Pleno. Sentencia 60/2023, de 24 de mayo de 2023. Recurso de inconstitucionalidad 762-2020. Interpuesto por el Parlamento de Cataluña en relación con diversos preceptos del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Límites materiales de los decretos leyes: pérdida parcial de objeto del proceso, concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad y prohibición de tecnologías de registro distribuido en los sistemas de identificación y firma que no vulnera la competencia autonómica de autoorganización (STC 10/2023).

• Marginal: BOE-A-2023-14928
• Emisor: Tribunal Constitucional
• Rango de Ley: Recurso de inconstitucionalidad

ECLI:ES:TC:2023:60

El Pleno del Tribunal Constitucional, compuesto por el magistrado don Cándido Conde-Pumpido Tourón, presidente, y las magistradas y magistrados doña Inmaculada Montalbán Huertas, don Ricardo Enríquez Sancho, doña María Luisa Balaguer Callejón, don Ramón Sáez Valcárcel, don Enrique Arnaldo Alcubilla, doña Concepción Espejel Jorquera, doña María Luisa Segoviano Astaburuaga, don César Tolosa Tribiño y doña Laura Díez Bueso, ha pronunciado

EN NOMBRE DEL REY

la siguiente

SENTENCIA

En el recurso de inconstitucionalidad núm. 762-2020, interpuesto por el Parlamento de Cataluña contra los arts. 1, 2, 3, 4, 6 y 7; la disposición adicional única; las disposiciones transitorias primera y segunda; y la disposición final primera del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Ha comparecido y formulado alegaciones el abogado del Estado. Ha sido ponente la magistrada doña Laura Díez Bueso.

I. Antecedentes

1.  Mediante escrito presentado en el registro del Tribunal Constitucional el 5 de febrero de 2020, la letrada del Parlamento de Cataluña interpuso un recurso de inconstitucionalidad contra los preceptos del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, que se citan en el encabezamiento.

   El recurso se fundamenta en los motivos que se exponen a continuación:

   Comienza destacando que la norma impugnada es heterogénea y tiene por objeto modificar diversas leyes en materia de documentación nacional de identidad (arts. 1 y 2); identificación electrónica ante las administraciones públicas, ubicación de determinadas bases de datos y cesión de datos entre administraciones (arts. 3 y 4); contratación pública (art. 5); seguridad en materia de telecomunicaciones (art. 6 y disposición adicional única); y coordinación en materia de seguridad de las redes y sistemas de información (art. 7).

   Anticipa que la primera cuestión planteada es la adecuación del instrumento normativo utilizado (A). Junto a ello, considera que determinadas normas sobre administración electrónica vulneran las competencias de la comunidad autónoma (B). Por último, denuncia que alguna de las normas del real decreto-ley vulneran ciertos derechos fundamentales y normas de Derecho de la Unión Europea (C).

   A) Respecto de la infracción del art. 86.1 CE, que se achaca a todos los preceptos objeto del recurso, sostiene que no se cumple con el requisito de la extraordinaria y urgente necesidad. Ni en el preámbulo de la norma ni en el debate parlamentario de convalidación se acredita de forma explícita y razonada una justificación suficiente de dicha circunstancia, como exige la jurisprudencia constitucional (cita, entre otras, la STC 34/2017, de 1 de marzo).

   a) Por un lado, el preámbulo hace una referencia genérica a un «marco jurídico que garantice el interés general y, en particular, la seguridad pública», pero este análisis no es nuevo, como reconoce la propia norma al citar otras disposiciones vigentes en la materia (como la Ley 36/2015, de 28 de septiembre, de seguridad nacional). Por otro lado, se alude a «los recientes y graves acontecimientos sucedidos en parte del territorio español», sin concretar ni la gravedad, ni la situación, ni los hechos producidos.

   Tampoco ayudan a justificar la norma las fórmulas rituales y abstractas que se emplean en el preámbulo, como que «la sociedad requiere una adaptación a la esfera digital»; o expresiones ambiguas, como «graves acontecimientos». En el debate de convalidación no se pudo ni siquiera intuir la situación a la que pretendía dar respuesta el real decreto-ley, ni si dicha situación era excepcional, grave e imprevisible. Así pues, es palmaria la insuficiencia de la debida justificación de la existencia de una situación grave que afrontar y, por tanto, el carácter extraordinario de la necesidad de dictar este real decreto-ley.

