SCIJ - Asuntos Expediente 24-024405-0007-CO

Expediente:	24-024405-0007-CO
Fecha de entrada:	03/09/2024
Clase de asunto:	Acción de inconstitucionalidad
Accionante:	-

Procuradores informantes

Alonso Arnesto Moya

Datos del informe
Fecha:	21/04/2025

Texto del informe

SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA

PROCESO: ACCIÓN DE INCONSTITUCIONALIDAD

ACCIONANTES: ASOCIACIÓN PRO DEFENSA DE CONSUMIDORES FINANCIEROS Y AFINES (APRODECO), FEDERACIÓN FRENTE INTERNO DE TRABAJADORAS Y TRABAJADORES DEL INSTITUTO COSTARRICENSE DE ELECTRICIDAD Y DE LA INDUSTRIA DE TELECOMUNICACIONES Y ENERGÍA (FIT) & HUAWEI TECHNOLOGIES COSTA RICA S.A.

ASUNTO: Ampliación respecto a los artículos 6, 9 y 10 del Reglamento sobre medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores (Decreto Ejecutivo n.°44196-MSP-MICITT)

EXPEDIENTE: 24-024405-0007-CO (al que se acumuló el expediente n.°24-031168-0007-CO)

INFORMANTE: Dr. Alonso Arnesto Moya

Honorables Magistrados:

El suscrito, IVÁN VINICIO VINCENTI ROJAS, mayor, divorciado, abogado, vecino de Concepción de Tres Ríos, cédula de identidad 1-0695-0983, PROCURADOR GENERAL DE LA REPÚBLICA, según acuerdo segundo del artículo 5 de la sesión ordinaria n.°44 del 8 de marzo de 2023 del Consejo de Gobierno y publicado en La Gaceta n.°83 del 12 de mayo de 2023, ratificado en el acuerdo de la Asamblea Legislativa n.°6966-22-23 en sesión ordinaria n.°167, celebrada el 20 de abril de 2023 y publicado en La Gaceta n.°84 del 15 de mayo de 2023, dentro del plazo conferido, atiendo la audiencia otorgada a la Procuraduría General de la República en resolución de las 11:06 horas del 20 de marzo del año en curso, que se tuvo por notificada el día 21 siguiente con las copias de ley al ser comunicada electrónicamente, en los términos que a continuación expongo:

I. OBJETO DE LA AMPLIACIÓN DE LA ACCIÓN Y LOS MOTIVOS DE IMPUGNACIÓN ALEGADOS

De conformidad con lo dispuesto por la resolución de esa Sala Constitucional n.°2025-5950 de las 09:20 horas del 26 de febrero de 2025, la acción tramitada bajo el expediente n.°24-031168-0007-CO se acumuló al proceso n.°24-024405-0007-CO, en lo atinente a la impugnación de los artículos 6, 9 y 10 del Reglamento sobre medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil 5G y superiores (Decreto Ejecutivo n.°44196-MSP-MICITT del 25 de agosto de 2023), al que volveremos a referiremos, en lo sucesivo, como Reglamento de ciberseguridad 5G o simplemente, Decreto n.°44196-MSP-MICITT.

Con todo y el intento de la empresa accionante por cumplir la prevención que le hizo ese alto Tribunal en su resolución de las 10:50 horas del 10 de diciembre de 2024 para que precisara respecto a cada una de las normas impugnadas el correspondiente fundamento claro, concreto, ordenado y debidamente individualizado de los motivos de inconstitucionalidad alegados; lo cierto es que aun luego del estudio de su escrito del 12 de diciembre de 2024 y de la reseña que de sus alegatos hace la resolución de curso de la acción, estimamos que sus cuestionamientos parten de referencias generales sobre esos preceptos, sin preocuparse en identificar las partes específicas del texto con los que muestra su inconformidad, pese a ser extensos, obligando a quien lo lea a tener que asociar por su cuenta los párrafos o incisos concretos con los motivos alegados.

Vemos, entonces, que a los artículos 6, 9 y 10 cuestionados se les reprocha de forma vaga que introducen una discriminación carente de fundamento técnico y violatoria del principio de neutralidad tecnológica, citando para ello la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (publicada en el DO L 337 de 18.12.2009, p.37). Cabe aclarar, que al haber consistido dicha directiva en una reforma sustancial del marco regulador europeo de las comunicaciones electrónicas del año 2002, concretamente, de sus directivas 2002/19/CE (acceso), 2002/20/CE (autorización) y 2002/21/CE (marco), aquella quedó derogada desde el 21 de diciembre de 2020, conforme al artículo 125 del Código Europeo de Comunicaciones Electrónica (Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, publicado en el DO L 321 de 17.12.2018, p.36).

Tratándose de los numerales 6 y 9 del aludido reglamento, se les reprocha el incumplimiento al artículo 46 de la Constitución Política por limitar las libertades de empresa y de comercio con cita del voto constitucional n.°2776-1997, al considerar que crean barreras de entrada injustificadas al mercado en cuanto a las redes de telecomunicaciones 5G y superiores, lo que al entender de la sociedad accionante puede resultar en una concentración del mercado a favor de empresas de una zona geográfica específica y una reducción de la competencia entre proveedores de servicios esenciales en detrimento de los consumidores. Luego les censura que desconocen los principios rectores de telecomunicaciones del artículo 3 de la Ley General de Telecomunicaciones (n.°8642, del 4 de junio de 2008) –en lo sucesivo LGT–, aludiendo al voto de esa Sala n.°2014-8433, al considerar que prohíben arbitrariamente que algunos proveedores vendan sus bienes y servicios, por aplicar criterios discriminatorios de territorialidad y no sustentados en condiciones tecnológicas, de calidad o cualquier otra objetiva, proporcional y razonable, en beneficio de los proveedores de ciertos países; si bien no pormenoriza en el quebranto de cada uno esos cánones. Reprocha también la conculcación al principio de reserva de ley, porque exige cumplir con estándares de calidad en la gestión de datos personales por encima de todos los que pueden existir a nivel internacional “sin ningún sustento técnico” y al artículo 19 de la Norma Fundamental, porque afirma que el Poder Ejecutivo aplica las restricciones de ambos preceptos impugnados a las empresas constituidas en el extranjero. Asimismo, les atribuye la vulneración a los cánones de razonabilidad y proporcionalidad al exigir el cumplimiento de estándares de calidad como los únicos que pueden ser utilizados por empresas constituidas en el extranjero para manejar datos personales “sin contar con estudios técnicos que justifiquen que de todos los estándares mundiales que existen en la materia regulada por el artículo, esos son los únicos que pueden ser aplicados en Costa Rica para garantizar la protección de la información sensible de las personas que transiten en la Red 5G” (y cita el voto n.°7831-1997). Añade que, al limitar la participación de las empresas extranjeras que no cumplan con los estándares de calidad de los artículos 6 y 9 recurridos en los procedimientos de licitación, se infringen los principios constitucionales de contratación pública de libre participación, libre concurrencia e igualdad de trato que aplican para esa materia, derivados del artículo 8 de la Ley General de Contratación Pública (n.°9986 del 27 de mayo de 2021) y del fallo constitucional n.°0998-98; aun cuando la Contraloría General de la República ha señalado que los estándares de calidad, como las normas ISO que contemplan los dos preceptos, no pueden convertirse en puntos para excluir la participación de potenciales oferentes nacionales o extranjeros en concursos a nivel nacional, de forma que las empresas pueden emplear en sus operaciones estándares diferentes según la materia atinente a cada objeto contractual, en la medida que el proveedor o la administración, según corresponda, cuente con la documentación técnica que acredite su compatibilidad (no cita el oficio concreto del órgano contralor). La violación al principio de concurrencia se daría debido a que las disposiciones impugnadas imponen a las personas jurídicas extranjeras un solo estándar de calidad para la gestión de datos personales obtenidos con la operación de las redes 5G en Costa Rica, lo que les limitaría la posibilidad de participar en igualdad de condiciones en las licitaciones nacionales, indistintamente de cuál sea la Administración contratante. A esas normas le achaca igualmente que anulan la libre participación de un grupo de empresas solo por ser extranjeras y por razones vinculadas a consideraciones geopolíticas, no técnicas, ni vinculadas a la calidad, efectividad o precios competitivos de sus productos, verificados en un procedimiento licitatorio.

