Pleno. Auto 29/2018, de 20 de marzo de 2018. Recurso de inconstitucionalidad 5284-2017. Mantiene la suspensión acordada en el recurso de inconstitucionalidad 5284-2017, interpuesto por el Presidente del Gobierno en relación con la Ley del Parlamento de Cataluña 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.
AUTO
I. Fatti
1. Con fecha 31 de octubre de 2017 tuvo entrada en el registro general de este Tribunal el recurso de inconstitucionalidad interpuesto por el Abogado del Estado, en representación del Presidente del Gobierno, contra la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña. En el recurso se invocan expresamente los artículos 161.2 CE y 30 de la Ley Orgánica del Tribunal Constitucional (LOTC), a fin de que se produzca la suspensión de la aplicación de la Ley 15/2017.
2. Por providencia de 28 de noviembre de 2017, el Pleno del Tribunal, a propuesta de la Sección Tercera, acordó admitir a trámite el recurso de inconstitucionalidad y dar traslado de la demanda y documentos presentados, conforme establece el artículo 34 LOTC, al Congreso de los Diputados y al Senado, así como al Gobierno de Cataluña y al Parlamento de Cataluña, al objeto de que, en el plazo de quince días, pudieran personarse en el proceso y formular la alegaciones que estimaren convenientes. Con el fin de evitar un conflicto en la defensa de los intereses del Estado y de la Comunidad Autónoma de Cataluña, se suspendió el plazo para que el Gobierno de Cataluña pueda personarse y formular alegaciones, en tanto el Consejo de Ministros, de conformidad con el artículo 5 del Real Decreto 944/2017, de 27 de octubre, ejerza las funciones y competencias que corresponde al Consejo de Gobierno de la Generalitat de Cataluña. Asimismo, se acordó tener por invocado el artículo 161.2 CE, lo que, conforme dispone el artículo 30 LOTC, produce la suspensión de la vigencia y aplicación de la Ley impugnada desde la fecha de interposición del recurso para las partes del proceso, y desde el día en que aparezca publicada la suspensión en el “Boletín Oficial del Estado” para los terceros, lo que se comunicará a los Presidentes del Gobierno de Cataluña y del Parlamento de Cataluña. Finalmente se ordenó publicar la incoación del recurso en el “Boletín Oficial del Estado” y en el “Diari Oficial de la Generalitat de Cataluña”.
3. Por escritos registrados en este Tribunal los días el 7 y 13 de diciembre de 2017, respectivamente, los Presidentes del Congreso de los Diputados y del Senado comunican los acuerdos de las Mesas de las Cámaras en el sentido de personarse en el proceso y ofreciendo su colaboración a los efectos del artículo 88.1 LOTC.
4. Mediante escrito registrado el día 15 de diciembre de 2017, el Letrado del Parlamento de Cataluña comparece en el proceso y solicita se le conceda prórroga del plazo para formular alegaciones. Petición a la que accedió el Pleno del Tribunal mediante providencia de esa misma fecha, prorrogándole en ocho días el plazo de alegaciones inicialmente conferido, a contar desde el día siguiente al de expiración del ordinario.
5. El Letrado del Parlamento de Cataluña formuló sus alegaciones interesando la desestimación del recurso el día 12 de enero de 2018. Mediante otrosí solicita el levantamiento inmediato de la suspensión por los motivos que se resumen a continuación.
Alude, en primer lugar, al carácter excepcional de la medida de suspensión que debería apoyarse siempre en unos motivos mínimamente fundados en que el mantenimiento de la vigencia de la norma puede producir perjuicios irreparables o de muy difícil reparación que hagan perder sentido al recurso o afectar a derechos de terceros. Sin embargo, tal efecto no puede presumirse en este caso cuando se hace evidente que el recurso obedece claramente a una finalidad preventiva no ajustada a la naturaleza de una acción procesal como es el recurso de inconstitucionalidad, que en ningún caso puede sustentarse sobre la base de hipotéticas aplicaciones inconstitucionales de la norma.
La lógica interna del artículo 161.2 CE es la de actuar como medida cautelar para evitar que el recurso pierda su objeto o puedan verse gravemente perjudicados derechos e intereses debido a la vigencia de la norma. Pero el poder extraordinario de suspensión, a pesar de su configuración automática, exige una conducta procesal que se adecue a la naturaleza del recurso en el que se invoca, pues, en caso contrario, resulta notoriamente abusivo y se pone al servicio de una ratio diferente a aquella para la que fue establecido.
