El nuevo Decreto Ley de medidas urgentes para preservar la seguridad pública, nos trae, entre otras cosas, una modificación de la Ley General de Telecomunicaciones, y prevé que el Gobierno, con carácter excepcional y transitorio, pueda “acordar la asunción por la Administración General del Estado de la gestión directa o la intervención de las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales que puedan afectar al orden público, la seguridad pública y la seguridad nacional”, y dice que “podrá afectar a cualquier infraestructura, recurso asociado o elemento o nivel de la red o del servicio que resulte necesario para preservar o restablecer el orden público, la seguridad pública y la seguridad nacional”.
Algo que, puesto en relación con el art. 18 de la Ley Orgánica 4/1981, de 1 de junio, sobre los Estados de alarma, excepción y sito, nos lleva a determinar que estas medidas son propias del estado de excepción y requerirían la autorización del Congreso de los Diputados, que afectan a derechos fundamentales como la libertad de expresión, información y al secreto de las comunicaciones, y que aún en este escenario tan excepcional, sería en todo caso necesario informar debidamente al juez competente. Y tener en cuenta además que “dicha intervención sólo podrá ser realizada si ello resulta necesario para el esclarecimiento de los hechos presuntamente delictivos o el mantenimiento del orden público”. Por otra parte, lo que atañe al tratamiento de datos personales por la Administración Pública, ya lo regula el RGPD. ¿Por qué entonces este decretazo? ¿Qué trae de nuevo?
La opinión del experto
Sergio Carrasco (@sergiocm)
El Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones ha introducido una serie de modificaciones importantes a tener en cuenta tanto en el ámbito público como privado.
Por un lado, el Estado aumenta su papel en lo relativo a sistemas de identificación y firma, en los que se añade como requisito que cuenten con un registro previo como usuario que permita garantizar su identidad, así como la previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública
Por otro lado, se establece de manera expresa que no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificación basados en tecnologías de registro distribuido (blockchain) y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea, además de reservarse un puesto como autoridad intermedia cuando resulte posible.
Por lo que respecta a Administraciones Públicas, deberán incorporar en los pliegos de aquellos contratos cuya ejecución requiera el tratamiento por el contratista de datos personales por cuenta del responsable del tratamiento información sobre el tratamiento de datos, que incluirá (entre otros aspectos) la finalidad para la cesión de datos, pudiendo incurrir en nulidad de pleno derecho en caso de omitirse dichas menciones o la prohibición para contratar en el caso de que se incumplan las obligaciones correspondientes.
Además, se amplía a través de una modificación de la Ley General de Telecomunicaciones los supuestos en los que mediante resolución sin audiencia previa, se puede ordenar el cese de la presunta actividad infractora cuando existan razones de imperiosa urgencia.
La legitimidad en la injerencia en sistemas de identificación y firma resulta discutible a la vista de la distribución de competencias y la capacidad de organización de las Comunidades autónomas, de forma similar a lo ya tratado en la Sentencia del Tribunal Constitucional 55/2018, entre otras. Bajo el escudo de la seguridad nacional y la conservación del orden público se otorga a la Administración del Estado una capacidad exorbitante de control de los sistemas autonómicos (tanto en el régimen de autorización, como en su papel de autoridad intermedia en futuros sistemas basados en registros distribuidos). Se trata de una medida muy restrictiva, que no resulta tecnológicamente neutra, y que difícilmente tiene justificación a la vista de la múltiple normativa ya aplicable tanto a nivel europeo como español en el ámbito de la identificación y firma por medios electrónicos, así como en materia de protección de datos personales.
Por lo que respecta a la capacidad de intervención de las redes y servicios de comunicaciones electrónicas, y en especial el cese de actividades infractoras sin audiencia previa, nos encontramos ante una habilitación en un Decreto Ley, y que resulta de dudosa inclusión por la amplitud de los supuestos que se incorporan y que no estarán sometidos a un control judicial previo, que debería ser el encargado de garantizar la adecuada ponderación de derechos en juego antes de que se adopte una decisión de este tipo.
Nos encontramos en definitiva ante una normativa aprobada para dar respuesta a un supuesto muy concreto, cuya redacción ha sido realizada en base a él, y que potencialmente puede afectar a múltiples derechos fundamentales. Las buenas prácticas normativas no hacen recomendable una aprobación en estos términos y, en lo que se refiere a la prohibición expresa de tecnologías de registro distribuido, parecen olvidar los desarrollos que se están llevando a nivel europeo de sistemas de este tipo. Sin un análisis profundo de los derechos implicados, y de las tecnologías cuya efectividad se quiere limitar, al final se aprueban normas que van a ser muy discutidas en los tribunales.