En lo concerniente al artículo 10 del Reglamento de ciberseguridad 5G se le censura a su vez, el no cumplir con los artículos 33 y 46 constitucionales, ni con los principios de igualdad de trato, libertad de comercio y libertad de empresa, alegando que carece de objetividad y transparencia, al generar una discriminación de las empresas por causa de su país de origen y excluirlas “a priori” a algunas de ellas del derecho de participar en el mercado de las Tecnologías de Información y Comunicación (TICs) en igualdad de oportunidades con las demás del ramo. Añade que tal discriminación afecta la expansión actualizada y óptima de las redes de 5G y pone en riesgo y perjudica el interés general y la consecución del bienestar social de los habitantes del país, a contrapelo de lo dispuesto en el artículo 50 de la Constitución Política. Alega que lo pretendido por dicho numeral es impedir a empresas originarias de algunos países específicos la posibilidad de ejercer los derechos de libertad de empresa, libre comercio y libre participación en un marco de competencia pública del aprovisionamiento de bienes y servicios vinculados con el uso de una red 5G que hagan entidades públicas o privadas en el país; el cual, además, rompe el estatuto de autonomía de instituciones o entidades que tienen legamente la condición de autónomas.

Cabe advertir desde ahora, que este último reproche es informal, pues el escrito que atiende la prevención de la Presidencia de esa Sala no cita la norma constitucional que se considera conculcada y, además, consideramos que la empresa accionante carece de legitimación activa para acudir en defensa de los intereses de entes públicos cuya autonomía está garantizada constitucionalmente.

Por otro lado, afirma que el artículo de comentario es una barrera proteccionista, sin consideración del interés público o el derecho de los consumidores o usuarios, al imponer restricciones arbitrarias, subjetivas y no justificadas a un grupo de empresas solo porque su origen es de un país que antojadizamente delimite una entidad pública o por considerar que el proveedor es susceptible de presión por parte de un gobierno extranjero por disposición normativa o política pública oficial de aquél, obligándolo a compartir la información de los usuarios finales de los servicios de telecomunicaciones, esto debido a que los parámetros no están definidos legalmente. Es decir, por un criterio de territorialidad o ubicación geográfica que subjetivamente disponga el encargado de la licitación, lo que, en opinión de la empresa accionante, infringe los principios de seguridad jurídica e interdicción de la arbitrariedad. Advierte que el precepto recurrido no indica la forma en que se conocen objetivamente los países a los que se refiere, con lo que se afectan las relaciones comerciales de países con los que Costa Rica suscribió tratados internacionales de libre comercio, y cita el caso de la República Popular de China. A este respecto, luego de defender la competencia de esa Sala para conocer de las violaciones a instrumentos de esa naturaleza con sustento en el voto n.°2024-22483, sostiene que una regulación restrictiva asociada únicamente al criterio del país de origen de las empresas que den servicios o bienes vinculados a redes públicas para 5G y superiores, infringe el artículo 7 constitucional y el Tratado de Libre Comercio entre la República de Costa Rica y la República Popular China (aprobado por la Ley n.°8953 del 2 de junio de 2011). Indica que dicho tratado consideró para los dos países una regulación específica de cómo tiene que ser tratada la información de las personas por aspectos de seguridad en los artículos 160 –menciona el voto constitucional n.°04519-2011 que se refirió a su “correcta interpretación”– y 162; pero que el Decreto n.°44196-MSP-MICITT impone unilateralmente a las empresas cuyo país de origen implícitamente sea China, una barrera para ejercer la actividad comercial vinculada con redes públicas de 5G en Costa Rica, por el hecho de que ese país no ha suscrito el Convenio sobre Ciberdelincuencia (Convenio de Budapest), desconociendo que para las empresas constituidas en China, debe prevalecer lo dispuesto en el Tratado de Libre Comercio en las disposiciones recién señaladas, que concibe una forma de proteger la información de las personas y limita el uso de esos datos, lo que entiende así: “el Tratado propone como solución para garantizar la seguridad de la administración y acceso a la información de las personas la prohibición para que se obligue a una Parte a proporcionar o a dar acceso a cualquier información cuya divulgación determine es contraria a sus intereses esenciales en materia de seguridad”. En criterio de la accionante, una empresa constituida en China que aplique las normas de seguridad de la información del Tratado de Libre Comercio con Costa Rica será excluida de participar en una contratación pública a pesar de su solvencia tecnológica, porque el Gobierno de su país no ha suscrito el Convenio de Budapest. Considera que el Reglamento de ciberseguridad 5G invierte lo dispuesto en el tratado y otorga un trato menos favorable que el otorgado a las inversiones de los inversionistas de terceros Estados, al establecer condiciones que esas sí pueden cumplir y los inversionistas chinos no, y hace referencia a la adhesión al Convenio de Budapest. Asimismo, alega que el requisito de que las empresas proveedoras que tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del aludido Convenio sobre Ciberdelincuencia, quedando inmediatamente excluidas de cualquier participación en una contratación pública de Costa Rica, contraviene los artículos 1, 28 y 33 constitucionales, al igual que el 30 de la Convención Americana sobre Derechos Humanos (aprobada por Ley n.°4534 de 23 de febrero de 1970) y los principios democrático, de igualdad de trato jurídico y reserva de ley a partir de parámetros de Derecho Público Internacional y de territorialidad y porque se trata de un reglamento del Poder Ejecutivo y no de una ley aprobada por la Asamblea Legislativa. Objeta la falta de atinencia del aludido artículo 10 en la aplicación del Convenio de Budapest, al considerar que regula la investigación y el castigo de los delitos cibernéticos por parte de los Estados que se obligan a dicho instrumento (cita en apoyo de su dicho el voto constitucional n.°2017-4221), con lo que no involucra la gobernanza de la seguridad cibernética. Finalmente, sostiene que el numeral recurrido castiga discriminatoriamente el ejercicio de actividades comerciales de algunas empresas extranjeras, por hechos que les son totalmente ajenos o indisponibles para ellas, como lo es el ejercicio de la política internacional y la ratificación de tratados internaciones de Derecho Público que compete a los órganos políticos de su país de origen; a pesar de que esas empresas van a desarrollar su actividad en el país donde la ejecución de la contratación se rige por las leyes nacionales y les obliga a aceptar la aplicación del ordenamiento jurídico costarricense (cita el artículo 14, inciso a) de la Ley General de Contratación Pública), lo que abarca al Convenio de Budapest, dada su aprobación por la Ley n.°9452.

