Mercedes Fuertes
Catedrática de Derecho Administrativo. Universidad de León
Agradezco la invitación de la Dirección de esta Revista para participar en el número especial que hace la centena. Felicito a quienes han hecho posible durante este tiempo la aparición con regularidad de estudios que analizan aspectos relevantes del Derecho europeo. Construir la Unión es un proyecto cautivador que exige una voluntad animosa y un estudio constante. Su complejidad es manifiesta y la sucesión de acontecimientos nos interpela con singulares interrogantes. Entre ellos, nos ocupa ahora el vivido con la separación del Reino Unido, decisión preñada de problemas complejos. De ahí el acierto de la Dirección de esta Revista para aunar reflexiones tras cumplirse un año de su salida.
Mi comentario girará sobre uno de los ejes que mueve mi interés en los últimos años: analizar instrumentos y técnicas legales con el fin de que en el ciberespacio y en su entorno digital estén garantizadas las conquistas jurídicas propias de una sociedad abierta, que se facilite el libre desarrollo de la personalidad, que las iniciativas empresariales se impulsen con soltura, que los servicios esenciales se presten con continuidad... Todo ello requiere un marco jurídico común amplio, lo más internacional posible, que ofrezca suficiente confianza y una seguridad estable. Un marco que hemos de construir teniendo en cuenta la constante ebullición y expansión de sorpresivas innovaciones y, sobre todo, la sucesión de riesgos desconocidos y amenazas inesperadas que en este nuevo dominio se presentan. Conviene, por ello, detenerse en las consecuencias que ha tenido la decisión del Reino Unido de abandonar la Unión Europea en la conquista de la ciberseguridad.
En este ámbito advertimos cómo la pretensión de distanciarse del club europeo resulta más ardua que en otros sectores en los que las relaciones económicas se trenzaron con firmeza durante años. Incluso, podría decirse que algo vana. Y ello porque concurren dos elementos que presionan en sentido contrario al empeño de desligarse. El primero, la concepción similar sobre el ciberespacio, esto es, que sea un dominio abierto, libre, pacífico, seguro... y, en consecuencia, concurre el mismo propósito de defenderlo como un dominio común en el que no se levanten fronteras nuevas con la configuración de una Red propia y nacional (en lo que insiste Rusia) o una muralla digital que encierre un panopticon de control celoso (pretensión de China). Esa concepción origina que las actuaciones públicas avancen en el mismo sentido. El segundo, el hecho de que amenazas, ataques y riesgos a través de Internet se extienden con una súbita celeridad, lo que hace necesaria una ágil comunicación para conocer los incidentes y requiere de una estrecha colaboración para proteger con eficacia todo aquello que esté conectado y dependa de la Red. De ahí que, a pesar de haber transcurrido un año desde la separación, siga deliberándose entre las partes sobre cómo han de articularse las relaciones para protegerse de las amenazas y garantizar la ciberseguridad.
Y es que esta —la ciberseguridad— presenta unos matices peculiares frente a las potestades públicas tradicionales dirigidas a mantener el orden público. Sabemos que los sucesivos tratados europeos han respetado la competencia de los Estados miembros en todo aquello que pudiera afectar a su seguridad nacional. También que la normativa europea permite dispensar de su rigurosa aplicación ante la apelación a una razón de orden público. No obstante, el aumento de incidentes y el incremento de los ataques ha ido colocando la ciberseguridad en el primer plano de las preocupaciones de la Unión Europea para mostrar una decisión, más que conjunta, unida.