El fundamento principal del recurso reside en considerar que la Agencia de Ciberseguridad de Cataluña se ha creado como una “estructura de estado” puesta al servicio del proceso de independencia de Cataluña. Esta es una valoración subjetiva que se aleja ostensiblemente del debate propio de un recurso de inconstitucionalidad. Se da la circunstancia de que el recurso incumple también la carga que tiene el recurrente de argumentar mínimamente los motivos de inconstitucionalidad que alega. Se impugna íntegramente la Ley con argumentos genéricos y razones inconcretas, según los cuales las funciones que se atribuyen a la Agencia resultarían contrarias al orden constitucional.
El Letrado del Parlamento de Cataluña reclama al Tribunal que valore estas circunstancias cuando se le pide que levante la suspensión antes del plazo de cinco meses, pues entiende que el recurrente no solo tiene la carga de demostrar los perjuicios que puede suponer el mantenimiento de la vigencia de la ley impugnada, sino de cumplir también los requerimientos mínimos que debe cumplir formal y materialmente la acción procesal interpuesta a la que ha anudado el poder de suspensión.
Por otra parte, se sostiene que el mantenimiento de la suspensión de la Ley puede producir perjuicios graves para la Administración de la Generalitat y para terceros, perjuicios derivados de la inexistencia de un instrumento que ha sido creado para garantizar la ciberseguridad en las redes y servicios de información, especialmente los de las propia Administración. La creación de la Agencia de Ciberseguridad obedece a la voluntad de dotar a la Generalitat de un instrumento organizativo adecuado para asumir los retos que impone garantizar la ciberseguridad. La imposibilidad de que este nuevo modelo organizativo se pueda implementar a causa de la suspensión de la Ley no es en modo alguno irrelevante. Lo que está en juego —y lo que la suspensión impide— es que pueda actuar un instrumento que ofrece mayores garantías y recursos para el cumplimiento de las funciones de ciberseguridad en aspectos tan esenciales para la administración de la Generalitat y para la sociedad en general, como son las políticas de seguridad que en este ámbito establece la legislación estatal sobre la administración electrónica, la seguridad nacional, la protección de las infraestructuras estratégicas o a la seguridad pública. La suspensión de la Ley priva de un instrumento básico para la prevención y lucha frente a las actuaciones ilícitas en materia de ciberseguridad, con lo que sus efectos, caso de prolongarse, determinan que las fuerzas y cuerpos de seguridad, en especial los de la Generalitat, no dispongan en este momento de un mecanismo de apoyo técnico para el mejor desarrollo de su función de protección de personas y bienes y de mantenimiento del orden público.
6. El Pleno del Tribunal, por providencia de 7 de febrero de 2018, acordó que, próximo a finalizar el plazo de los cinco meses que señala el artículo 161.2 de la Constitución desde que se produjo la suspensión de la Ley impugnada en este recurso de inconstitucionalidad, se oiga a las partes personadas, para que en el plazo de cinco días, exponga lo que considere conveniente acerca del levantamiento o mantenimiento de dicha suspensión.
7. El Abogado del Estado, por escrito registrado en este Tribunal el 14 de febrero de 2018, interesó el mantenimiento de la suspensión.
Tras recordar la doctrina constitucional sobre los incidentes de suspensión de leyes autonómicas, se refiere específicamente a la relativa a la suspensión en materia de seguridad pública. Resalta al respecto que, sobre la suspensión de disposiciones impugnadas que afectan al ámbito de la seguridad pública, la doctrina de Tribunal Constitucional viene ponderando la creación, como consecuencia del levantamiento de la suspensión, de situaciones que impliquen distorsiones y disfunciones en el mantenimiento de la seguridad ciudadana (con cita de los AATC 439/1990, 309/1992 y 89/2016). Alude también a la doctrina sobre suspensión en materia de especial relevancia constitucional, como serían las denominadas estructuras de estado, mencionando al respecto el ATC 156/2013 y los AATC 182/2015 y 186/2015. Cita, en último lugar, la doctrina del fumus boni iuris, en caso de identidad sustancial con normas ya declaradas inconstitucionales. A su juicio, es aplicable en la presente impugnación toda la doctrina anteriormente referida.