II. FONDO DEL ASUNTO: RESPECTO A LOS MOTIVOS DE INCONSTITUCIONALIDAD DE LA AMPLIACIÓN DE LA ACCIÓN

De la lectura de los motivos que con esta ampliación de la acción se nos da traslado –y que reseñamos en el epígrafe anterior sin perjuicio de su tenor literal– podemos constatar que, en realidad, carece de argumentos nuevos respecto al primer recurso de inconstitucionalidad que se interpuso contra los referidos artículos 6, 9 y 10 del Decreto n.°44196-MSP-MICITT, expediente al que fue acumulada, y se basa prácticamente en los mismos parámetros de constitucionalidad invocados en ese momento para enjuiciar esos preceptos.

En ese sentido, la Procuraduría considera que no se aportan elementos de juicio adicionales que lleven a este órgano asesor a variar el criterio ya rendido ante esa Sala Constitucional respecto a las disposiciones impugnadas, más aún cuando la empresa accionante no precisó, ni desgranó las partes de los textos normativos con las que está disconforme, según lo advertimos antes, limitándose a una referencia general de su contenido.

Por lo que aparte de reiterar lo dicho en nuestro primer informe, nos permitimos profundizar en algunos puntos que vuelven a tratarse con esta ampliación; no sin antes hacer la siguiente salvedad en relación con una serie de documentos que la recurrente menciona en su escrito de interposición inicial de fecha 4 de noviembre del 2024 y que no se nos adjuntaron con la notificación de la citada resolución de las 11:06 horas del pasado 20 de marzo (habla de un “Dictamen técnico sobre el clausulado del Reglamento” y de un informe “de investigación jurídica comparativa sobre la lucha contra la ciberdelincuencia”, entre otros). La salvedad es que, con independencia de su contenido, la empresa accionante omitió precisar en qué carácter los aportaba a esta jurisdicción constitucional; aún más, no se preocupó en indicar su relación con las tachas alegadas, ni siquiera cuando esa Sala le previno que debía aportar el "fundamento claro, preciso, ordenado y debidamente individualizado de los motivos de inconstitucionalidad alegados, con cita concreta de las normas y principios que se consideran infringidos".

Efectivamente, en su escrito del 12 de diciembre de 2024 por el que aduce acatar la prevención anterior, no solo no explicó la pertinencia de esos documentos, tampoco los volvió a mencionar. Ante esa informalidad, la Procuraduría considera que toda esa documentación a la que hizo referencia la accionante en su escrito inicial no debe ser tomada en cuenta por esa Sala Constitucional, rechazando su admisión.

A. Las normas objeto de impugnación en la ampliación de la acción:

Para mayor claridad en la exposición, transcribimos a continuación los preceptos del Reglamento de ciberseguridad 5G objeto de la ampliación de la acción:

“Artículo 6º- Adopción de estándares. Los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Decreto Ejecutivo, deberán adoptar, implementar, y mantener estándares y/o marcos de referencia sobre ciberseguridad, incluyendo los siguientes:

*Número*	*Nombre*
ISO/IEC 27001:2022	Seguridad de la Información, Ciberseguridad y Protección de la Privacidad - Sistemas de Gestión de la Seguridad de la Información -Requerimientos
ISO/IEC 27002:2022	Seguridad de la Información, Ciberseguridad y Protección de la Privacidad - Controles de seguridad de la información
ISO/IEC 27003:2017	Tecnologías de la información -Técnicas de seguridad - Sistemas de Gestión de la Seguridad de la Información -Guía
ISO/IEC 27011:2016	Tecnologías de la información -Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.
SCS 9001	Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad

”. “Artículo 9º- Análisis y Gestión del Riesgo en la Cadena de Suministro. Los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento, deberán solicitar a sus suministradores de hardware y software, que intervienen en el funcionamiento y operación de las redes 5G y superiores y sus servicios, la definición de los requisitos, controles y mediciones del sistema de gestión de ciberseguridad de la cadena de suministro para el diseño, desarrollo, producción, entrega, instalación y mantenimiento de hardware, software y servicios de conformidad con el estándar SCS 9001 "Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad".

Dicha información deberá de ser presentada atendiendo a las particularidades de los procesos dispuestos por el Poder Ejecutivo y la Superintendencia de Telecomunicaciones (Sutel), cada una de acuerdo con su ámbito de competencia, sin detrimento del ejercicio de las potestades de control y fiscalización superior para verificar el cumplimiento de estas disposiciones.

En el caso de los procesos de contratación pública promovidos por entidades contratantes, que tengan por objetivo la operación de redes y servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) o superiores, incorporarán lo dispuesto en el presente artículo en las reglas de la contratación con el fin de garantizar el uso y la explotación segura de las redes y los servicios de telecomunicaciones y con resguardo de la intimidad y la privacidad de los usuarios finales” .

