Seguridad en un mundo globalizado: ¿quién está haciendo dejación de funciones?

14/08/2018.- A ésto es lo que lleva el no ejercicio de las competencias estatales en materia de seguridad. Al final nos va a pasar como en Bélgica, donde coexisten 17 policías sin interconexión entre la mayor parte de ellas: terreno abonado para todo tipo de delincuencia, especialmente para la delincuencia internacional.

Hace un año, publiqué este artículo. Lo reproduzco nuevamente, porque no ha perdido actualidad. Mientras lo escribía se produjeron los atentados de Barcelona y Cambrils (de ahí la "postdata").

¿La ciberseguridad como “estructura de Estado”? No, gracias. Y una posdata.

Publicado el 19 agosto, 2017. Por Teresa Freixes

Está pasando desapercibida la creación de otra “estructura de estado” que es básica para la “desconexión”, esta vez por vía electrónica, con España. Espero que esta Ley sea inmediatamente recurrida, por las nefastas consecuencias que puede comportar su aplicación, no sólo para la seguridad en abstracto (o en concreto), sino para nuestra vida personal, social, política y económica.

La ley de creación de la Agencia de Ciberseguridad de Cataluña recientemente aprobada no respeta las previsiones del Derecho de la Unión Europea (Directiva UE 2016/1148 del Parlamento Europeo y del Consejo), de la Constitución Española de 1978 (art. 149.1.21.y 29), del propio Estatuto de Autonomía de Cataluña (art. 140.7) o de la legislación vigente en la cual debe enmarcarse y que es, en términos generales:

  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
  • Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
  • Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.


Ello es así porque, aunque nuestras autoridades autonómicas parece que no se han enterado de ello, la ciberseguridad está, en el ámbito jurídico, directamente entroncada e indisolublemente unida a la sociedad de la información, el comercio electrónico, las telecomunicaciones y la seguridad nacional. No se trata de algo “nuevo” que aparece por casualidad en el ordenamiento jurídico y que no está en conexión con otras instituciones jurídicas. Precisamente estas otras instituciones jurídicas, preexistentes, constituyen el marco en el que debe regularse y ejercerse toda competencia relativa a ciberseguridad.

En el ámbito constitucional, la ciberseguridad debe contemplarse, teniendo en cuenta quien tiene competencias sobre tal materia, teniendo en cuenta lo que dispone el artículo 149 CE:

  • El Estado tiene competencia exclusiva sobre las siguientes materias:
    • 21. Régimen general de comunicaciones, telecomunicaciones, radiocomunicaciones.
    • 29. Seguridad pública, sin perjuicio de la posibilidad de creación de policías por las Comunidades Autónomas en la forma que se establezca en los respectivos Estatutos en el marco de lo que disponga una ley orgánica.


Ninguno de estos artículos, que atribuyen una competencia exclusiva al Estado, es mencionado en la Ley Catalana como base jurídica para la determinación de las competencias de la Generalitat. Como enseguida veremos, la única fuente de legitimación que pretenden es, en interpretación torticera, el Estatuto de Autonomía de Cataluña.

La competencia del Estado es exclusiva, no sobre bases o legislación básica, tanto en comunicaciones, telecomunicaciones, radiocomunicación o seguridad pública (salvedad de las policías autónomas, con los condicionantes constitucionalmente señalados) por lo que el único ámbito competencial posible para la Generalitat es el de la ejecución y/o gestión. El régimen general sobre el que se establece la competencia exclusiva del Estado no está formado por principios o normas inconcretas, sino por la regulación española con rango de ley que no puede ser vulnerada por ninguna norma autonómica. Las Comunidades Autónomas, cualesquiera, sólo pueden tener competencias de ejecución sobre los aspectos concretos que la Ley estatal les atribuya. Las funciones de la Agencia catalana afectan, pues, en esta Ley recientemente aprobada por el Parlament de Catalunya, directamente, invadiéndolas, a competencias exclusivas del Estado. No se respetan, en este sentido, las competencias exclusivas del Estado relacionadas con la ciberseguridad.