El Abogado del Estado sostiene que la Ley 15/2017 es inconstitucional en su conjunto en atención no solo a la asunción de competencias estatales por parte de la Agencia sino también a la unidad de sentido de la Ley por su carácter de “estructura de estado”, como remarca el Consejo de Estado en su dictamen, con lo que sería aplicable la doctrina del fumus boni iuris, atendiendo a que se trata de una “estructura de estado”. Menciona el Abogado del Estado que el Tribunal Constitucional ya se ha pronunciado sobre la abierta inconstitucionalidad de las denominadas “estructuras de estado” (citando la STC 52/2017, FJ 8). Como señala el Consejo de Estado, la Ley impugnada puede relacionarse con el proceso de creación de estas estructuras acometido por la Generalitat y que se ha observado en la Ley 17/2017, de 1 de agosto, del Código tributario de Cataluña y de aprobación de los libros primero, segundo y tercero, relativos a la administración tributaria de la Generalitat y la Ley 21/2017, de 20 de septiembre, de la Agencia de Protección Social de Cataluña, cuya aprobación trae causa, a su vez, de las previsiones contenidas en la Ley 3/2015, de 11 de marzo, de medidas fiscales, financieras y administrativas de Cataluña, que vino a materializar las propuestas contenidas en los informes del Consejo Asesor para la Transición Nacional de Cataluña, en los que se diseñó la denominada “hoja de ruta” para la constitución de un Estado catalán.
Al respecto se aporta un informe del Ministerio del Interior en el que se pone de relieve el uso que se ha dado durante los acontecimientos vinculados a la declaración de independencia de Cataluña del pasado 27 de octubre de 2017 al organismo al que sucedería en su integridad la Agencia de Ciberseguridad, el CESCICAT, con su participación en el referéndum inconstitucional del 1 de octubre. Por otro lado, la norma aquí recurrida guarda relación directa con la STC 52/2017 que declaró inconstitucional el Decreto de la Generalitat de Cataluña 16/2015, de 24 de febrero, por el que se crea el comisionado para la transición nacional y contra los denominados, respectivamente, plan ejecutivo para la preparación de las estructuras de estado y plan de infraestructuras estratégicas.
En tercer lugar, el Abogado del Estado sostiene que la Agencia de ciberseguridad afecta a la seguridad pública como interés general y público constitucionalmente reconocido. Menciona las razones en las que se fundamentó el recurso, relacionadas con la infracción del artículo 149.1.29 CE. Señala que la ciberseguridad también se integra en el concepto de seguridad nacional, tal como ha sido definida por la doctrina constitucional, siendo su mantenimiento una de las funciones propias del Centro Nacional de Inteligencia. Así, la protección eficiente de la seguridad ciudadana, en el aspecto relacionado con la seguridad nacional, choca con las competencias que ejercería la Agencia de ciberseguridad, en particular, las previstas en el artículo 2.4 f) relativas a “investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información, servicios de tecnologías de la información y la comunicación o la propia información en los que la Agencia intervenga por razón de su competencia”. A su vez, la redacción conscientemente expansiva de la norma implicará extralimitaciones de la agencia fuera del territorio de Cataluña o dentro del mismo en choque con las competencias estatales referidas a ciberseguridad e infraestructuras críticas. Por todo ello, los perjuicios al interés general que se podrían irrogar del levantamiento de la suspensión, al afectar a la seguridad pública y a la seguridad nacional, son muy superiores a los posibles beneficios derivados del levantamiento de la suspensión.
II. Diritto
1. El objeto de la presente resolución es determinar si procede mantener o levantar la suspensión de la vigencia de la Ley 15/2017, de 25 de julio, de la agencia de ciberseguridad de Cataluña, que se encuentra suspendida en su aplicación, como consecuencia de la invocación de los artículos 161.2 CE y 30 de la Ley Orgánica del Tribunal Constitucional (LOTC) por el Presidente del Gobierno en su escrito de interposición del recurso de inconstitucionalidad.
La Ley 15/2017 crea la Agencia de Ciberseguridad de Cataluña como entidad de derecho público con personalidad jurídica propia y sometida al derecho privado, a la que corresponde desarrollar y liderar el servicio público de ciberseguridad necesario para la protección del territorio de Cataluña, gestionar los incidentes de carácter global que afecten a Cataluña y a sus instituciones y coordinar los esfuerzos de los diferentes equipos que puedan tener conocimiento de ellos. La norma regula la naturaleza jurídica y el régimen que se aplica a la Agencia y define, entre otras cuestiones, su objeto y funciones, estructura orgánica, régimen económico y financiero, de contratación, de personal y de control y relaciones con el departamento de adscripción.
El Abogado del Estado sostuvo en su recurso, que se impugnaba la Ley 15/2017 en su conjunto en atención a la asunción de competencias estatales por parte de la Agencia y también a la unidad de sentido de la Ley por su carácter de “estructura de estado”. La impugnación tiene, así, un motivo fundamentalmente competencial, en cuanto la Ley 15/2017 vulneraría la competencia exclusiva del Estado en materia de seguridad pública del artículo 149.1.29 CE, dentro de la cual se integra la ciberseguridad, en conexión con las competencias estatales en materia de defensa y telecomunicaciones. Las consideraciones anteriores de la demanda se completan con una referencia a la relación que la Ley 15/2017 guardaría con otras leyes catalanas aprobadas poco después y que se enmarcan dentro del conjunto de actuaciones llevadas a cabo por la Generalitat en su propósito declarado de construir estructuras de estado, con virtualidad sustitutoria de las actualmente vigentes en el sistema estatal.
