El dia 27 de novembre la Diputació Permanent del Congrés dels Diputats va convalidar, amb els vots favorables de PSOE, PP i C’s, el Decret llei 14/2019, de 31 d’octubre, mitjançant el qual s’adopten mesures urgents per raons de seguretat pública en matèria d’Administració digital, contractació del sector públic i telecomunicacions, que havia estat aprovat pel Consell de Ministres només dues setmanes abans de les proppassades eleccions generals del 10 de novembre de 2019. D’alguna manera, la majoria parlamentària que ha donat suport a les mesures, des del PSOE com a partit de govern fins a les forces conservadores que han estat protagonistes a l’oposició els darrers anys (els esmentats PP i C’s), ha reproduït una alineació que era perfectament coherent en el moment en què el Consell de Ministres va aprovar el text del Decret llei, quan el PSOE encarava la campanya electoral amb un discurs de fermesa contra l’independentisme i les actuacions del Govern català. Tanmateix, i després dels resultats de les eleccions generals del 10 de novembre de 2019, sembla que les opcions del PSOE per ser reconduït al Govern d’Espanya passen per un pacte amb forces com Podemos i d’altres partits, incloent-hi com a necessària l’abstenció de, com a mínim, un dels dos principals partits independentistes catalans amb representació al Congrés dels Diputats. Paradoxalment, tots aquests potencials socis de govern del PSOE han votat en contra de la convalidació de l’esmentat Decret llei (PNB, Compromís, ERC, JxCat) o s’hi han abstingut (Podemos) sense amagar la seua incomoditat amb els continguts del text. Les raons d’aquesta incomoditat són conegudes: com a norma d’aplicació general, i més enllà dels problemes addicionals que genera el fet que acabe limitant possibilitats d’acció de les administracions autonòmiques i locals que mai no havien estat considerades problemàtiques només pel fet que es tem que per eixa via el Govern de la Generalitat de Catalunya podria potencialment desenvolupar certes iniciatives polítiques, el Decret llei 14/2019 és un exemple paradigmàtic de com darrerament les normes de dret públic s’han acostumat a limitar i restringir llibertats digitals d’una manera molt probablement innecessària i desproporcionada. Així doncs, tractem d’explicar alguns dels problemes jurídics de la norma i assenyalem aquesta manca de proporcionalitat.

1. La més que qüestionable urgència de la resposta regulatòria

A Espanya s’ha convertit en un costum obviar les exigències constitucionals que habiliten els governs per dictar decrets llei, que segons l’art. 86.1 CE només són possibles en casos d’“extraordinària i urgent necessitat”. Cap de les referències de l’exposició de motius de la norma a les necessitats de la societat actual i les adaptacions que hi són adients per adaptar-se a l’esfera digital, com afrontar els riscos a partir del que preveu la Llei 36/2015, de seguretat nacional, o la importància de completar l’Estratègia de Seguretat Nacional 2017, aprovada pel Decret 1008/2017, en matèria de ciberamenaces o problemes associats al desenvolupament tecnològic, no explica les raons per les quals la resposta normativa continguda al Decret llei 14/2019 seria urgent i no hauria estat possible aprovar-la conjuntament amb eixos instruments normatius previs o no podria ser-ho, senzillament, amb el procediment legislatiu ordinari.

Malgrat el fet que ens hem acostumat a aquesta hipertròfia de l’activitat legislativa ordinària reconduïda via decret llei, i que molt especialment durant l’última legislatura el recurs a l’instrument ha estat constat, cal assenyalar que estem davant d’una anomalia constitucional i d’un abús que ha de ser degudament criticat cada vegada que es produeix. Doncs bé, aquest n’és un altre exemple, i molt escandalós. L’únic intent de justificar la urgència de la regulació és el següent paràgraf:

“Los recientes y graves acontecimientos acaecidos en parte del territorio español han puesto de relieve la necesidad de modificar el marco legislativo vigente para hacer frente a la situación. Tales hechos demandan una respuesta inmediata para evitar que se reproduzcan sucesos de esta índole estableciendo un marco preventivo a tal fin, cuyo objetivo último sea proteger los derechos y libertades constitucionalmente reconocidos y garantizar la seguridad pública de todos los ciudadanos.”