Durante los últimos años las instituciones europeas han encendido los focos de atención sobre nutridos aspectos digitales: ha confeccionado una estrategia de ciberseguridad, ha aprobado un marco común con el fin de proteger las infraestructuras críticas, ha precisado normas mínimas de seguridad en las redes y los sistemas de comunicación, ha detallado medidas especiales de ciberseguridad para determinadas instalaciones, otras más específicas para los servicios bancarios, también para el comercio electrónico, la firma digital o los certificados de confianza y así un largo etcétera. Una normativa densa en cuya elaboración y aprobación participaron representantes británicos y que ha ido asumiendo el ordenamiento jurídico del Reino Unido. ¿Recordamos algunas de estas reformas y actuaciones? Porque siguiendo las directrices europeas modificó su estrategia específica de ciberseguridad; incorporó previsiones concretas para proteger las infraestructuras críticas (Civil Contingence Act, de 2007); su Oficina de comunicaciones, OFCOM, ha defendido el reglamento europeo sobre una Internet abierta y neutral; ha aprobado una regulación sobre la seguridad de las redes y sistemas de información (Network and Information Systems Regulations, de 2018); reformó su normativa de telecomunicaciones para adaptarla a las nuevas previsiones europeas (Electronic Communications and Wireless Telegraphy, de 2020)...
Es decir, cuenta con un acervo jurídico bastante europeo sobre el que se ha intentado aplicar el bisturí de la separación. Pero antes de aludir a la situación actual que se otea tras este año de separación, quiero recordar algunas circunstancias que han rodeado y han influido en las relaciones entre el Reino Unido y la Unión Europea.
Porque el tiempo nos ofrece mutaciones singulares. Ahora sorprende rememorar que fueron precisamente el Reino Unido y Francia quienes en la cumbre de Saint-Malo en 1998 propusieron avanzar en una política europea común de seguridad y defensa. Una política común de la que el Reino Unido se empezó a distanciar como mostraron varias decisiones, entre ellas una que afecta a lo que ahora directamente interesa.
Y es que, cuando se hizo tan patente la extraordinaria vulnerabilidad de las sociedades con terribles atentados terroristas, las instituciones europeas impulsaron instrumentos jurídicos específicos para afrontar la ciberseguridad. Entre ellos, una agencia europea especializada en la ciberseguridad (2004). El Reino Unido impugnó la creación de esa agencia, a la que se conoce por su acrónimo en inglés ENISA (European Network and Information Security Agency). Y ello a pesar de que se configuró de manera muy modesta. Sus funciones se limitaron en aquellos años a analizar amenazas e incidentes, a asesorar a las instituciones sobre normas técnicas, a fomentar la cooperación entre técnicos y científicos. Es más, ha sido la única de todas las agencias europeas que se creó con una vigencia temporal y limitada a cinco años. Desde sus inicios estaba sometida a la incertidumbre de su desaparición. Periódicamente se discutía su actuación para, en su caso, revalidar y prorrogar su vigencia.
Interesa recordar que el Tribunal de Justicia de la Unión Europea desestimó el recurso del Reino Unido en una sentencia en la que analizó los contornos de la competencia europea de armonizar las legislaciones de los Estados miembros (tiene fecha de 2 de mayo de 2006, c-217/04 (LA LEY 36393/2006), ECLI:EU:C:2006:279). La armonización no se encauza de manera exclusiva con propuestas que atraigan la actuación de los Estados miembros. Tal competencia incluye un suficiente margen de apreciación que permite desplegar otras técnicas jurídicas, entre ellas, la creación de organismos europeos. El Tribunal europeo consideró sólido el aval presentado para crear una nueva agencia. La ciberseguridad constituye una preocupación seria ante amenazas mudables, una ocupación solícita para reparar las llamadas brechas de seguridad, una resolución pronta de las interrupciones de servicios y, sobre todo, exige una actitud atenta y cuidadosa para prevenir una disparidad de soluciones en cada Estado miembro ante la enorme complejidad técnica existente. Por ello, resulta razonable la creación de un centro especializado que realice estudios con proyección para toda Europa.
