Por Carolina Martell Ortega
Según el departamento de Seguridad Nacional, la Seguridad Nacional[1] consiste en la acción del Estado dirigida a proteger la libertad y el bienestar de los ciudadanos, a garantizar la defensa de España y sus principios y valores constitucionales, así como contribuir junto a nuestros socios y aliados a la seguridad internacional en el cumplimiento de los compromisos asumidos.
La seguridad nacional son el conjunto de medidas que un todo Estado adopta a fin de proteger y defender los organismos e instituciones fundamentales de cualquier ataque interno o externo, de cualquier situación violenta o no, que pueda ponerlos en peligro o alterarlos.
El termino seguridad nacional es definido por cada Estado o nación dependiendo de las amenazas de su entorno, su posición geográfica, intereses económicos, militares y sociales. Los países occidentales, como España, engloban la ciberseguridad dentro de la seguridad nacional, las políticas de defensa y seguridad; así dentro de la departamento de seguridad nacional se protegen entre otros, los siguientes ámbitos: Defensa, Terrorismo, Ciberseguridad, Inteligencia, No proliferación de armas químicas o nucleares, Economía, Energía, Crimen Organizado, Emergencias, Inmigración, Infraestructuras Criticas y Seguridad marítima
Es doctrina consolidada del Tribunal Constitucional que la Seguridad Nacional y dentro del ámbito de esta, la Ciberseguridad, es una competencia exclusiva del Estado ex art. 149.1.29 CE y solamente se encuentra limitada por las competencias que las Comunidades Autónomas hayan asumido respecto a la creación de su propia policía (STC 148/2000, FJ 5).
En este sentido la reciente Jurisprudencia TC (Pleno) Sentencia núm. 142/2018 de 20 diciembre [2] que en El Tribunal Constitucional (TC) ha anulado parte del articulado de la ley de creación de la Agencia de Ciberseguridad de Cataluña por vulnerar competencias del Estado. El Pleno del Constitucional ha estimado parcialmente el recurso de inconstitucionalidad que interpuso en octubre de 2017 por el Gobierno al entender que esta norma excedía competencias autonómicas e invadía las estatales en materia de seguridad pública. En la sentencia, el Tribunal Constitucional declara nulas varias partes del artículo 2, pues considera que «la redacción de estos apartados excede de las competencias del legislador autonómico«, habida cuenta de la competencia exclusiva al Estado en materia de seguridad pública, dentro de la cual se integra la ciberseguridad. señala el Constitucional, que la ciberseguridad se integra en las competencias estatales en materia de seguridad pública y de telecomunicaciones, por lo que esa «atribución incondicionada» a la Agencia en el territorio catalán «desborda en su enunciación los márgenes en los que la ciberseguridad se incluye en las competencias autonómicas».
En el antecedente primero relata la Sentencia cómo “Para el Abogado del Estado es notorio que, en un campo novedoso y en plena expansión como es el afectado por la ciberseguridad, no cabe sostener que la intervención pública en materia de seguridad se limite al ámbito penal. De hecho, si se trata de sancionar conductas antijurídicas, la ciberseguridad operará también como bien jurídico protegido en las infracciones administrativas que se establezcan para preservarla. Pero es evidente que la ciberseguridad no puede tener solo esta dimensión punitiva, sino que debe existir también una intervención pública promotora de la ciberseguridad y tendente a prevenir cualquier quiebra o peligro para la misma, en tanto que bien jurídico de relevancia esencial en la sociedad de la información. //…//”
La competencia en materia de Ciberseguridad
La Constitución Española es la norma suprema e instrumento que confiere unidad lógica al sistema jurídico. En su art. 147 CE establece el marco normativo esencial que rige las Comunidades Autónomas, al determinar el Estatuto de Autonomía como norma institucional básica de cada Comunidad Autónoma, y el reconocimiento de ésta, por parte del Estado, como elemento integrante de su ordenamiento.
La Constitución de 1978 delimita las competencias del Estado en su artículo 149.1), que enumera competencias que, son exclusivas del Estado, pero que, en muchas ocasiones, pueden ser asumidas de manera concurrente por las Comunidades Autónomas (Art. 149.3), permaneciendo en el ámbito competencial estatal en caso de que no sean asumidas por aquéllas (Art. 149.3) y es en el apartado 29.ª del articulo 149.1 donde establece que la exclusividad de competencia de la Seguridad pública, sin más excepción que la creación de las policías autonómicas.
Así García de Enterría[3] ya decía desde los primeros estudios del reparto de competencias que, si bien existen materias exclusivas del Estado, se “reservan luego ciertos ámbitos de las mismas en que es posible a los Estatutos de autonomía asumir ciertas competencias para las Comunidades Autónomas.”, no es el caso de la Seguridad.