“Artículo 10º- Parámetros de riesgo alto. Los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento, deberán considerar los siguientes parámetros de riesgo alto para la operación de redes de telecomunicaciones 5G o superiores y la prestación de sus servicios:

a) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento cuenten con un único suministrador de hardware y software en su cadena de suministro, cuando este se encarga de configurar e integrar todos los equipos activos y software de la solución, o si la red está compuesta por equipos activos y software de un único fabricante.

b) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento o sus suministradores de hardware y software tengan algún informe de incidente publicado por el CSIRT-CR sobre brechas en la ciberseguridad de sus sistemas que no han sido atendidas y por ende implican un riesgo para la seguridad, disponibilidad, integridad o privacidad de la información de los usuarios finales.

c) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento o sus suministradores de hardware y software sean susceptibles de presión por parte de un gobierno extranjero por disposición normativa o política pública oficial de dicho gobierno extranjero, en relación con la ubicación o ejecución de sus operaciones.

d) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento o sus suministradores de hardware y software tienen su base en un país, o, de alguna manera, están sujetos a la dirección de un gobierno extranjero con leyes o prácticas establecidas que les puedan requerir que compartan la información de los usuarios finales de servicios de telecomunicaciones en ausencia de un proceso legal transparente que proteja adecuadamente sus derechos e intereses.

e) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento utilizan suministradores de hardware y software que tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio sobre Ciberdelincuencia (Convenio de Budapest).

f) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este reglamento utilizan suministradores de hardware y software que no cumplen con los estándares de ciberseguridad dispuestos en el artículo 6 de este Reglamento”.

Según lo advertimos antes, el escrito de ampliación no precisa los reparos en contra de los artículos 6 y 9 recién transcritos, limitándose a señalar su discrepancia en general con los estándares de ciberseguridad allí contemplados por estar establecidos en una norma reglamentaria, carecer, en apariencia, de fundamento técnico y tener que incluirse en los pliegos de condiciones de los procesos de contratación pública que tengan por objeto la operación de redes y servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores.

Tampoco concreta los incisos del artículo 10 recurrido con los que se muestra disconforme, pese a que se pide la nulidad de todo el precepto. En cualquier caso, reprocha el que se tengan como “parámetros de riesgo alto” para el desarrollo de esta clase de redes, a los operadores o proveedores de hardware y software que: sean susceptibles de presión por parte de un gobierno extranjero por disposición normativa o política pública oficial de este, en relación con la ubicación o ejecución de sus operaciones (letra c); tengan su base en un país o de alguna manera, están sujetos a la dirección de un gobierno extranjero con leyes o prácticas establecidas que les puedan requerir que compartan la información de los usuarios finales de servicios de telecomunicaciones en ausencia de un proceso legal transparente que proteja adecuadamente sus derechos e intereses (letra d); tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio sobre la Ciberdelincuencia (aprobado por nuestro país mediante la Ley n.°9452 del 26 de mayo de 2017), conocido también como Convenio de Budapest (letra e); y no cumplan con los mencionados estándares de ciberseguridad del artículo 6 recurrido.

De nuevo, las desavenencias con estos mismos puntos de las disposiciones impugnadas ya habían sido tratadas en nuestro informe rendido ante ese alto Tribunal mediante el escrito DPB-ESC-936-2025, del 17 de enero del presente año; con lo que no cabe más que reiterar lo dicho en esa oportunidad y profundizar en algunas consideraciones que se vuelven a plantear con la ampliación de la acción.

B. Las claves jurídicas que configuran el sector de las telecomunicaciones y sirven de fundamento al Reglamento de Ciberseguridad 5G:

En criterio de la Procuraduría, la ampliación de motivos respecto a los aludidos artículos 6, 9 y 10 incurre en el mismo error argumentativo que la acción inicial que generó el expediente n.°24-024405-0007-CO, a saber: desconoce la configuración jurídica de la actividad sobre la que el Reglamento de Ciberseguridad 5G proyecta sus efectos.

Aun cuando la accionante reconoce en varias ocasiones la relevancia e importancia de las telecomunicaciones e incluso su carácter estratégico, y dice entender que “hay un interés legítimo en que se emitan regulaciones que delimiten a nivel nacional un marco jurídico satisfactorio para exigir a los sujetos públicos y privados que ejecutan o participan directa o indirectamente en la prestación de servicios de telecomunicaciones o infocomunicaciones, que adopten estándares de calidad y seguridad destinados a la protección de la información de los clientes, usuarios o personas en general que accedan a esos servicios” (página 4 del escrito del 4 de noviembre de 2024); luego, en el resto de sus alegatos, lo equipara en su tratamiento al ejercicio de una actividad comercial como cualquier otra por más que sabe de la regulación constitucional del espectro radioeléctrico.

De esa manera obvia o pasa por alto que las telecomunicaciones, incluido el desarrollo de sus redes y la prestación de sus servicios, constituye una actividad de indudable interés público y que el espectro radioeléctrico es un bien de dominio público reservado al Estado, según lo explicamos en el informe rendido con el citado escrito DPB-ESC-936-2025. Tal y como lo subrayamos en esa oportunidad, el fundamento para ambas consideraciones es amplio y contundente, tanto a nivel constitucional (artículos 24 y 121, inciso 14, letra c), como legal (artículos 7 LGT; 74 de la Ley de la Autoridad Reguladora de los Servicios Públicos, n.°7593 del 9 de agosto de 1996; y 6 de la Ley para incentivar y promover la construcción de infraestructura de telecomunicaciones en Costa Rica, n.°10216 del 5 de mayo de 2022).

A lo que hay añadir la profusa doctrina jurisprudencial de esa Sala que así lo confirma, al destacar la “gran relevancia constitucional” de las telecomunicaciones y el “claro interés público” de la infraestructura de red para su desarrollo (ver la sentencia n.°015763-2011 de las 9:46 horas del 16 de noviembre de 2011 y que es reiterada en la resolución citada varias veces por la recurrente, n.°2014-8483 de las 9:05 horas del 13 de junio de 2014).

En abono de lo ya señalado, conviene adentrarse en el sentido de los denominados servicios de interés general –en nuestra realidad, servicios de interés público– y lo que en el fondo representa para nuestro modelo de sociedad, al referirse: “a las actividades –públicas o privadas– que cumplen misiones de interés general y están sometidas, por ello, a obligaciones de servicio público en atención a razones diversas que plasman valores colectivos comúnmente asumidos: la cohesión social, el medio ambiente, la protección de los consumidores, la igualdad, la garantía de un mínimo común de bienestar… Pueden abarcar todos los servicios –de mercado y no de mercado– que las autoridades públicas consideren de interés general”[1].

En el caso de los servicios de mercado, el Derecho europeo los denomina como “servicios de interés económico general” (SIEGs), a los que igualmente se les imponen obligaciones de servicio público en virtud de o en atención a intereses generales y suelen ser los servicios de red (transportes, energía, comunicaciones, etc.)[2].

