donostia – El Tribunal Constitucional tiene otra vez sobre la mesa un conflicto de competencias entre Euskadi y el Estado. Esta vez, la denuncia la formula el Gobierno Vasco contra un decreto del Ejecutivo español que establece un control previo sobre los sistemas de contraseña electrónica de las instituciones vascas. Según ha podido saber este diario, el Gobierno de Urkullu ha formalizado ya un conflicto positivo de competencia para denunciar una intromisión en la capacidad de organización de la administración vasca.
La consejería de Autogobierno que dirige Olatz Garamendi puso en marcha antes del verano el procedimiento de negociación con el Gobierno español, un proceso al que obliga la ley para tratar de evitar el recurso a los tribunales y que empieza con un requerimiento de Lakua. Pero no ha sido posible alcanzar un acuerdo total sobre el decreto 203/2021 que desarrolla el reglamento de funcionamiento del sector público por medios electrónicos. El Ejecutivo de Sánchez solo ofreció un acuerdo parcial. El Gobierno Vasco considera en su escrito que ese control estatal que se pretende imponer es genérico, "no se justifica en ningún momento, por lo que no es posible saber a qué obedecen estas medidas tan extraordinarias", y "no se encuentra su justificación en brechas de seguridad específicas en estos sistemas que requieran medidas tan excepcionales". El Gobierno Vasco cuenta con protocolos de ciberseguridad, y la Ertzaintza tiene un grupo que controla posibles delitos en ese ámbito, de ahí que no se comprenda la tutela en este extraño conflicto.
compromiso de sánchez Los conflictos de competencia han sido durante años una constante en la relación entre ambos gobiernos, para disgusto de la parte vasca, que exige un sistema bilateral y de garantías para evitar las intromisiones en el autogobierno. El propio presidente español, Pedro Sánchez, se comprometió a poner fin a la judicialización, también en el acuerdo de investidura con el PNV, donde apostó por alcanzar acuerdos que eviten estos desenlaces (también firmaron un punto sobre los decretos digitales, que tienen conexión con lo sucedido esta vez).
Pero el conflicto de competencia que se ha formalizado ahora tampoco es un hecho inédito en el mandato de Sánchez. Con su gabinete sí se pudo alcanzar un acuerdo sobre la ley que regula los centros comerciales en Euskadi, pero tampoco hubo fumata blanca sobre la modificación de la Ley vasca de Policía, el Estado mantuvo su recurso, y los jueces tumbaron un asunto crucial: la vía para tratar de estabilizar a los interinos con una prueba diferenciada, de tipo práctico, en los sectores con un 40% de interinidad y para los trabajadores con ocho años de experiencia. Este precepto estaba incluido también en la Ley vasca de Cuerpos y Escalas.
El Gobierno Vasco mantiene una posición de firmeza ante estas vulneraciones de competencias, pero sin romper la baraja. El gabinete es de coalición entre PNV y PSE y, además, el Ejecutivo de Urkullu quiere dar una oportunidad a la nueva ministra de Política Territorial, Isabel Rodríguez, para que profundice en el diálogo y el calendario de transferencias que se trabajó con Miquel Iceta. No se ha cerrado aún una fecha para reunirse.
En el conflicto sobre la contraseña digital, el Gobierno Vasco esgrime sentencias del propio Tribunal Constitucional que respaldan su planteamiento y que el Estado no tiene competencias exclusivas en este terreno. El decreto estatal pretende fiscalizar a las comunidades y las obliga a pedir autorización a la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital, "que solo podrá ser denegada por motivos de seguridad pública", previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior. Sería de aplicación en los sistemas que se hayan puesto en marcha después del 6 de noviembre de 2019. El Gobierno Vasco cree que tragar con ese control supondría abrir un peligroso precedente y admitir que el Estado pueda intervenir con carácter preventivo en cualquier decisión, sin límites, también en la puesta en marcha de los servidores o la elección de herramientas informáticas distintas. Lakua esgrime que el control no es proporcional y podrían habilitarse otros convenios.
El conflicto de competencia (no tiene la forma de un recurso, porque el texto impugnado carece de rango de ley) se dirige contra cuatro artículos (15.3.a, 26.2.c, 28.2 y 29.4) y la disposición adicional novena. El Gobierno Vasco formuló un requerimiento que fue notificado el 28 de mayo al Gobierno español. Cumplido el plazo de un mes, el Gobierno español ofreció un acuerdo sobre los artículos 64.5 y 65.4, sobre la adhesión al sistema del Estado, para eliminar "cualquier tipo de duda o controversia competencial".
la posición de los jueces El nudo se sitúa en un punto muy concreto: la autorización previa del Estado para los sistemas de identificación y firma que no se basen en certificados y sellos electrónicos avanzados expedidos por prestadores legalmente habilitados conforme a los reglamentos de la Unión Europea. Se pone en duda la tercera vía, cualquier sistema que las administraciones consideren válido siempre que cuenten con un registro previo como usuario que permita garantizar la identidad. Son sistemas de clave concertada que exigen al ciudadano que envíe documentación identificativa legalmente reconocida, y se le responde con un sistema de contraseña, muchas veces enviada a su teléfono móvil con una validez de unos pocos minutos, de ahí su seguridad. Además, se exigen el DNI, NIE, NIF o pasaporte.
La exigencia de un control previo estatal pone en duda la capacidad de autoprotección vasca frente a los piratas informáticos, cuando estos sistemas, según los letrados, son cada vez más seguros, y los utiliza el sector privado, como la propia banca. Otra ventaja radica en que estos sistemas están al alcance de todos porque no exigen contar con un aparato, un lector específico, o instalar software. El Estado, por su parte, establece un control genérico que causa inseguridad jurídica, porque tampoco llega a concretar qué requisitos hay que cumplir para tener su aval. La sentencia 154/2015 establece que esos controles deben ser concretos y precisos.
La sentencia 142/2018 sobre la Ley de Agencia de Ciberseguridad de Catalunya, por su parte, defiende que las políticas de ciberseguridad de la Generalitat están adoptadas "al amparo de las competencias autonómicas" y no vulneran el reparto competencial.
El artículo 15.3.a del decreto estatal establece que las personas podrán utilizar los sistemas de identificación y que "deberán ser autorizados previamente" por Transformación Digital e Interior. Los artículos 26.2.c, 28.2 y 29.4 repiten esa autorización. El Gobierno Vasco solicita al tribunal que declare la "incompetencia del Estado" y declare nulos los preceptos.