Por unanimidad, el Pleno del Tribunal Constitucional español, estimó inconstitucional en parte la ley 15/2017, de la Agencia de Ciberseguridad de Cataluña y, consecuencia, declara nulos tres apartados del artículo 2 de la misma ley.
La sentencia sostiene que la redacción de estos apartados excede de las competencias del legislador autonómico, ya que el artículo 149.1.29 CE otorga competencia exclusiva al Estado en materia de seguridad pública, dentro de la cual se integra la ciberseguridad.
El artículo 2.1 de la ley 17/2017 prescribe que: “La Agencia de Ciberseguridad de Cataluña tiene por objeto garantizar la ciberseguridad en el territorio de Cataluña, entendida como la seguridad de las redes de comunicaciones electrónicas y de los sistemas de información”. Así, la sentencia indica que, respecto de este apartado, la definición del objeto que efectúa es muy extensa en su concepción, ya que la ciberseguridad se integra en las competencias estatales en materia de seguridad pública y de telecomunicaciones. Por lo que esa atribución incondicionada a la Agencia desborda en su enunciación los márgenes en los que la ciberseguridad se incluye en las competencias autonómicas.
Por su parte, el artículo 2.3 establece que la Agencia puede ejercer funciones “con relación a las personas físicas o jurídicas situadas en Cataluña”. Por lo que, el Tribunal también lo declaró inconstitucional y nulo, ya que no se limita a objetivos relacionados con la necesidad de proteger las redes y sistemas de información propios y los de los particulares y de otras administraciones que se relacionan por medio electrónicos con la Administración.
Luego, el artículo 2.4 letra b) contiene la siguiente expresión respecto de la Agencia: “Planificar, gestionar, coordinar y supervisar la ciberseguridad en Cataluña, estableciendo la capacidad preventiva y reactiva necesaria para paliar los efectos de los incidentes de ciberseguridad que afecten al territorio de Cataluña, así como las pruebas que puedan organizarse en materia de ciberseguridad y continuidad”. En consecuencia, manifiesta que la función de este apartado, presupone el diseño de un marco estratégico e institucional en esta materia que supera las competencias de la Generalidad en este ámbito, ya que no se refiere a la actuación de la administración y tampoco puede relacionarse con las competencias autonómicas derivadas de la creación de la policía de seguridad propias.
Por otro lado, en cambio, el TC español consideró que el artículo 2.2 no es contrario a la Constitución, siempre que se interprete que el objetivo que persigue la Agencia se relaciona con la necesidad de proteger las redes y sistemas de información de la Administración de la Generalidad y de su sector público y de los particulares y otras administraciones públicas que se relacionan por medios electrónicos con dicha administración. Asimismo, avala la constitucionalidad del apartado 5, que se refiere a las funciones de la Agencia de Ciberseguridad circunscritas al ámbito del Gobierno y de la Administración de la Generalidad y su sector público dependiente.
Finalmente, también consideró constitucional la letra f) del apartado 4 del artículo 2 que atribuye a la Agencia la función de investigar y analizar tecnológicamente los ciberincidentes y ciberataques sobre infraestructuras tecnológicas, sistemas de información, servicios de tecnologías de la información y la comunicación o la propia información en los que la Agencia intervenga por razón de su competencia.
Vea texto íntegro de la sentencia.
RELACIONADO
* TC español anula la ley del referéndum independentista de Cataluña…