No sembla suficient com a justificació normativa de l’“extraordinària i urgent necessitat” que exigeix la Constitució una apel·lació genèrica al fet que els “recents i greus esdeveniments ocorreguts a part del territori espanyol […] requereixen una resposta immediata per evitar que es tornen a produir”. Encara que sembla que tots sabem, perquè el Govern va filtrar degudament a la premsa que l’objectiu del Decret llei era impedir l’anomenada República Digital Catalana, que és exigible que la norma, per justificar la urgència que habilita el Govern a dictar decrets llei, explicite clarament de què estem parlant, quins són eixos esdeveniments en concret, com es varen produir i per quines raons, doncs, la resposta normativa prevista en la norma analitzada seria adequada, apta per resoldre’ls i, a més, proporcional.

Res d’això no es fa al present Decret llei, la qual cosa no només impedeix entendre que s’ha justificat degudament l’existència d’eixa extraordinària i urgent necessitat, d’una banda. De l’altra, a més, la inexistent explicació dels riscos que es pretenen combatre, la falta de referències sobre en què consisteixen o la inexistent explicació de per quines raons les normes aprovades pel Govern al Decret llei 14/2019 hi serien una resposta apropiada ens impedeixen avaluar mínimament la seua possible o potencial utilitat. Per contra, són ben paleses les limitacions de drets i excessos en les potestats de control que s’atorguen a les administracions públiques, que, sense més explicació sobre la seua necessitat, s’ha de considerar necessàriament que són una limitació desproporcionada d’alguns drets i llibertats de tots els ciutadans o afeccions innecessàries al dret a la capacitat d’organització autònoma de les administracions públiques territorials. Algunes d’aquestes afeccions, a més, són absolutament incoherents amb el marc jurídic previ vigent.

2. Limitacions a les possibilitats d’autoorganització de les admininstracions públiques

Una part essencial del Decret llei 14/2019 té a veure amb la voluntat de l’Estat de limitar les possibilitats d’altres administracions públiques per utilitzar una sèrie d’instruments o eines, tant tecnològiques com jurídiques, de les quals fins ara han gaudit i han pogut utilitzar sense problemes. Essencialment, hi trobem mesures referides a l’obligatorietat d’utilització amb caràcter exclusiu i excloent del DNI electrònic com a document d’acreditació de la identitat digital dels ciutadans, la prohibició d’utilització de la tecnologia de registre compartit (cadena de blocs o blockchain) per part de les administracions públiques espanyoles i la prohibició de fer serveis d’emmagatzemament digital en núvol a servidors de fora de la UE. Totes tres semblen fortament derivades del fet que el Govern de l’Estat tem que aquests instruments puguen ser utilitzats, o que ho hagen estat ja, pels moviments sobiranistes. Però, no s’acaba d’entendre ni sembla que el Decret llei 14/2019 justifique suficientment per quina raó aquest fet ha de justificar la introducció d’unes restriccions que afecten totes les administracions públiques per qualsevol activitat.

Pel que fa al DNI digital, l’art. 1 del Decret llei modifica la Llei de seguretat ciutadana per deixar clar que només el document nacional d’identitat, amb caràcter exclusiu i excloent, és un document suficient per acreditar a tots els efectes la identitat i les dades personals del seu titular. De manera coherent, l’art. 2 modifica la Llei 59/2003, de signatura electrònica.

Aquesta regulació és molt sorprenent si tenim en compte que, en principi, la Llei 39/2019, la normativa bàsica del procediment administratiu aplicable a totes les administracions públiques, arreplegant el que havia estat d’altra banda la regulació tradicional vigent a Espanya almenys des de la Llei d’accés electrònic als serveis públics de 2007, havia acceptat com a mitjà tant d’identificació (art. 9) com de signatura (art. 10) d’altres eines i instruments, incloent-hi no només certificats electrònics sinó fins i tot sistemes de registre o clau i contrasenya que cada Administració, segons els casos, podia determinar. No s’entén la necessitat d’establir unes normes que, si s’entenen com d’aplicació general, van contra la normativa bàsica estatal i haurien de derogar-la (cosa que no fan) i que, si s’entenen com a regulacions només per a determinades situacions en què hi haja una exigència legal específica d’acreditació exclusiva de la identitat amb totes les seguretats, semblarien sobreres. Per resoldre aquesta paradoxa, el Decret llei 14/2019 sí que modifica la Llei 39/2015 i, encara que accepta que les administracions públiques puguen seguir determinant els seus propis sistemes d’identificació, que d’altra banda sembla que el Tribunal Constitucional a la Sentència 55/2018 havia determinat que en efecte formava part de la seua autonomia constitucionalment protegida, se sotmeten a un nou règim d’autorització prèvia per part de l’Administració General de l’Estat tots aquells sistemes que siguen diferents als de certificat o segell electrònic. En vista del que ha estat la tradicional interpretació sobre l’autonomia, i del que va deixar establert la STC 55/2018, per exemple respecte de l’autorització prèvia que la Llei 39/2015 preveia a la DA2a i que es va deixar sense contingut, és molt possible que aquesta exigència d’autorització prèvia s’entenga també com a contrària al principi d’autonomia constitucional.