Recordemos lo dicho además, en nuestro informe del pasado 17 de enero , que esa Sala Constitucional ha visto en las telecomunicaciones a un servicio esencial (voto n.°2020-6296 de las 9:20 horas del 27 de marzo de 2020), concepto afín en la literatura especializada al manejado de servicio de interés general, al describir aquellas “actividades prestacionales de bienes y servicios a los ciudadanos de carácter vital o básico para la satisfacción o el ejercicio de los derechos fundamentales y el consiguiente desarrollo de una vida digna, mínimamente acorde con las condiciones espacio-temporales del desarrollo o del progreso social, y que, por ello, no pueden dejar de tener un destino universal y ser efectivamente accesibles a todos en condiciones básicas de igualdad, asegurándose su suficiente regularidad y continuidad, bajo unos patrones de calidad determinados, con adaptación progresiva a la evolución técnica y a los cambios sociales”[3].

Una categorización así del sector de las telecomunicaciones lleva aparejada indefectiblemente una intervención más intensa del Poder Público, pues al tratarse “de servicios necesarios para la seguridad, la calidad de vida o la cohesión social, y estar implicados los intereses públicos en la garantía de su existencia y niveles de prestación, se justifica una regulación intensa de los mismos”[4]. Se comprende, entonces, que la regulación sea más importante en la medida que es necesario supervisar, por razones de interés público, actividades que dependen fundamentalmente del sector privado y del mercado.

En ese sentido, la regulación cumple una doble función, garantizar unas condiciones de mercado e incrementar la libre competencia, sobre todo en servicios en red organizados inicialmente como monopolios públicos (caso de las telecomunicaciones) y considerados desde las ciencias económicas como monopolios naturales, procurando la eficiencia económica en la asignación de los recursos, de un lado; así como la persecución de determinados fines sociales y de interés público (la vida, la salud, el medioambiente, la protección de los usuarios finales y de sus datos personales, entre otros), de forma que no se descuiden las obligaciones que la Constitución impone a los poderes públicos en la prestación de estos servicios[5], de otro.

Precisamente, los objetivos y principios de ordenación del sector de las telecomunicaciones que recogen los artículos 2 y 3 de la LGT, oscilan entre los dos cometidos anteriores de la regulación, pues no se pueden dejar a las solas fuerzas del mercado, al requerir una intensa intervención del Poder Público para de hecho promover la competencia efectiva en este ámbito y la igualdad de oportunidades de todos los que participan en él, como mecanismo para aumentar la disponibilidad de servicios, mejorar su calidad y asegurar precios asequibles (artículos 2, letra e) y 3, letras f y g), generalmente mediante instrumentos regulatorios ex ante como las obligaciones de interconexión y acceso (artículo 6, incisos 2 y 11); pero al mismo tiempo, garantizando el derecho de los habitantes a obtener servicios de telecomunicaciones de calidad e innovadores, mediante la aplicación de los principios de universalidad y solidaridad del servicio de telecomunicaciones y el fortalecimiento de los mecanismos dispuestos en la ley para tal fin (artículos 2, letras a), b) y c) y 3, letras a), b) y c)), a través del acceso universal y el servicio universal y la creación del Fondo Nacional de Telecomunicaciones (FONATEL) (ver el Capítulo I del Título II de la LGT).

Por fin, en lo que resulta de interés a la acción bajo estudio, el imperativo constitucional obliga al Estado a emplear las técnicas de intervención que le otorga el ordenamiento jurídico para proteger los derechos de los usuarios de los servicios de telecomunicaciones y garantizar la privacidad y confidencialidad en las comunicaciones (artículo 2.d) LGT). En correspondencia con dicho objetivo, el principio de Privacidad de la información establece la “obligación de los operadores y proveedores, de conformidad con el artículo 24 de la Constitución Política, a garantizar el derecho a la intimidad, la libertad y el secreto de las comunicaciones, así como proteger la confidencialidad de la información que obtengan de sus clientes, o de otros operadores, con ocasión de la suscripción de los servicios, salvo que estos autoricen, de manera expresa, la cesión de la información a otros entes, públicos o privados (artículo 3, letra j) LGT, la negrita es añadida)”; canon que se desarrolla en el Capítulo II del Título II de la LGT, dedicado al Régimen de Protección a la Intimidad y Derechos del Usuario Final que, según veremos más adelante, confiere el fundamento legal al Reglamento de Ciberseguridad 5G.

Esa intervención estatal más intensa en el sector de las telecomunicaciones para el cumplimiento de fines públicos y garantizar los derechos fundamentales de los usuarios, más allá de promover unas condiciones de competencia efectiva en dicho mercado y de inversión que contribuya a su desarrollo, no solo se explica en el interés público que le es consustancial, sino también en la naturaleza demanial del espectro radioeléctrico atribuida por el propio Constituyente, cuyo aprovechamiento –según lo indicamos en nuestro anterior informe rendido a esa Sala– constituye la clave de bóveda para la futura prestación de los servicios de telefonía celular basados en la tecnología 5G.

Sin ánimo de ser reiterativos de lo señalado en dicho memorial, pero dada la necesidad de mantener el hilo conductor, debemos ahondar en que las actividades que pueden tener por objeto los bienes publificados se sustraen por la reserva a favor del Estado al ámbito propio de las libertades constitucionales que pudieran en otro caso tenerlas por objeto, libertad de empresa, libertad de comercio, libertades inherentes al derecho de propiedad, etc.; por lo que si bien los particulares podrán adquirir derechos y ejercer actividades gestoras en los ámbitos publificados, ya no se sustentarán directamente en sus libertades constitucionales, ni serán expresión inmediata de estas –aunque puedan comportar por vía de participación y colaboración o para su utilización cierta recuperación del espacio del que fueron inicialmente excluidas– sino que será siempre con subordinación a las facultades decisorias y condicionantes del Poder Público titular exclusivo del recurso reservado[6].

En ese sentido, toda persona física o jurídica, pública o privada, que desee usar o explotar las frecuencias del espectro radioeléctrico requeridas para la operación y explotación de redes de telecomunicaciones requerirá de una concesión (artículo 11 LGT), al tratarse el espectro de un bien demanial cuyo aprovechamiento exclusivo exige contar con el respectivo título habilitante. Este título no es más que la expresión de un régimen jurídico-público especial de ese recurso de dominio público en el que se acentúan considerablemente los poderes del Estado como titular del bien, no solo para asegurar el aprovechamiento óptimo y eficiente de las frecuencias del espectro, en tanto recurso escaso, valiéndose del procedimiento concursal y de sus facultades de control y supervisión (artículos 2, letra g), 3, letras d), e) e i), 6, inciso 18, 10 y 12 LGT), sino además, que ese aprovechamiento por los operadores se haga con respeto y protección de los derechos de la ciudadanía, tanto en temas de calidad, como de salud, medioambiente (artículos 3, letra k) LGT) y 39, letra i) Ley n.°8660).