Por el contrario, el Letrado del Parlamento de Cataluña ha considerado que el recurso tiene una finalidad meramente preventiva, siendo una impugnación genérica e imprecisa, sin que la norma impugnada incurra en ninguna de las vulneraciones constitucionales que la demanda denuncia.
2. La representación procesal del Parlamento de Cataluña ha solicitado el levantamiento anticipado de la suspensión, sin esperar el transcurso de los cinco meses previsto en el artículo 161.2 CE que resulta viable procesalmente. Conforme a nuestra doctrina al respecto, los cinco meses a los que hace referencia el citado precepto constitucional son, precisamente, el límite máximo inicialmente previsto para la suspensión, incluyéndose entre las potestades de este Tribunal la de ratificar o levantarla dentro de ese plazo (por todos, ATC 18/2017, de 31 de enero, FJ 1, y los allí citados).
Tal y como ha quedado detallado en los antecedentes, el Letrado del Parlamento de Cataluña solicita dicho levantamiento anticipado de la suspensión que pesa sobre la Ley 15/2017 en el entendimiento de que el recurso obedece claramente a una finalidad preventiva, porque el recurso incumple la carga de argumentar mínimamente los motivos de inconstitucionalidad que alega. Finalmente, sostiene que el mantenimiento de la suspensión de la ley puede producir perjuicios graves para la Administración de la Generalitat y para terceros, perjuicios derivados de la inexistencia de un instrumento que ha sido creado para garantizar la ciberseguridad en las redes y servicios de información.
El Abogado del Estado se ha opuesto a esa solicitud. Ha fundamentado su petición de mantenimiento de la suspensión cautelar de la aplicación de la Ley 15/2017 en dos tipos de argumentos. Por un lado, la inconstitucionalidad de la Ley 15/2017 en su conjunto por su carácter de “estructura de estado”, lo que pondría de relieve tanto la especial relevancia constitucional de la cuestión debatida, como la necesidad de aplicar el criterio de la apariencia de buen derecho, por cuanto existiría una identidad de razón con supuestos ya resueltos por anteriores sentencias constitucionales, en concreto, la STC 52/2017, de 10 de mayo. Por otro, ha subrayado que la constitución de la Agencia de ciberseguridad afecta a la seguridad pública y a la seguridad nacional, como intereses públicos constitucionalmente reconocidos.
3. Expuestas las posiciones de las partes en el presente incidente cautelar y antes de resolverlo hemos de realizar algunas consideraciones preliminares (ATC 11/2018, de 7 de febrero, FJ 3):
a) Este incidente cautelar tiene autonomía respecto al procedimiento principal en el que se debe dilucidar la validez o invalidez de las normas legales recurridas exclusivamente desde una perspectiva competencial. Una vez producida la suspensión por invocación del artículo 161.2 CE por el Presidente del Gobierno, el mantenimiento o levantamiento de la suspensión de la eficacia de las disposiciones autonómicas impugnadas constituye una genuina medida procesal cautelar, cuya finalidad consiste en asegurar el objeto litigioso, evitando la producción de daños y perjuicios irreparables o de difícil reparación.
b) La naturaleza propia, genuinamente cautelar, que caracteriza al incidente de suspensión delimita también el marco jurídico en el que debe desenvolverse. En primer lugar, la suspensión acordada cautelarmente tiene un carácter excepcional, pues las leyes gozan de la presunción de legitimidad, en cuanto expresión de la voluntad popular, mientras no se constate que han infringido la Constitución (por todos, ATC 277/2009, de 10 de diciembre, FJ 2). En segundo lugar, la decisión sobre el mantenimiento o el levantamiento de la suspensión de la vigencia de las disposiciones impugnadas debe desvincularse plenamente de la decisión sobre la cuestión de fondo, que deberá ventilarse mediante sentencia (por todos, AATC 12/2006, de 17 de enero, FJ 5, y 18/2007, de 18 de enero, FJ 5).