Perplexitats semblants apareixen davant els art. 3 i 4 del Decret llei pel que fa a les normes que estableixen la ubicació de bases de dades i dates cedides per les administracions públiques per garantir la millor seguretat d’aquestes activitats. Com és sabut, la idea és prohibir la contractació amb servidors o serveis d’emmagatzemament en núvol en països de fora de la Unió Europea o respecte dels quals les autoritats europees no hagen establert que disposen d’un nivell de seguretat i garanties equivalents. Donat el fet que a dia d’avui aquest procés europeu de certificació no existeix, una interpretació estricta i literal de la llei obliga les administracions públiques a deixar d’utilitzar servidors o serveis d’emmagatzemament que estiguin ubicats fora de l’espai de la UE. El nou article 46 bis introduït a la Llei 40/2015 per l’art. 4 del Decret llei, d’altra banda, rebla encara més el clau estenent la prohibició de mantindre bases de dades a països fora de l’espai europeu. A més, no podrà (llevat d’algunes excepcions) haver-hi transferència a un tercer país o organització internacional. Això, donat el context econòmic i l’estructura de prestació de serveis habitual al món de les telecomunicacions i l’oferta d’eines digitals, obligarà a canviar no pocs contractes actualment vigents sense que hi haja una explicació entenedora sobre la raó que justifica aquest canvi ni s’haja detectat un funcionament defectuós o que haja generat problemes que justifiquen la prohibició. A més, l’art. 4 del Decret llei atorga també eines excepcionals de control a l’Administració de l’Estat mitjançant una nova redacció de l’art. 155 de la Llei 40/2015, que permet excepcionalment a l’Estat intervenir i suspendre la transmissió de dades que estiguin fent altres administracions públiques en cas d’incompliment i per raons de seguretat nacional.

Per completar aquestes novel·les limitacions, l’art. 3 del Decret llei també introdueix una limitació a la utilització de les tecnologies de registre distribuït (cadena de blocs) mitjançant una nova disposició addicional, la sexta, a la Llei 39/2015, del procediment administratiu comú de les administracions públiques, que prohibeix taxativament la seua utilització en les relacions entre administracions públiques i ciutadans mentre no hi haja una regulació sobre la matèria d’àmbit europeu (que, de moment, no existeix). La prohibició, senzillament, suposa blocar el desenvolupament d’aquestes tecnologies al si de les Administracions espanyoles, incloent-hi els nombrosos projectes innovadors i capdavanters que, en alguns casos, ja començaven a implantar algunes comunitats autònomes, com ara Aragó, en matèria de contractació pública, entre d’altres. L’exposició de motius del Decret llei, d’altra banda, afirma sorprenentment que no estem davant d’una prohibició general, sinó que es tracta només d’una prohibició provisional, encara que total i general mentre no es faça l’esmentada regulació a escala europea.

3. Limitacions desproporcionadese de drets i garanties

Particularment inquietant és la part del Decret llei 14/2019 que atorga a l’executiu (el Govern de l’Estat, en concret, a través del Ministeri d’Economia i Empresa) un poder encara més gran i més discrecional del que ja disposava per controlar l’ús de xarxes i serveis de comunicacions electròniques que podrien “suposar una amenaça greu i immediata per a l’ordre públic, la seguretat pública o la seguretat nacional o quan en determinats supòsits excepcionals” que els puguen comprometre s’entenga que és necessària una intervenció que permeta al Govern assumir el control directe de les xarxes i els serveis de comunicacions electròniques. S’ha de notar que es tracta d’una habilitació legal molt àmplia i discrecional, que amplia generosament la capacitat d’acció de l’executiu a partir de la invocació d’alguna d’aquestes situacions, i que en principi es fa sense necessitat de control judicial previ (encara que, com és normal, sí que hi haurà una possibilitat de control contenciós ex post). A més, aquestes majors possibilitats d’actuació no es reconeixen només sobre un concepte estricte de xarxa o servei de la societat de la comunicació, sinó que expressament el Decret les considera extensibles a qualsevol altre element que necessàriament hi estiga adherit, amb la qual cosa es permet la intervenció de qualsevol infraestructura necessària per prestar aquests serveis. A més d’aquesta enorme habilitació per prendre decisions executives per raons d’ordre públic, seguretat pública i seguretat nacional pràcticament sense cap contrapès o control, el Decret llei hi afig una sèrie de noves potestats sancionadores en mans del Ministeri d’Economia i Empresa contra els prestadors de serveis que incomplisquen els requeriments o ordres que es puguen emetre per executar aquestes instruccions.