Desde entonces la Unión Europea se ha preocupado de que el ciberespacio no sea un campo de Agramante donde primen la confusión y la inseguridad. En la actualidad, los poderes públicos han de enfrentarse a riesgos diversos, amenazas híbridas que muestran las debilidades y la ineficacia de medidas aisladas si se pretende cabalgar en solitario. Porque el Reino Unido ha sufrido —como el resto de los Estados miembros de la Unión Europea— serios ataques informáticos: la manipulación informativa en la campaña del referéndum que fue desenmascarada, entre otros escándalos, con el conocido caso Cambridge Analytica; la paralización de muchos servicios, entre ellos, la asistencia sanitaria en decenas de hospitales en 2017 al quedar todos sus ordenadores bloqueados por el gusano WannaCry; sufrió infecciones de sistemas informáticos con el troyano NotPetya en 2018; al año siguiente aerolíneas, hoteles, instituciones financieras, entre otras empresas, conocieron el robo de datos y también existieron espionajes industriales; padeció con la amenaza de SolarWind que afectó al bloqueo de páginas de diversas instituciones oficiales; la farmacéutica AstraZéneca con sede en el Reino Unido fue objeto de un ataque cuando investigaba la vacuna contra la pandemia... y así podríamos seguir rememorando otros muchos quebrantos graves.
El acuerdo contiene el propósito de colaboración entre los equipos británicos y europeos utilizando las mejores prácticas para analizar las vulnerabilidades de los sistemas y facilitar la recuperación de las situaciones tras los ataques
Ha de destacarse igualmente la cara amable de la moneda, esto es, el laborioso trabajo conjunto en la lucha contra tales amenazas, la aportación de soluciones y la propuesta de medidas de fortalecimiento de los sistemas. Por ejemplo, la información y la colaboración de su Centro de ciberseguridad con los de Francia y Países Bajos consiguieron frustrar un ataque peligroso contra la Organización para la prohibición de armas químicas, así como contra instalaciones críticas en otros Estados europeos; también fueron voces británicas las que subrayaron por primera vez las debilidades de los suministros en las redes 5G que ha conducido a la determinación de lo que se conoce como «caja de herramientas» para el despliegue seguro de tales redes; los logros de la lucha contra la ciberdelincuencia abanderada por la agencia Europol, que ha estado dirigida durante casi diez años por un funcionario británico (de 2009 a 2018); también fue británico el Comisario europeo para la seguridad que coordinó varias actuaciones contra incidentes informáticos (de 2016 a 2019); el Centro nacional de ciberseguridad del Reino Unido dirigió trabajos para evitar interferencias en la campaña electoral al Parlamento Europeo de 2019...
Sin embargo, padeciendo ataques informáticos y actuando de manera conjunta ante tales amenazas, no se comprende por qué durante las primeras negociaciones para suscribir el acuerdo de separación se desatendieran totalmente esos problemas. En dicho texto —publicado en el Diario Oficial el 12 de noviembre de 2019— existen escasas menciones a la seguridad. Algunas relativas al acceso de datos policiales y a las plataformas de intercambio de información para luchar contra la delincuencia, referencias totalmente insuficientes para avanzar en la consolidación de un ciberespacio seguro, para prevenir los riesgos con una mínima eficacia, para reaccionar ante los ataques de manera ágil. Ignoro si la confianza por parte del Reino Unido de que lógicamente seguiría beneficiándose de las relaciones con otras organizaciones y agencias de seguridad (la OTAN y las alianzas estratégicas de inteligencia) pudo abonar la idea de que resultaban innecesarias precisiones en este ámbito.
El acuerdo contiene el propósito de colaboración entre los equipos británicos y europeos utilizando las mejores prácticas para analizar las vulnerabilidades de los sistemas y facilitar la recuperación de las situaciones tras los ataques
Tras la separación, su pérdida de influencia ha sido notable. El Reino Unido ha rehusado a contar con 73 escaños en el Parlamento Europeo donde se están discutiendo en la actualidad el contenido de los reglamentos que controlarán el dominio de las grandes corporaciones y el régimen jurídico del mercado digital (las conocidas como leyes de servicios y mercados digitales); ha renunciado a proponer un Comisario, así como otros altos cargos en la densa e influyente organización europea, en especial, a los efectos que aquí nos interesan, en el Grupo de cooperación para la ciberseguridad (regulado en el art. 11 de la Directiva de seguridad de las redes, donde había un representante británico) y en la agencia de ciberseguridad ENISA, en cuyo consejo de administración se sentaba y había impulsado actuaciones específicas (entre otros ejemplos, en Londres en 2018).