c) En cuanto a la forma de sustanciar este tipo de incidentes, el ATC 163/2017, de 28 de noviembre, sintetizando nuestra doctrina, señaló que: “para decidir acerca del mantenimiento o levantamiento de la misma, es necesario ponderar, de un lado, los intereses que se encuentran concernidos, tanto el general y público como, en su caso, el particular o privado de las personas afectadas, y, de otro, los perjuicios de imposible o difícil reparación que puedan derivarse del mantenimiento o levantamiento de la suspensión. Igualmente, hemos destacado que esta valoración debe efectuarse mediante el estricto examen de las situaciones de hecho creadas y al margen de la viabilidad de las pretensiones que se formulan en la demanda. Asimismo, este Tribunal ha precisado que el mantenimiento de la suspensión requiere que el Gobierno, a quien se debe la iniciativa, no solo invoque la existencia de aquellos perjuicios, sino que es igualmente necesario que demuestre, o al menos, razone consistentemente su procedencia y la imposibilidad o dificultad de su reparación”.
d) No obstante, este Tribunal también ha admitido que el mantenimiento de la suspensión se pueda acordar excepcionalmente con arreglo a otros criterios o consideraciones, sin entrar a valorar los perjuicios de imposible o difícil reparación que ello generaría.
Uno de esos criterios excepcionales es el criterio del fumus boni iuris, que resulta aplicable cuando los preceptos impugnados sobre los que versa el incidente de suspensión contienen previsiones muy similares (una “similitud intensa o coincidencia literal”) con otras normas ya declaradas inconstitucionales y nulas por Sentencia de este Tribunal (así, AATC 78/1987, de 22 de enero, FJ 2; 183/2011, de 14 de diciembre, FJ 4; 182/2015, de 3 de noviembre, FJ 6; 41/2016, de 16 de febrero, FFJJ 2 y 3, y 171/2016, de 6 de octubre, FJ 3).
Otro de los supuestos excepcionales es el bloqueo de competencias estatales. Según se recuerda en el ATC 63/2015, de acuerdo con la doctrina de este Tribunal “[t]al bloqueo podría llegar a producirse, bien porque la competencia estatal afectada está palmariamente reconocida por el bloque de constitucionalidad y no es discutida por las partes (ATC 336/2005, de 15 de septiembre, FJ 5); bien porque la norma autonómica impugnada reconoce expresamente que se ha dictado con la única finalidad de dejar en suspenso el ejercicio de una competencia estatal cuya legitimidad se discute (ATC 146/2013, de 5 de junio, FJ 4); bien finalmente, porque concurren a la vez ambos requisitos: una competencia incontrovertida del Estado y una norma autonómica dictada con el propósito confesado de evitar que sea menoscabada por el ejercicio por el Estado de sus propias competencias (ATC 104/2010, de 28 de julio, FJ 5)”.
4. Examinaremos en primer lugar la pertinencia de aplicar el criterio del fumus boni iuris que, relacionado con el carácter de “estructura de estado” que se atribuye a la Agencia de Ciberseguridad creada por la Ley 15/2017, se alega como primer fundamento de la solicitud de suspensión.
Si en los pronunciamientos anteriores de este Tribunal se encontraran normas declaradas inconstitucionales y nulas que contuvieran previsiones muy similares —con una “similitud intensa o coincidencia literal”— a las que son objeto del presente incidente de suspensión, estaríamos liberados de ulteriores disquisiciones sobre la existencia de perjuicios de difícil o imposible reparación y sobre si alcanzan la gravedad y consistencia necesaria como para prevalecer sobre la presunción de constitucionalidad de la Ley del Parlamento de Cataluña que se impugna.
En el presente caso, el Abogado del Estado cita una sentencia anterior, la STC 52/2017, de 10 de mayo, resolutoria del conflicto positivo de competencia interpuesto por el Gobierno de la Nación, contra el Decreto de la Generalitat de Cataluña 16/2015, de 24 de febrero, por el que se crea el Comisionado para la transición nacional y contra los denominados, respectivamente, plan ejecutivo para la preparación de las estructuras de Estado y plan de infraestructuras estratégicas, así como contra las previsiones y actuaciones desarrolladas en aplicación o al amparo de dicho Decreto o de los referidos planes o coincidentes con su finalidad. En particular, alude al fundamento jurídico 8 de la meritada Sentencia relativo al “plan ejecutivo para la preparación de las estructuras de estado” y, más en concreto, al plan sobre la hacienda pública catalana (“despliegue de la hacienda propia”) y al “plan y diseño de la Administración y Tesorería de la Seguridad Social catalana”, así como al denominado “plan de infraestructuras estratégicas”.
