 86.1 CE), la controversia constitucional –específica de este recurso de inconstitucionalidad– se contrae a determinar si la regulación «afecta» al secreto de las comunicaciones o a la libertad de expresión e información (arts. 18.3 y 20 CE).

La cláusula restrictiva del art. 86.1 CE «no podrán afectar», debe ser entendida de modo tal que ni reduzca a la nada el decreto-ley, que es un instrumento normativo previsto por la Constitución del que es posible hacer uso para dar respuesta a las perspectivas cambiantes de la vida actual, ni permita que por decreto-ley se regule el régimen general de los derechos, deberes y libertades del Título I, ni dé pie para que por decreto-ley se vaya en contra del contenido o elementos esenciales de alguno de tales derechos (STC 111/1983, de 2 de diciembre, FJ 8).

Del examen del precepto impugnado resulta que la norma recurrida no lleva a cabo una regulación general del derecho fundamental a expresar y difundir libremente pensamientos, ideas y opiniones mediante cualquier medio, y a comunicar y recibir libremente información (art. 20 CE), como tampoco lo hace del secreto de las comunicaciones (art. 18.3 CE), sino que establece la facultad de carácter excepcional y transitoria del Gobierno de acordar que se asuma por la Administración General del Estado la gestión directa o la intervención de las redes y servicios, pudiendo para ello afectar a cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio, y ello con la finalidad de restablecer el orden público, la seguridad pública y la seguridad nacional que se han podido ver afectadas.

En efecto, la asunción de dicha gestión e incluso la intervención por la Administración General del Estado, no puede incidir en el contenido de las comunicaciones, expresiones o informaciones, por lo que el precepto impugnado no constituye un límite al ejercicio de los derechos de los arts. 18.3 y 20.1 a) y d) CE de modo que no puede sostenerse que la regulación contenida en el real decreto-ley «afecta» a aquellos derechos.

Por este motivo la impugnación debe ser también desestimada.

B) También subsiste el tercer motivo de impugnación en que el Gobierno de la Comunidad Autónoma del País Vasco cuestiona el art. 3 en su apartado tercero del Real Decreto-ley 14/2019, en lo referente a la prohibición de las tecnologías de registro distribuido (blockchain) en los sistemas de identificación y firma de registro previo, por incurrir en la vulneración de la competencia de autoorganización del art. 10.2 EAPV en relación con el principio de proporcionalidad de las normas e interdicción de arbitrariedad (art. 9.3 CE) en relación con el art. 139.2 CE al considerarlo una limitación de carácter desproporcionado.

Esta impugnación, planteada en términos similares en el recurso de inconstitucionalidad núm. 718-2020, fue desestimada por la STC 10/2023, al ser constitucionalmente admisible que el Estado, «al amparo de sus competencias en materia de procedimiento administrativo común, proyectadas al ámbito específico de los sistemas de administración electrónica, establezca prevenciones al respecto a fin de garantizar la seguridad jurídica de las relaciones electrónicas entre la administración y los ciudadanos», sin que se trate de una «prohibición general», pues se «persigue restringir de forma puntual y provisional su uso, en tanto no exista un marco regulatorio ad hoc de carácter estatal o europeo» [FJ 4 (ii)], por lo que dicha regulación no puede ser calificada de desproporcionada.

C) El cuarto motivo del recurso de inconstitucionalidad tampoco ha perdido objeto. En el mismo el recurrente impugna el art. 3 en sus apartados 1 y 2 del Real Decreto-ley 14/2019 que incorpora a través de los arts. 9.3 y 10.3 de la Ley 39/2015, la obligación de situar «en territorio español» los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas previstos en los artículos 9.2 c) y 10.2 c) de la citada Ley, así como, por conexión, la disposición transitoria primera, apartado 2, del propio Real Decreto-ley 14/2019.

Ahora bien, la tacha formulada respecto a estos tres preceptos no se relaciona con la infracción del orden constitucional de distribución de competencias, sino con la infracción de preceptos sustantivos o la contravención con el Derecho de la Unión Europea, por lo que debemos remitirnos a lo argumentado en el FJ 4 de la STC 10/2023 y desestimar la impugnación.

FALLO

En atención a todo lo expuesto, el Tribunal Constitucional, por la autoridad que le confiere la Constitución de la Nación española, ha decidido:

1.º Declarar extinguido, por pérdida sobrevenida de objeto, el presente recurso de inconstitucionalidad núm. 1220-2021, interpuesto por el Gobierno de la Comunidad Autónoma del País Vasco contra el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, en relación con el art. 3.1 y 2 (respecto de la modificación del art. 9.2 c y 10.2 c) de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas); en relación con el art. 6.1 (que modifica el art. 4.6 de la Ley 9/2014, de 9 de mayo, general de telecomunicaciones).

2.º Desestimar el recurso en todo lo demás.

Publíquese esta sentencia en el «Boletín Oficial del Estado».

Dada en Madrid, a diecinueve de abril de dos mil veintitrés.–Cándido Conde-Pumpido Tourón.–Inmaculada Montalbán Huertas.–Ricardo Enríquez Sancho.–María Luisa Balaguer Callejón.–Ramón Sáez Valcárcel.–Enrique Arnaldo Alcubilla.–Concepción Espejel Jorquera.–María Luisa Segoviano Astaburuaga.–César Tolosa Tribiño.–Laura Díez Bueso.–Firmado y rubricado.