Ello ha originado que, en sucesivas negociaciones, fluyeran estos asuntos y se hayan adoptado algunos acuerdos. Así, en el documento publicado en el Diario oficial el 30 de abril de 2021 se muestra la voluntad explícita de cooperación. Parece que ha brotado la conciencia de debilidad ante la gravedad de los incidentes informáticos porque hay un título específico sobre ciberseguridad. Alude al propósito de un diálogo «asiduo» con el fin de compartir información sobre la evolución de las actuaciones públicas y las medidas de seguridad; la defensa de la concepción común sobre el ciberespacio abierto en los foros internacionales; y, sobre todo, la cooperación para responder a los ataques informáticos, lo que exige que nos detengamos en una de las técnicas (título II, arts. 703 ss).
Porque entre los instrumentos más eficaces para defender la ciberseguridad resalta la asequible y continua relación entre especialistas que informan con celeridad de la existencia de una amenaza, de las actuaciones para hacerle frente y de los medios para restaurar cuanto antes la situación. Estos grupos especializados se conocen por los acrónimos que forman su denominación en inglés «equipos de respuesta ante las amenazas informáticas» (CERN) y «equipos de respuesta a los incidentes de seguridad informática» (CSIRT).
Tras nuevas negociaciones entre la Unión Europea y el Reino Unido, el acuerdo contiene el propósito de colaboración entre los equipos británicos y europeos utilizando las mejores prácticas para analizar las vulnerabilidades de los sistemas y facilitar la recuperación de las situaciones tras los ataques. Tal colaboración se ha tenido que materializar en la precisión de específicos canales de comunicación, en la determinación de nuevos trámites de actuación que, en ocasiones, pueden generar cierto retraso en momentos críticos en los que se requiere una extraordinaria prontitud de información y respuesta. ¡Y los británicos querían huir de los trámites y de la «burocracia»!
Es más, si el Reino Unido lo solicita o se le invita, podrá participar en el citado Grupo de cooperación que configuró la Directiva de seguridad de las redes junto al resto de representantes de los Estados miembros, la Comisión europea y ENISA con el fin de analizar amenazas, incidentes, nuevas medidas y prácticas... y en el que información, cuando asista el Reino Unido, ha de ser «recíproca» como muestra de lealtad.
También será factible su asistencia en algunas sesiones al consejo de ENISA que se dirijan a tres ámbitos concretos: la educación, la formación y el conocimiento. Actividades en las que, incluso, se prevé la contribución financiera por las autoridades británicas.
Es decir, que la separación mantiene bastantes lazos de colaboración en lo que se refiere a la ciberseguridad. Una cooperación ahora desde fuera, sin estar adecuadamente integrada en las redes europeas en las que se busca participar.
A esas negociaciones seguirán otras porque las instituciones europeas están avanzando con decisión en fijar marcos comunes de ciberseguridad para aparatos de tal modo que la certificación otorgada por una autoridad nacional sea válida en cualquier país europeo, lo que favorecerá el mercado interior; en imponer sanciones que imposibiliten la entrada y embarguen fondos ante graves ataques externos; otro reglamento ha configurado una red de centros nacionales de «competencia» que coordinará un organismo alojado en Bucarest y que encauzará voluminosas cantidades de dinero para apoyar a las pequeñas y medianas empresas, la formación de técnicos y especialistas; así como un nuevo centro de operaciones para luchar contra las amenazas informáticas; además de las relevantes leyes de servicios y mercados digitales...
El Tiempo va a mostrar a buen seguro cómo mantener las sociedades abiertas resulta imprescindible para la defensa común del ciberespacio.