El Tribunal ha admitido excepcionalmente que pueda tenerse en consideración el criterio del fumus boni iuris para resolver este tipo de incidentes, como ocurre señaladamente cuando los preceptos impugnados sobre los que versa el incidente de suspensión contienen previsiones muy similares (una “similitud intensa o coincidencia literal”) con otras normas ya declaradas inconstitucionales y nulas (así, AATC 78/1987, de 22 de enero, FJ 2; 183/2011, de 14 de diciembre, FJ 4; 182/2015, de 3 de noviembre de 2015, FJ 6, y 41/2016, de 16 de febrero, FFJJ 2 y 3). Sin embargo, en el presente caso, la cita de la STC 52/2017, FJ 8, no puede servir para aplicar el criterio de la apariencia de buen derecho. No concurre tal supuesto excepcional en el caso que nos ocupa. Este Tribunal no ha declarado la inconstitucionalidad y nulidad de ninguna norma autonómica que contenga previsiones idénticas o de intensa similitud a las previstas en la Ley 15/2017, objeto del recurso de inconstitucionalidad en el que se suscita este incidente. Por tanto, la decisión que aquí hemos de adoptar no puede apoyarse en la apariencia de buen derecho de la pretensión impugnatoria, pues supondría anticipar un pronunciamiento que sólo es posible en el marco del proceso principal.
En relación con lo anterior, no está de más recordar ahora que la Ley 3/2015, de 11 de marzo, de medidas fiscales, financieras y administrativas de Cataluña, vino a materializar propuestas contenidas en los informes del Consejo Asesor para la Transición Nacional de Cataluña, en los que se diseñó la denominada “hoja de ruta” para la constitución de un Estado catalán y se abordaron diversas cuestiones estrechamente relacionadas con la pretensión de crear estructuras de estado dotadas de características precisas para operar la sustitución del sistema estatal en el momento en que se produjera la pretendida independencia de Cataluña. Dicha norma fue declarada parcialmente inconstitucional en la STC 128/2016, de 7 de julio. La creación de la Agencia de Ciberseguridad de Cataluña no se encontraba mencionada en la referida Ley como una de las actuaciones encomendadas a la Generalitat de Cataluña dentro del llamado proceso de transición nacional para la “desconexión” del Estado. De hecho, una de las cuestiones debatidas en el proceso principal es, precisamente, el carácter o no de “estructura de estado” para la eventual asunción de competencias estatales de la Agencia de Ciberseguridad que se crea por la Ley 15/2017. Cuestión que, por lo demás, se alega de modo subsidiario a la vulneración competencial que, de manera principal, se imputa a la norma autonómica.
Por tanto, en la perspectiva que reclama el presente incidente, no es posible apreciar que nos encontramos indubitadamente ante un supuesto en el que se “suscitan cuestiones que desbordan el planteamiento ordinario de una controversia competencial, aunque también lo sea. Estas cuestiones inciden en ámbitos de la máxima relevancia jurídico-constitucional: la defensa de la integridad misma de la Constitución, como sostiene el Abogado del Estado y la iniciación de un proceso de reforma constitucional, de acuerdo con la legalidad vigente, a juicio del Abogado de la Generalitat”. Circunstancia que impide también aplicar aquí la doctrina del ATC 182/2015, de 3 de noviembre, FJ 4, reiterada en el ATC 186/2015, de 3 de noviembre, FJ 4.
5. Así pues, conforme ha quedado expuesto, la decisión que aquí hemos de adoptar no puede apoyarse en la apariencia de buen derecho de la pretensión impugnatoria ni en la identificación con una “estructura de estado” en el sentido hasta ahora examinado por la doctrina constitucional.
Por tanto, al no ser aplicables los criterios anteriores, debe atenderse al criterio general y resolver si los perjuicios que ha alegado el Abogado del Estado tienen la gravedad y la consistencia necesarias como para prevalecer sobre la presunción de constitucionalidad de la Ley impugnada.
Para ello, es preciso tener presente que la ciberseguridad es un concepto con múltiples facetas. La Unión Internacional de Telecomunicaciones lo define como el “conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno” (Recomendación de la Unión Internacional de Telecomunicaciones UIT-T X.1205). Por su parte, en la Directiva (UE) 2016/1148, de 6 de julio, del Parlamento Europeo y del Consejo, se define la “seguridad de las redes y sistemas de información” como “la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información accesibles a través de ellos” (art. 4.2). Con esta finalidad, y según la propia Directiva, los Estados pueden adoptar medidas de “prevención, detección, respuesta y mitigación de los incidentes y riesgos que afecten a las redes y sistemas de información” (considerando 34).