Resulta claro, por tanto, que los derechos y libertades de los operadores queda profundamente marcado por el régimen jurídico que caracteriza la demanialización del espectro radioeléctrico como bien reservado constitucionalmente al Estado y por las facultades inherentes que se desprenden de esa titularidad exclusiva; tal y como lo explica la doctrina autorizada:

“No es otra además la razón de ser de la publicatio, cuya única justificación radicará en la hipotética necesidad de otorgar al Poder público una capacidad especialmente amplia e intensa de ordenación, dirección y control sobre determinados bienes o servicios, más allá de lo que permiten las potestades de regulación e intervención que sin la publicatio corresponden siempre a los Poderes públicos en el Estado social y democrático de Derecho”[7] (la negrita es añadida).

Corolario de lo anterior, el vínculo que se configura entre el operador-concesionario con la Administración concedente justifica una modulación de los derechos del primero, al colocarse voluntariamente en las llamadas relaciones de sujeción especial, categoría jurídica ampliamente reconocida por la jurisprudencia de esa Sala Constitucional para los supuestos de las personas privadas de libertad (ver las resoluciones números 2015-19375 de las 14:30 horas del 10 de diciembre del 2015 y 2020-014652 de las 14:15 horas del 4 de agosto de 2020); los agremiados de Colegios profesionales (resoluciones números 2011-03733 de las 16:37 horas del 22 de marzo de 2011 y 2016-017412 de las 14:30 horas del 29 de noviembre de 2016), los estudiantes (votos números 2004-08009 de las 16:19 horas del 21 de julio de 2004 y 2008-9049 de las 18:48 horas del 29 de mayo de 2008), los funcionarios públicos ( 2004-08027 de las 8:39 horas del 23 de julio de 2004, citado en nuestro primer informe) y, en concreto, el concesionario.

Acerca de él, ese alto Tribunal se refirió en la sentencia n.°2013-015693 de las 16:20 horas del 27 de noviembre del dos mil trece, al analizar los alcances del artículo 121, inciso 14 de la Norma Fundamental:

“La concesión, que es el título jurídico en virtud del cual el particular actúa, introduce entre el concesionario y la Administración una relación de especial sujeción, en la que la Administración ejerce potestades exorbitantes de dirección, regulación, vigilancia, control y sanción para lograr los cometidos públicos, sin perjuicio de cierta autonomía del concesionario para actuar y gestionar dentro del marco jurídico que la concesión supone. Debido a ello y a que ofrece un servicio ajeno pero en nombre propio, al concesionario le corresponde responder ante terceros por sus actuaciones. Obviamente, también responderá administrativa (multas) y civilmente por los daños y perjuicios que cauce a la Administración concedente. En definitiva, la concesión no supone pérdida de titularidad del bien público y, por ende, no constituye una trasgresión a la prohibición de enajenar contenida en el párrafo cuarto del inciso 14 del artículo 121 constitucional” (énfasis añadido, reiterada en la resolución n.°2022-16950 de las 10:25 horas del 20 de julio de 2022).

Al hallarnos, por tanto, ante una relación de sujeción especial entre el Estado y operador de telecomunicaciones como concesionario del espectro radioeléctrico –recurso que constituye la piedra angular, insistimos en ello, sobre la que se erigen y desarrollan las redes de nueva generación basadas en la tecnología 5G[8]– se justifica unos poderes reglamentarios más intensos del primero sobre la actividad de este último a efectos de cumplir con los fines públicos que el ordenamiento jurídico le encomienda (calidad, universalidad, regularidad, eficiencia del servicio, entre otros) y garantizar la protección de los derechos de los usuarios, particularmente, de su intimidad y tratamiento de los datos personales. Correlativamente, implica una flexibilización de importantes principios como la reserva de ley[9] y una restricción más severa a derechos como las libertades de empresa y contratación.

En el contexto anterior es que deberían analizarse los motivos de la ampliación de la acción contra los artículos 6, 9 y 10 del Decreto n.°44196-MSP-MICITT.

C. Acerca del Principio de Reserva de Ley:

Sin perjuicio de la modulación que el principio bajo estudio presenta en las relaciones de sujeción especial, como la existente entre el Estado y el concesionario-operador que explota el espectro radioeléctrico para desplegar redes de telefonía móvil y prestar servicios de telecomunicaciones, según acabamos de ver, lo cierto es que contrario a lo afirmado por la empresa accionante, el Reglamento de Ciberseguridad 5G sí cuenta con una norma de rango legal habilitante en la misma LGT. En efecto, su artículo 42 dispone:

“ARTÍCULO 42.- Privacidad de las comunicaciones y protección de datos personales

Los operadores de redes públicas y proveedores de servicios de telecomunicaciones disponibles al público, deberán garantizar el secreto de las comunicaciones, el derecho a la intimidad y la protección de los datos de carácter personal de los abonados y usuarios finales, mediante la implementación de los sistemas y las medidas técnicas y administrativas necesarias. Estas medidas de protección serán fijadas reglamentariamente por el Poder Ejecutivo.

Los operadores y proveedores deberán adoptar las medidas técnicas y administrativas idóneas para garantizar la seguridad de las redes y sus servicios. En caso de que el operador conozca un riesgo identificable en la seguridad de la red, deberá informar a la Sutel y a los usuarios finales sobre dicho riesgo.

Los operadores y proveedores deberán garantizar que las comunicaciones y los datos de tráfico asociados a ellas, no serán escuchadas, gravadas, almacenadas, intervenidas ni vigiladas por terceros sin su consentimiento, salvo cuando se cuente con la autorización judicial correspondiente, de conformidad con la ley” (el subrayado no es del original).

Como se puede apreciar de la literalidad del párrafo primero del precepto recién transcrito, el Poder Ejecutivo fue autorizado expresamente por el legislador para definir a través de un decreto reglamentario (artículo 121.2 Ley General de la Administración Pública, n.° 6227, del 2 de mayo de 1978), los sistemas y las medidas técnicas y administrativas necesarias para garantizar el secreto de las comunicaciones, el derecho de la intimidad y la protección de los datos de carácter personal de los abonados y usuarios finales. Y es en ejercicio de esa potestad normativa que se emitió el aludido Reglamento de Ciberseguridad 5G que, como se recordará, tiene por objeto: “establecer medidas de ciberseguridad para garantizar el uso y la explotación segura y con resguardo de la privacidad de las personas, de las redes y los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores” (artículo 1, negrita añadida).