Aquestes regles posen sobre la taula un problema de possible inconstitucionalitat material, perquè d’alguna manera introdueixen un dret d’excepció sobre les comunicacions electròniques que podria anar contra les disposicions en matèria de censura, que, com és sabut, a la Constitució espanyola (art. 20.5 CE), exigeixen la intervenció d’un jutge per segrestar continguts, sense que es permeta ni la censura prèvia ni el control administratiu de continguts. Traslladats a l’àmbit digital, sembla evident que el Decret llei reforça un protagonisme executiu que, encara que és de veres que ja existia en part, ara és pràcticament un poder de control total i absolut que, malgrat que està emparat per l’apel·lació a circumstàncies excepcionals i de riscos per a la seguretat, acaba per construir un règim jurídic de control administratiu de continguts i capacitat de la seua retirada i d’un control total sobre les comunicacions digitals que, segons una interpretació clàssica de la Constitució, hauria estat clarament inconstitucional si s’haguera pretès fer-lo respecte de comunicacions fetes per altres mitjans. Com a bona notícia, almenys, l’actual Decret llei almenys forçarà molt probablement el Tribunal Constitucional a establir una doctrina definitiva sobre el particular, en què haurà d’aclarir si les garanties clàssiques i tradicionals s’han d’aplicar també a aquests entorns, com sembla deduir-se de la doctrina i la jurisprudència constitucional consolidades. Si fora el cas, totes aquestes previsions haurien de ser declarades inconstitucionals per la no intervenció de jutges en actuacions que determinen el tall absolut de vies de comunicació i difusió d’informació o de mecanismes de comunicació interpersonals.

4. Modificacions en matèria de contractació pública

Una sèrie d’innovacions addicionals que apareixen al Decret llei 14/2019 tenen a veure amb la conciliació de diversos elements en matèria de protecció de dades i contractació pública, malgrat l’extensió i el detall (i l’actualitat) de la darrera modificació normativa en la matèria, la Llei 9/2017, de contractes del sector públic. Aquestes modificacions són menys interessants des d’una perspectiva jurídica, perquè no suposen grans novetats. De fet, es pot considerar que en gran part afegeixen poc al marc jurídic ja vigent. Així, s’introdueix un nou art. 35 a la Llei 9/2017 per exigir que al contingut mínim dels contractes hi haja una referència expressa a l’obligació de compliment de les normes nacionals i europees en protecció de dades. També es canvia la legislació de contractes per exigir que aquesta mateixa previsió aparega a les clàusules administratives particulars, que, a més, especifique com i amb quines regles s’hauran de complir aquestes obligacions i com haurà d’actuar al respecte el contractista. Les noves obligacions, a més, i segons el nou art. 202.1 de la Llei 9/2017, també caldrà que apareguen expressament a les condicions d’execució d’algunes tipologies contractuals com són els nous contractes de caràcter social, ètic, mediambientals o de qualsevol altre ordre. A més, aquestes obligacions, en cas de subcontractació, es deixa clar que passaran també al subcontractista.

Certa innovació, en canvi, sí que suposa el fet d’incloure una nova causa de nul·litat de ple dret als contractes públics, en cas que no apareguen aquestes clàusules de sotmetiment a les normes de protecció de dades, així com incloure una nova prohibició de contractar per als contractistes que en el passat hagen incomplit aquesta legislació.

En general, aquesta part del Decret llei no és particularment conflictiva, sinó una mera adequació de la Llei de contractes a les exigències en matèria de protecció de dades, que, d’altra banda, per aplicació directa tant de la normativa espanyola (LO 3/2018) com europea (RGPD) ja s’entenia que s’hi aplicaven d’aquesta manera, com les agències dedicades a la protecció de dades i les mateixes administracions públiques ja entenien. En aquest punt, el Decret llei no és tant que siga, doncs, problemàtic, sinó innecessari. Aquestes previsions i concrecions, si es considerava que calien, podrien haver estat afegides sense cap problema per una revisió ordinària de la legislació bàsica en matèria de contractes.

Andrés Boix Palop
Professor de dret administratiu. Universitat de València-Estudi General (UVEG)