Las infracciones del Derecho internacional o europeo, normas a las que también debe someterse una competencia de ejecución prevista en el Derecho interno, que se constatan en la Ley de Creación de la Agencia de Ciberseguridad de Cataluña, son las siguientes:

  • En ningún momento se cita ni se remite a las garantías establecidas por el Convenio Europeo de Derechos Humanos, la Carta de Derechos Fundamentales de la Unión Europea o los principios generales del Derecho Comunitario. Tales garantías son de obligado seguimiento puesto que con la ciberseguridad se afectan derechos fundamentales como la intimidad, la protección de datos personales, la seguridad de los datos económicos, etc., o inciden en las materias relacionadas con la seguridad, que se subsumen directamente en la actividad de la Agencia.
  • No se establece ninguna conexión, coordinación o colaboración de la Agencia Catalana con el punto de contacto único nacional exigido por la Directiva UE 2016/1148. Según el art. 8 de la Directiva, cada Estado miembro designará una o más autoridades nacionales competentes en materia de seguridad de las redes y sistemas de información. Esta Directiva establece, además, en el art. 10, que los Estados miembros velarán por que las autoridades competentes informen a los puntos de contacto únicos sobre las notificaciones de incidentes presentadas en el marco de la presente Directiva. Ello no está previsto en la Ley Catalana de Ciberseguridad.


Tampoco se respetan las previsiones del Estatuto de Autonomía de Cataluña, por cuanto que la competencia de la Generalitat en materia de comunicaciones electrónicas sólo puede ser ejecutiva o de gestión. Concretamente, el artículo 140 EAC, regulador de las infraestructuras del transporte y las comunicaciones dispone, en el apartado 7 que corresponde a la Generalitat, de acuerdo con la normativa del Estado, la competencia ejecutiva en materia de comunicaciones electrónicas, que incluye en todo caso:

  • a) Promover la existencia de un conjunto mínimo de servicios de acceso universal.
  • b) La inspección de las infraestructuras comunes de telecomunicaciones y el ejercicio de la potestad sancionadora correspondiente.
  • c) La resolución de conflictos entre operadores de radiodifusión que compartan múltiplex de cobertura no superior al territorio de Cataluña.
  • d) La gestión del registro de instaladores de infraestructuras comunes de telecomunicaciones y del de gestores de múltiplex de ámbito no superior al territorio de Cataluña.


Una competencia ejecutiva, como es la prevista en el art. 140.7 EAC, no habilita a la creación de una Agencia de Ciberseguridad mediante una norma con categoría de ley formal cuando las funciones que se atribuyen a la Generalitat en el Estatuto de Autonomía son promocionales, de inspección, de resolución de conflictos entre operadores locales y de gestión del registro de instaladores de infraestructuras comunes de telecomunicaciones, funciones que, por su propia naturaleza, son ejecutivas o de gestión. Las previsiones contenidas en la Ley que crea la Agencia de Ciberseguridad de Cataluña exceden, pues, en forma y contenido, a las previsiones estatutarias.

Respecto de la adecuación de la Ley catalana a las previsiones generales españolas derivadas de la competencia exclusiva del Estado que antes ha sido examinada, los incumplimientos observados son los siguientes:

  • 1.- Con relación a la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, aun cuando la actividad de la Agencia cae bajo el ámbito de aplicación territorial de esta ley (residencia o domicilio social en territorio español), tampoco se establece conexión, colaboración o coordinación alguna con las autoridades españolas competentes en materia de sociedad de la información y comercio electrónico. No consta, en la Ley catalana, el deber de colaboración que exige la Ley 34/2002, en el art. 36, cuando dispone que:
    • a) Los prestadores de servicios de la sociedad de la información tienen la obligación de facilitar al Ministerio de Ciencia y Tecnología y a los demás órganos a que se refiere el artículo anterior toda la información y colaboración precisas para el ejercicio de sus funciones.
    • b) Igualmente, deberán permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la actividad de control de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.5 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa.
       
  • 2.- Respecto de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, el proyecto de Ley catalana sobre la Agencia de Ciberseguridad no tiene en cuenta el marco normativo español vinculante en materia de telecomunicaciones:
    • a) Las actividades de la Agencia Catalana no se sitúan en el marco de los programas de coordinación tecnológica establecidos por los ministerios competentes (art. 4.3).
    • b) La Ley catalana no dispone que se han de tener en cuenta las medidas y sistemas de seguridad, vigilancia, difusión de información, prevención de riesgos y protección que se determinen por el Gobierno respecto de los bienes muebles o inmuebles afectos (art. 4.5).
    • c) La gestión de la ciberseguridad por parte de esta Agencia, en todo caso, si fuera consecuente con el marco legal, se tendría que realizar conforme a un acuerdo, entre el Estado y la Comunidad Autónoma, de asunción de gestión directa del servicio, no mediante la creación de una Agencia por Ley autonómica (art. 4.6).
       
  • 3.- Y sobre la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, en la que la ciberseguridad queda subsumida como ámbito de especial interés, los procedimientos técnicos a utilizar por la Agencia Catalana de Ciberseguridad no se articulan, como exige el art. 6 de la Ley estatal, alrededor del principio de cooperación exigido por esta ley ni se relacionan con la conferencia sectorial para asuntos de la Seguridad Nacional o el Consejo de Seguridad Nacional.