Dado el contenido de los diversos aspectos que configuran el concepto de la ciberseguridad, es posible considerar que ésta puede tener varias acepciones y comprender varias actividades. En concreto, el Abogado del Estado ha sostenido que la actuación de la Agencia creada por la Ley 15/2017 afectaría a la vertiente de la ciberseguridad relacionada con la seguridad pública como interés general y público constitucionalmente reconocido, pues se integra dentro del mencionado concepto de seguridad pública no únicamente restringido a la preservación del orden público. De hecho, los perjuicios alegados por el Abogado del Estado se ciñen, más estrictamente, a los vinculados con la seguridad nacional, a la que se refiere la STC 184/2016, de 3 de noviembre, resolutoria del recurso de inconstitucionalidad interpuesto por la Generalitat de Cataluña contra diversos preceptos de la Ley 36/2015, de 28 de septiembre, de seguridad nacional.
Por tanto, de entre las varias dimensiones con las que nuestro ordenamiento constitucional contempla la seguridad pública, debe ahora atenderse la relativa a la seguridad nacional. Y sin que ello suponga avanzar pronunciamiento alguno sobre el fondo del asunto, se constata la conexión existente entre ciberseguridad y seguridad nacional “incluida como dice expresamente la Ley 36/2015, en los títulos competenciales de las materias 4 y 29 del art. 149.1 CE” (STC 184/2016, FJ 3), pues la citada Ley 36/2015 identifica en su artículo 10 la ciberseguridad como uno de los “ámbitos de especial interés de la seguridad nacional ... que requieren una atención específica, por resultar básicos para preservar los derechos y libertades, así como el bienestar de los ciudadanos, y para garantizar el suministro de los servicios y recursos esenciales”. A mayor abundamiento, el mantenimiento de la ciberseguridad es una de las funciones propias del Centro Nacional de Inteligencia, según establece el artículo 4 b) de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia. La ciberseguridad es, pues, una materia de relevante interés estatal en cuanto, al referirse a las necesarias acciones de prevención, detección y respuesta frente a las ciberamenazas, afecta a cuestiones relacionadas con la seguridad pública y la defensa, las infraestructuras, redes y sistemas y el régimen general de telecomunicaciones, así como a la protección de sectores y servicios públicos estratégicos.
Como resulta de su articulado, en especial de su artículo 2, la Ley 15/2017 atribuye a la Agencia que crea relevantes funciones en esta materia. De tales funciones se infiere que no se trata de un órgano puramente auxiliar o de apoyo a la protección de la seguridad tecnológica, sino de una entidad con una capacidad de actuación en el ámbito de la ciberseguridad que se proyecta sobre aspectos sustantivos de su régimen jurídico. La Agencia de Ciberseguridad de Cataluña tiene por objeto “garantizar la ciberseguridad en el territorio de Cataluña, entendida como la seguridad de las redes de comunicaciones electrónicas y de los sistemas de información” (art. 2.1), para lo que tiene por objetivo “la ejecución de las políticas públicas en materia de ciberseguridad” (art. 2.2). Para ello, asume, entre otras funciones, las de “planificar, gestionar, coordinar y supervisar la ciberseguridad en Cataluña, estableciendo la capacidad preventiva y reactiva necesaria para paliar los efectos de los incidentes de ciberseguridad que afecten al territorio de Cataluña, así como las pruebas que puedan organizarse en materia de ciberseguridad y continuidad” [art. 2.4 b)]; “actuar como apoyo, en materia de ciberseguridad, de cualquier autoridad competente para el ejercicio de sus funciones públicas y, en particular, en las tareas de lucha contra las conductas ilícitas, incluidas la intervención directa y la obtención de pruebas electrónicas” [art. 2.4 e)]; “investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información, servicios de tecnologías de la información y la comunicación o la propia información en los que la Agencia intervenga por razón de su competencia” [art. 2.4 f)], “recoger los datos pertinentes de las entidades que gestionan servicios públicos o esenciales en Cataluña para conocer el estado de la seguridad de la información, informar al Gobierno y proponer las medidas adecuadas llevando a cabo la gestión de riesgos en materia de ciberseguridad” [art. 2.4 g)].