   La urgencia de la norma tampoco se justifica de forma motivada y expresa. Se alude a la circunstancia de que se habían disuelto las Cámaras, lo cual podría ser un argumento válido, pero habrían debido exponerse los hechos que hacen necesaria una reacción inmediata y los perjuicios que se derivarían de esperar a la constitución de las Cámaras y a la presentación de un proyecto de ley, que podría tramitarse por el procedimiento de urgencia (cita la STC 68/2007, de 28 de marzo, FJ 12). En conclusión, no se exponen los hechos que justificarían las medidas y tampoco los efectos que hacen necesaria una reacción inmediata y no solamente preventiva.

   b) En cuanto a la exigible «conexión de sentido», la letrada del Parlamento argumenta que, dado que no se ha especificado cuál es la situación extraordinaria que se quiere afrontar con la aprobación del decreto-ley, es difícil vincular esta indeterminación con las medidas que adopta el real decreto-ley. Cita en apoyo de este argumento el dictamen del Consejo de Garantías Estatutarias 6/2019, de 30 de diciembre, elaborado sobre esta norma.

   En consecuencia, a juicio de la letrada del Parlamento de Cataluña no se ha justificado el cumplimiento del presupuesto habilitante que autoriza la aprobación del real decreto-ley, por lo que se vulnera el art. 86.1 CE.

   c) Respecto de los límites materiales a los que debe sujetarse el Gobierno al dictar un real decreto-ley, entre los que figuran los «derechos, deberes y libertades de los ciudadanos regulados en el título I», la letrada recuerda la jurisprudencia constitucional según la cual este límite no puede interpretarse de forma tan restrictiva que prohíba cualquier regulación que afecte a un derecho reconocido en el Título I de la Constitución. Partiendo de esta doctrina, considera que en este caso debe descartarse una afectación directa a los derechos fundamentales, por lo que no considera vulnerado el art. 86.1 CE en este aspecto.

   B) A continuación, aborda las vulneraciones imputables a diversos preceptos, comenzando por los arts. 3.1 y 3.2 y, en relación con ellos, la disposición transitoria primera del Real Decreto-ley 14/2019. Señala que con ellos se incorporan normas europeas por las que se establece un marco común para los medios de identificación electrónica, los servicios de confianza para las transacciones electrónicas y las firmas, sellos, documentos y servicios de entrega electrónica.

   a) Los arts. 3.1 y 3.2 introducen un requisito de autorización estatal previa para las firmas y sellos electrónicos que no está amparado por el art. 149.1.18 CE, limitando las competencias sobre autoorganización y organización de los servicios que tiene reconocidas la Generalitat de Cataluña en los arts. 150 y 159 del Estatuto de Autonomía de Cataluña (EAC). Como subraya el Consejo de Garantías Estatutarias en su dictamen 6/2019, dicha autorización constituye una tutela o control sobre la administración electrónica carente de cobertura constitucional, pues el Estado de las Autonomías no prevé una institución general de control del primero sobre las segundas (cita las SSTC 118/1996, de 27 de junio, y 33/2018, de 12 de abril). Los citados preceptos hacen depender la decisión de la Generalitat de una autorización de la Administración General del Estado que no tiene competencias sobre la autorización de los sistemas de identificación ante la administración catalana. Además, la autorización no viene predeterminada en cuanto a su contenido y motivación y tiene unas consecuencias inadecuadas, pues, en caso de silencio, se entiende que la respuesta es desestimatoria.

   En suma, dicha autorización es un control ilegítimo que no está amparado ni en las competencias estatales sobre procedimiento administrativo común (art. 149.1.18 CE), ni sobre seguridad pública (art. 149.1.29 CE).

   La letrada del Parlamento de Cataluña subraya que los citados arts. 3.1 y 3.2 del Real Decreto-ley 14/2019 establecen que los recursos técnicos para la recogida, tratamiento y gestión de los sistemas en el caso de ciertos datos deben hallarse situados en territorio español y estar disponibles para las autoridades judiciales y administrativas competentes. Considera que esta medida es totalmente contraria al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE [Reglamento general de protección de datos (RGPD)]. Dicho reglamento aspira a garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales. Pues bien, la citada obligación de ubicar en territorio español las bases de datos es un obstáculo para el mercado interior que carece de justificación. El Reglamento general de protección de datos permite a los Estados miembros otorgar un nivel mayor de protección, pero no disminuirlo, y en ningún caso es aceptable que se restrinja la propia existencia del mercado interior, como aquí sucede.

   b) Por otra parte, el art. 3.3 del real decreto-ley incorpora una nueva disposición adicional sexta a la Ley 39/2015, de 1 de octubre, de procedimiento administrativo común de las administraciones públicas (LPACAP), por la que se impide el uso de sistemas de identificación basados en tecnologías de registro distribuido, en tanto no sean objeto de regulación específica por el Estado, en el marco del Derecho de la Unión Europea. La norma añade que, en todo caso, cualquiera que sea el sistema de identificación basado en tecnología de registro distribuido que prevea la legislación, deberá garantizar que la Administración General del Estado actúe como autoridad intermedia, ejerciendo las funciones que corresponda para...