Queda claro que esta ley, sustituyendo a una fundación privada que ya está en funcionamiento está concebida como una de las “estructuras de Estado” que pretenden ser creadas en el marco del proceso de “desconexión” de Cataluña respecto de España.

De ahí que el marco competencial que se exhibe en el preámbulo de la Ley se pretende vincular la competencia más al “comercio” y la defensa de consumidores y usuarios o a la potestad organizativa de la administración autonómica, materias en las que las competencias de la Generalitat son más amplias, que a un ámbito jurídico, como es la ciberseguridad, que está directamente subsumido en la sociedad de la información, las telecomunicaciones y la seguridad nacional, materias en las que las competencias del Estado son exclusivas y que sólo permiten una competencia de ejecución y gestión por parte de cualquier Comunidad Autónoma.

Y con ello se puede incidir, porque así pretende habilitarlo la Ley que crea la Agencia catalana de Ciberseguridad, en forma contraria al Derecho internacional y europeo, a la Constitución española y el propio Estatuto de Autonomía de Cataluña, en nuestros datos personales, nuestros datos bancarios y comerciales, así como en todo el tráfico jurídico y económico que se realice electrónicamente. Sin entrar en otras materias que se sitúan directamente en el ámbito de la seguridad o defensa nacional.

Espero que esta Ley reciba el trato que se merece, es decir, que sea recurrida ante al Tribunal Constitucional en el plazo más breve posible. A día de hoy, ya puede serlo, puesto que ya se ha publicado oficialmente.

POSDATA

Había ya terminado este artículo cuando se ha producido el terrible atentado en las Ramblas de Barcelona.

No voy a, como dicen algunos, “aprovechar” la ocasión que me brinda el hecho de que, hace unos pocos meses, no hubo manera de que Mossos y Ministerio del Interior adoptaran de común acuerdo las medidas que existen en la mayor parte de grandes ciudades europeas para evitar este tipo de atentados, consistentes en colocar bolardos o pivotes que impidan el paso de vehículos en las zonas de gran concentración de personas.

Pero sí que voy a continuar la reflexión que está presente en el artículo que había escrito con anterioridad:

  • No es de recibo que se legisle para yugular la coordinación, cooperación y actuación de conjunto de todas las administraciones vinculadas a la ciberseguridad en aras de la creación de una “estructura de estado”.
  • Cuando el Derecho de la Unión exige que exista una coordinación y una autoridad nacional de contacto es por “algo”.
  • Cuando la legislación española, que es la constitucionalmente competente para hacerlo, exige que se tomen determinadas medidas de coordinación y cooperación entre las administraciones autonómicas y locales y las estatales, es por “algo”.
  • Ese “algo” deriva de una realidad y una práctica muy complejas, presididas por las lecciones aprendidas en los conflictos existentes en este nuestro mundo global.
  • El multinivel competencial, ineludible en nuestros días por las cesiones de soberanía, en sentido ascendente y descendente, que han tenido lugar en los últimos lustros, es tanto legislativo como ejecutivo y de gestión: Cataluña, España y Europa (y las ciudades si me apuran) son tres ámbitos legislativos, ejecutivos y de gestión que tienen que tener, en todas las materias concernidas por la existencia de los tres (o cuatro en algunos casos) niveles, una coherencia estructural y funcional.


La ciberseguridad es una de las manifestaciones específicas de la seguridad que entra de lleno en estas reflexiones. Sobre todo cuando va conectada con la garantía de nuestros derechos como ciudadanos. O somos conscientes de ello y exigimos que los poderes públicos obren en consecuencia, o atengámonos a lo que pueda venir.

La lucha contra el fenómeno del terrorismo encuentra un instrumento de gran utilidad en la ciberseguridad. Todas las agencias del mundo lo saben. Y todas las agencias del mundo democrático, lejos de crear ámbitos estancos fundamentados en pretendidas políticas identitarias, deberían actuar más coordinadamente para garantizar nuestros derechos y ofrecernos un mejor ámbito de seguridad en nuestra vida cotidiana.

Y no me digan, farisaicamente, que hoy no toca hablar de ello. Precisamente es hoy cuando toca hablar de ello, para que resulte mucho más difícil que lo que ha sucedido vuelva a suceder una y otra vez.

Publicado en elCatalan.es, el 18 de agosto de 2017

NUEVA POSDATA (de agosto 2018).

Esta de hoy mismo (14/08/2018). Esta Ley catalana de Ciberseguridad está recurrida ante el TC y es una de las que es objeto de "análisis" por parte del Gobierno de España y de la Comisión bilateral con Cataluña para decidir si se mantiene o retira el recurso. Lo dicho.