Los perjuicios que el Abogado del Estado ha anudado al levantamiento de la suspensión de la Ley 15/2017 se concretan en la producción de distorsiones en una materia tan sensible como la relacionada con la seguridad nacional, en las vertientes antes descritas que requieren un sistema integrado de alcance nacional para su pleno aseguramiento. Tales distorsiones se vinculan directamente con el objeto y las funciones que el artículo 2 de la Ley 15/2017 atribuye a la Agencia de Ciberseguridad de Cataluña, las cuales van más allá de la posibilidad de que la Generalitat establezca las medidas necesarias para la protección de sus infraestructuras y de la estructura de su propia administración y sector público. Así, el objeto y funciones en que se inserta la actividad de la Agencia, tal como están configurados por la norma, no se ciñen al ámbito de la protección de la seguridad de las redes de comunicación electrónicas de la Administración de la Generalitat. En efecto, el abanico de actuaciones que desarrolla la Agencia, de naturaleza muy diversa, permite deducir elementos que, según el caso y en la perspectiva cautelar que ahora nos es propia, pueden incidir sobre la seguridad nacional, integrante, como ya hemos visto, de la materia seguridad pública, en tanto que se procura, entre otras cuestiones, la garantía de la integridad de las redes de comunicación electrónicas y los sistemas de información ante los ciberataques. Con ello se asegura la integridad, confidencialidad y disponibilidad de los sistemas que soportan la prestación de los servicios públicos, así como la gestión de las infraestructuras críticas. Razón por la que hemos de considerar que dichas disfunciones redundarían en un perjuicio de la preservación de la seguridad pública, interés general y público constitucionalmente reconocido (AATC 89/2016, de 26 de abril, FJ 3, y 170/2015, de 7 de octubre, FJ 5), y serían de difícil reparación en caso de que, finalmente, se declarase inconstitucional la norma impugnada.
La vigencia de la Ley autonómica, pues el resto de disposiciones son instrumentales del mencionado artículo 2, tendría así un impacto claramente negativo en la seguridad pública entendida en el sentido anteriormente expuesto. Bien que tiene relevancia constitucional con entidad suficiente para el mantenimiento de la suspensión. Lo que ha de llevar, atendiendo a las repercusiones que podrían producirse para los intereses públicos en cuestión tan delicada, a la confirmación de la inicialmente acordada en tanto se resuelve el presente recurso de inconstitucionalidad.
6. 6. Esta conclusión no se ve alterada por los argumentos expuestos por la representación procesal del Parlamento de Cataluña y relacionados con el carácter preventivo del recurso, su falta de fundamentación o la carencia en la Comunidad Autónoma de un instrumento organizativo adecuado en esta materia.
No procede pronunciarse en este momento procesal sobre el supuesto carácter preventivo del recurso ya que se trata de un “alegato de carácter sustantivo” (ATC 117/2017, de 16 de agosto, FJ 3, con cita del ATC 292/2014, de 2 de diciembre) que no tiene cabida en este incidente de suspensión. Lo mismo sucede con el reproche relacionado con la falta de carga argumental de la demanda “ya que en la ponderación que ahora se nos exige, en este incidente cautelar, no procede valoración alguna sobre la alegada falta de consistencia de la impugnación” (ATC 89/2016, FJ 3). Por lo demás, la suspensión de la Ley 15/2017 no obsta a que la Generalitat pueda adoptar las medidas oportunas para la autoprotección de los sistemas, infraestructuras y redes de comunicaciones electrónicas de su Administración para garantizar su normal funcionamiento, lo que permite excluir el último perjuicio que se vinculaba al mantenimiento de la suspensión de la norma.
Por todo lo expuesto, el Pleno
ACUERDA
Mantener la suspensión de la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.
Madrid, a veinte de marzo de dos mil dieciocho.
- Constitución española, de 27 de diciembre de 1978
- Artículo 149.1.4, f. 5
- Artículo 149.1.29, ff. 1, 5
- Artículo 161.2, ff. 1 a 3
- Ley Orgánica 2/1979, de 3 de octubre. Tribunal Constitucional
- Artículo 30, f. 1
- Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia
- Artículo 4 b), f. 5
- Decreto de la Generalitat de Cataluña 16/2015, de 24 de febrero. Creación del Comisionado para la Transición Nacional
- En general, f. 4
- Comunidad Autónoma de Cataluña. Ley 3/2015, de 11 de marzo, de medidas fiscales, financieras y administrativas
- En general, f. 4
- Ley 36/2015, de 28 de septiembre, de Seguridad Nacional
- En general, f. 5
- Artículo 10, f. 5
- Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión
- Considerando 34, f. 5
- Artículo 4.2, f. 5
- Comunidad Autónoma de Cataluña. Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña
- En general, ff. 1, 2, 4 a 6
- Artículo 2, f. 5
- Artículo 2.1, f. 5
- Artículo 2.2, f. 5
- Artículo 2.4 b), f. 5
- Artículo 2.4 e), f. 5
- Artículo 2.4 f), f. 5
- Artículo 2.4 g), f. 5
- Mantenimiento de la suspensión de disposiciones de las Comunidades AutónomasMantenimiento de la suspensión de disposiciones de las Comunidades Autónomas, ff. 1 a 5
- Seguridad públicaSeguridad pública, Doctrina constitucional, f. 5
- CiberseguridadCiberseguridad, ff. 1 a 5