La ciberseguridad se define por el mismo reglamento en el artículo 3 como la “[p]reservación de la confidencialidad, integridad y disponibilidad de la información en el ciberespacio” (letra h); y el ciberespacio, como el “[e]ntorno complejo resultante de la interacción de personas, software y servicios en Internet por medio de dispositivos tecnológicos y redes conectadas a él, que no existe en ninguna forma física” (letra g)[10].

Recordemos igualmente, en cuanto al ámbito de aplicación del Decreto n.°44196-MSP-MICITT que, con arreglo a su artículo 2, resulta aplicable a las personas físicas o jurídicas, públicas o privadas, nacionales o extranjeras, que operen redes o presten servicios de telecomunicaciones basados en la tecnología 5G y superiores que se originen, terminen o transiten por el territorio nacional, con excepción de las redes privadas de telecomunicaciones. Asimismo, el segundo párrafo del mismo precepto, extiende sus alcances a los procesos de compra pública que tengan por objeto la habilitación de redes y servicios de esa naturaleza, de equipamiento tecnológico activo necesario para su despliegue, así como para el uso y explotación del espectro radioeléctrico, con lo cual, la Administración o entidad contratante deberá adoptar los mecanismos idóneos para verificar que los potenciales oferentes han considerado todos los aspectos alusivos a la gestión y mitigación de riesgos contenidos en el aludido reglamento, a la hora de planificar, diseñar e implementar su oferta técnica; y de resultar adjudicatario, deberá acatar sus disposiciones durante la operación de las redes y prestación de los servicios basados en la referida tecnología 5G o superiores.

Puede verse, entonces, que el reglamento bajo estudio no hace distinción alguna entre empresas nacionales y extranjeras, al irradiar sus efectos en todo operador vinculado a las redes 5G u proveedor que le suministre equipos y sistemas informáticos asociados a dicha tecnología. No hay, por tanto, vulneración del artículo 19 constitucional, ni del principio de reserva legal, en tanto el Decreto n.°44196-MSP-MICITT tiene su fundamento en el citado artículo 42 de la LGT.

Por lo demás, la sujeción a un pliego de condiciones en el marco de un procedimiento de contratación pública en el que se exija el cumplimiento de los estándares y observar los parámetros de riesgo alto para la operación de redes de telecomunicaciones 5G contemplados en el Reglamento de Ciberseguridad 5G, no requiere en modo alguno observar el principio de reserva de ley; sobre todo si nos hallamos en el contexto explicado de una relación de sujeción especial, con una actividad de evidente interés público y de carácter tecnológico, en el que, según lo adelantamos en nuestro informe del pasado 17 de enero, los cambios técnicos e informáticos se suceden de manera vertiginosa como pasa con las telecomunicaciones, cuya definición mediante Ley de esos condicionantes no parece del todo adecuado. Veamos cómo lo explica la literatura especializada:

“Lo cierto es que existen diferencias, y consistentes, entre la regulación general de la economía y la que recae sobre los que estrictamente se consideran mercados regulados.

La regulación general tiene sus referencias determinantes en la legalidad. La actividad administrativa es aquí fundamentalmente ejecutiva con escasos márgenes de discrecionalidad. En cambio, la regulación intensiva que recae sobre los mercados regulados tiene como referencia las propias variables económicas [y técnicas, añadiríamos nosotros] de estos sectores con un amplio margen de discrecionalidad que la normativa jurídica deja al estamento experto que, sobre todo desde las agencias especializadas, decide en muy buena medida la estrategia reguladora”[11](la negrita y la frase entre corchetes son añadidas).

Incluso, el conocido jurista Santiago Muñoz Machado y actual presidente de la Real Academia de la Lengua española, va más allá al afirmar: “en modo alguno puede entenderse que las normas de los reguladores son desarrollo o complemento de leyes o reglamentos estatales o autonómicos. Por el contrario, el marco dentro del que se mueven las indicadas normas es amplísimo, con muy pocos límites distintos del de su especialización sectorial. Los organismos reguladores disfrutan de una enorme discrecionalidad al aprobarlas. Todo lo cual es crucial porque justamente tales normas ordenan mercados y delimitan la libertad de empresa con una enorme capacidad de acción”[12].

En todo caso, como ya se apuntó, el Reglamento de Ciberseguridad 5G cuenta con la suficiente cobertura legal en el párrafo primero del artículo 42 de la LGT.

Ahora bien, y como lo desarrollamos con detalle en nuestro informe DPB-ESC-936-2025, la cuestión del sustento técnico de los estándares recogidos por los artículos 6 y 9 impugnados, así como de los parámetros de riesgo establecidos por el artículo 10, también recurrido, rebasa los alcances de la jurisdicción constitucional, al tratase de un aspecto de legalidad ordinaria a ser conocido en los asuntos principales respectivos que se tramitan ante la Jurisdicción Contencioso-Administrativa y Civil de Hacienda bajo los expedientes números 24-001014-1027-CA y 24-005457-1027-CA.

Máxime, cuando ninguna de las dos acciones sobre las que se nos dio traslado ofreció prueba técnica que pudiera ser debida y ampliamente evacuada ante esa Sala para contrarrestar el contenido o los fundamentos del Decreto n.°44196-MSP-MICITT y, en particular, de los preceptos impugnados.

D. Acerca de las libertades de empresa y comercio y demás principios de contratación pública invocados:

Reconocida la habilitación legal del Reglamento de Ciberseguridad 5G en la propia LGT, según se acaba de exponer, resulta claro que la delimitación de las libertades de empresa y comercio viene dada por el mismo marco jurídico de las telecomunicaciones en el que esos derechos se ejercen, el cual impone la observancia de algunas reglas esenciales en razón del interés público asociado a esos servicios y por mor de los valores, bienes y derechos tutelados allí presentes, tal y como lo explicamos en las páginas precedentes, al hablar de los servicios esenciales y los servicios de interés económico general.

En términos generales, la doctrina es pacífica respecto a que el ordenamiento impone una serie de límites y condicionamientos no indemnizables a la actividad libremente asumida por los operadores a partir del nuevo régimen liberalizado de los servicios en red y que en la tradición francesa se integraban bajo la categoría del servicio público[13], como pasaba también en Costa Rica antes de la derogación del inciso b) del artículo 5 de la Ley de la Autoridad Reguladora de los Servicios Públicos por el artículo 42 de la Ley de Fortalecimiento y Modernización de las Entidades Públicas del Sector Telecomunicaciones (n.°8660 del 8 de agosto del 2008).

Ahora bien, estas reglas esenciales que acabamos de mencionar abarcan desde requerimientos tecnológicos para garantizar la seguridad e interoperabilidad de los equipos y la calidad de las comunicaciones, la defensa de la competencia, la ordenación urbana y ambiental, la protección de los usuarios y de sus datos personales, entre otras condicionantes legítimas a ambas libertades alegadas.

