El Tribunal Constitucional ha dictado la Sentencia 142/2018, de 20 de diciembre, publicada en el Boletín Oficial del Estado nº 22, del viernes 25 de enero de 2019, por la que estima parcialmente el recurso de inconstitucionalidad interpuesto por el Abogado del Estado en representación del Presidente del Gobierno contra la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.
Puede consultarse el texto íntegro de la Sentencia en el siguiente enlace:
Declara el Tribunal Constitucional que son inconstitucionales y nulos el apartado 1; el inciso «con relación a las personas físicas o jurídicas situadas en Cataluña» del apartado 3; el inciso «planificar, gestionar, coordinar y supervisar la ciberseguridad en Cataluña, estableciendo la capacidad preventiva y reactiva necesaria para paliar los efectos de los incidentes de ciberseguridad que afecten al territorio de Cataluña, así como las pruebas que puedan organizarse en materia de ciberseguridad y continuidad» de la letra b) del apartado 4, todos ellos del artículo 2 de la citada Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.
Aunque por otra parte declarar que el artículo 2.2 de la Ley 15/2017, también impugnado, no es contrario a la Constitución interpretado en los términos del fundamento jurídico 7 b) apartado i) de la mencionada Sentencia.
El Tribunal entiende que la redacción de estos apartados excede de las competencias del legislador autonómico, ya que el art. 149.1.29ª de la CE otorga competencia exclusiva al Estado en materia de seguridad pública, dentro de la cual se integra la ciberseguridad.
El art. 2.1 de la Ley 15/2017 prescribe que “la Agencia de Ciberseguridad de Cataluña tiene por objeto garantizar la ciberseguridad en el territorio de Cataluña, entendida como la seguridad de las redes de comunicaciones electrónicas y de los sistemas de información”. La sentencia explica que “la definición del objeto que efectúa el precepto es muy extensa en su concepción, ya que la ciberseguridad se integra en las competencias estatales en materia de seguridad pública y de telecomunicaciones”. Por tanto, esa “atribución incondicionada” a la Agencia en el territorio de Cataluña desborda en su enunciación los márgenes en los que la ciberseguridad se incluye en las competencias autonómicas.
Por su parte, el art. 2.3 establece que la Agencia puede ejercer sus funciones “con relación a las personas físicas o jurídicas situadas en Cataluña”. El Tribunal también lo declara inconstitucional y nulo por cuanto “no se limita a objetivos relacionados con la necesidad de proteger las redes y sistemas de información propios y los de los particulares y de otras administraciones que se relacionan por medios electrónicos con la Administración”.
Respecto a la letra b) del art. 2.4 anteriormente transcrito, la sentencia señala que “la función de este apartado b) presupone el diseño de un marco estratégico e institucional en esta materia que supera las competencias de la Generalidad en este ámbito, ya que no se refiere a la actuación de la administración y tampoco puede relacionarse con las competencias autonómicas derivadas de la creación de la policía de seguridad propia”.