En el Fundamento Jurídico cuarto párrafo noveno de la Sentencia núm. 142/2018 de 20 diciembre hace el Alto Tribunal un análisis de la ciberseguridad definiendo su naturaleza de servicio público esencial de titularidad estatal “En el ATC 29/2018, de 20 de marzo , FJ 5, ya se constató la conexión existente entre ciberseguridad y seguridad nacional “incluida como dice expresamente la Ley 36/2015 , en los títulos competenciales de las materias 4 y 29 del art. 149.1 ” ( STC 184/2016 , FJ 3), pues la Ley 36/2015, de 28 de septiembre , de seguridad nacional, identifica en su art. 10 la ciberseguridad como uno de los “ámbitos de especial interés de la seguridad nacional … que requieren una atención específica, por resultar básicos para preservar los derechos y libertades, así como el bienestar de los ciudadanos, y para garantizar el suministro de los servicios y recursos esenciales”. También la Ley 8/2011, de 28 abril , de medidas para la protección de las infraestructuras críticas, dictada al amparo de la competencia atribuida al Estado en virtud del art. 149.1.29 CE, hace referencia a la ciberseguridad. El art. 2 de esta Ley define las infraestructuras estratégicas como “las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales”. Tales servicios esenciales son los necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas. La Ley 8/2011 también define las infraestructuras críticas como aquellas de las infraestructuras estratégicas “cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. Y en su anexo se incluyen las tecnologías de la información y las comunicaciones como sector estratégico. Las instalaciones, redes, sistemas y equipos de tecnología de la información tienen la consideración, en los casos previstos en dicha norma, bien de instalaciones estratégicas o, incluso, de instalaciones críticas”
Continua expresando como la ciberseguridad es un sector estratégico y una de las principales funciones del Centro Nacional de Inteligencia:” A mayor abundamiento, el mantenimiento de la ciberseguridad es una de las funciones propias del Centro Nacional de Inteligencia, según establece el art. 4.b) de la Ley 11/2002, de 6 de mayo , reguladora del Centro Nacional de Inteligencia. Además, la ciberseguridad es uno de sus objetivos, conforme a la Estrategia de Seguridad Nacional 2017, aprobada por Real Decreto 1008/2017, de 1 de diciembre , a fin de “Garantizar un uso seguro de las redes y los sistemas de información y comunicación a través del fortalecimiento de las capacidades de prevención, detección y respuesta a los ciberataques, potenciando y adoptando medidas específicas para contribuir a un ciberespacio seguro y fiable”. Este objetivo se desarrolla a través de líneas estratégicas de acción igualmente definidas en la norma, tendentes a mejorar los desarrollos normativos, organizativos y técnicos y los mecanismos de prevención y respuesta frente a posibles agresiones que redunden en un entorno digital seguro y fiable, tanto en el ámbito del sector público como en el empresarial o el de los ciudadanos.”
Y despeja cualquier duda que pudiera haber estableciendo de manera definitiva que la ciberseguridad es actividad integrada en la seguridad pública en cuanto conlleva la adopción de medidas ordinarias de prevención o seguridad de la red y tecnologías de la información, particularmente respecto a la administración electrónica y la protección de los derechos de los administrados, en sus relaciones con las administraciones públicas a través de medios electrónicos: “Esta relación entre ciberseguridad y seguridad nacional se confirma en la Orden PCI/870/2018, de 3 de agosto , por la que se publica el Acuerdo del Consejo de Seguridad Nacional, por el que se aprueba el procedimiento para la elaboración de una nueva Estrategia de Ciberseguridad Nacional que sustituya a la actualmente vigente. Esa Estrategia de Ciberseguridad Nacional data del año 2013 y sienta las prioridades, objetivos y medidas adecuadas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información. Dicha Estrategia es el marco de referencia de un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración público-privada, y en la participación de la ciudadanía. Según se afirma, es el documento estratégico que sirve de fundamento al Gobierno de España para desarrollar las previsiones de la Estrategia de Seguridad Nacional en materia de protección del ciberespacio con el fin de implantar de forma coherente y estructurada acciones de prevención, defensa, detección, respuesta y recuperación frente a las ciberamenazas.”
En la ya referida Sentencia núm. 142/2018 de 20 diciembre. RTC 2018\142, en el Fundamento Jurídico sexto párrafo noveno reitera la competencia exclusiva del Estado en materia de seguridad que no admite más excepción que la que derive de la creación de las policías autónomas: La seguridad pública es, en principio, competencia exclusiva del Estado ex art. 149.1.29 CE , precepto constitucional que pone de manifiesto que ya en él se establecen salvedades (“sin perjuicio de…”) que, en cierto sentido, vienen a modular la exclusividad de la competencia estatal, proclamada en el párrafo inicial del art. 149 CE. De esas salvedades pueden derivarse, en su caso, límites, en razón del contenido de los Estatutos de las diferentes Comunidades Autónomas y de la Ley Orgánica a la que la norma constitucional confía la regulación del marco al que ha de ajustarse la creación de policías por las Comunidades Autónomas. Así se ha declarado que “la competencia exclusiva del Estado en materia de seguridad pública no admite más excepción que la que derive de la creación de las policías autónomas” ( STC 104/1989, de 8 de junio , FJ 3). Es pues doctrina consolidada de este Tribunal que la seguridad pública es una competencia exclusiva del Estado ex art. 149.1.29 CE y solamente se encuentra limitada por las competencias que las Comunidades Autónomas hayan asumido respecto a la creación de su propia policía (por todas, STC 148/2000, de 1 de junio , FJ 5.
[1] https://www.dsn.gob.es/es/sistema-seguridad-nacional/qu%C3%A9-es-seguridad-nacional
[2] Sentencia núm. 142/2018 de 20 diciembre. RTC 2018\142
[3] García de Enterría, E. 1982, «La significación de las competencias exclusivas del Estado en el sistema autonómico», Revista española de derecho constitucional, no. 5, pp. 63-93.