Las normas impugnadas forman parte de esas reglas en materia de ciberseguridad. En lo concerniente a los artículos 6 y 9, la definición de estándares y términos de referencia para operadores y proveedores de hardware y software relacionados con el funcionamiento de las redes 5G, y en particular, del Estándar SCS 9001 de Seguridad de la Cadena de Suministro y Ciberseguridad, constituye en realidad un aspecto propio de toda industria, que se hace aún más necesario en sectores altamente especializados tecnológicamente como las telecomunicaciones.

A este respecto, la literatura autorizada nos enseña que la fijación de estándares como técnica de regulación, consiste “en reglas que se aplican a categorías de productos o a procesos productivos o que requieren de forma general la presencia o la ausencia de determinados requisitos en los productos o la adopción de ciertas conductas por parte de las empresas productoras. Los estándares relativos a la seguridad y la calidad son los más frecuentes”[14] (negrita añadida). Incluso, muchas de estas normas técnicas se formulan por establecimientos o corporaciones privadas, cuyos criterios se asumen por los reguladores y se imponen a las empresas o se aceptan por estas en el marco de operaciones de autoregulación[15].

En esa medida, no se estima que los estándares recogidos por los preceptos impugnados constituyan una restricción indebida al ejercicio de la libertad de empresa, pues como se explica también por la doctrina: “Los límites de mercado resultan también de las reglas impuestas por los organismos reguladores, cuando fijan, por ejemplo, estándares, o imponen obligaciones de información, o exigen el cumplimiento de determinadas normas de calidad o de seguridad, o exigen auditorías o certificaciones de diverso carácter”[16] (la negrita es añadida). De hecho, la cuestión de las normas técnicas constituye una materia propia del ámbito reglamentario y de los pliegos de las condiciones, al estar sujetas a los cambios propios del estado del arte de la industria y de la innovación tecnológica.

Por lo demás, la accionante no se molesta en ilustrar a esa Sala Constitucional en qué manera los distintos estándares y términos de referencia de ciberseguridad que recoge el artículo 6 recurrido o las previsiones de gestión del riesgo en la cadena de suministro de sistemas relacionados con la tecnología móvil 5G del artículo 9 cuestionado –entendida esta cadena por el mismo reglamento, como el “sistema de organizaciones, personas, tecnología, actividades, información y recursos involucrados en el traslado de un producto o servicio del proveedor al cliente” (artículo 3.f)– suponen una barrera de entrada injustificada o plantea una imposibilidad para que cualquier empresa extranjera y en concreto, una empresa china, pueda cumplirlos, sobre todo si proviene de un país industrial o tecnológicamente desarrollado y cuenta, además, con un plazo de cinco años para hacerlo conforme al artículo 11.2 del aludido Decreto n.°44196-MSP-MICITT.

En esa lógica, tampoco se explica, aún menos se demuestra, la razón o el motivo por el que la observancia de esos estándares o la posibilidad de ajustarse a ellos esté fuera del alcance de empresas o proveedores extranjeros de solo ciertos países; con lo cual, no se puede comprobar los efectos discriminatorios alegados por la accionante, ni que contravenga los principios que invoca en materia de contratación pública de libre participación, libre concurrencia e igualdad de trato.

En definitiva, los estándares de los artículos 6 y 9 del Decreto n.°44196-MSP-MICITT son un condicionante legítimo en la operación de las redes basadas en la tecnología 5G, más aún cuando se da en el contexto de una relación de sujeción especial derivada de la explotación de un bien demanial (el espectro radioeléctrico); sin que la empresa accionante haya logrado demostrar que carecen de fundamento tecnológico o que resultan desproporcionados o inidóneos para los fines de ciberseguridad que persiguen.

E. Acerca del principio de neutralidad tecnológica:

Tal como lo explicamos en nuestro anterior informe rendido por el escrito DPB-ESC-936-2025, no se aprecia del contenido de ninguno de los tres preceptos cuestionados con la ampliación de la acción, que estén vinculadas al uso de una concreta tecnología, o que requieran o asuman una tecnología en particular. Además, el posible irrespeto a este principio rector que recoge el mencionado artículo 3 de la LGT en su letra h), al igual que el respectivo artículo 3, inciso g) de la Ley n.°8660, constituye un aspecto muy técnico a ser dilucidado en la jurisdicción ordinaria.

Sin perjuicio de ello, y como elemento de juicio adicional con el cual se espera contribuir a una mejor comprensión del principio de comentario, debemos señalar, como lo expusimos recientemente en nuestro pronunciamiento PGR-OJ-027-2025, del pasado 19 de febrero, y en coherencia con la línea argumentativa desarrollada hasta ahora, que frente al enfoque –en especial de algunos operadores privados en el mercado– de que el significado que debe adoptar el criterio de neutralidad tecnológica está encaminado hacia la ausencia de intervención de los poderes públicos en las decisiones tecnológicas o mecanismos de innovación de los particulares, es decir, la obligación de mantener una actitud pasiva al respecto, con independencia incluso de las situaciones de mercado que pudieran llegar a generarse (incluido el monopolio); se proyecta la perspectiva contraria, en la que parece lógico y razonable que el Estado pueda llegar a discriminar o apostar por determinadas tecnologías que conlleven beneficios colectivos, sirvan para preservar algún otro bien jurídico de interés público o garanticen la seguridad de los ciudadanos, sin que se pueda alegar en todos estos supuestos una transgresión al principio de neutralidad tecnológica al que estarían sujetos los poderes públicos, verbigracia en el ámbito de la protección ambiental u otros sectores de riesgo[17].

A este respecto, ya en el año 2004, con el pronunciamiento OJ-083-2004, del 5 de julio, aclarábamos que la neutralidad tecnológica no significaría “una prohibición del Estado para intervenir en el mercado de las tecnologías. Su función de impulsar el desarrollo de los servicios, de la infraestructura y la aplicación de las tecnologías puede llevarlo a tomar determinadas acciones en defensa del interés público y para corregir los fallos del mercado, entre ellos la posición dominante y la competencia desleal” (la negrita es añadida).

Efectivamente, y según lo señalamos también en la opinión OJ-008-2010, del 9 de febrero de 2010, pueden concurrir razones u objetivos de interés público válidos, como la seguridad de la vida humana, la promoción de la cohesión social y territorial, o el medioambiente que justificarían la escogencia de una tecnología específica[18]. En ese sentido, esta decisión, como cualquier otra que adopte la Administración al momento de seleccionar una oferta de bienes o servicios entre varios participantes, debe ser proporcionada y estar debidamente motivada.

Tal y como lo ha advertido la doctrina especializada[19], la denominada “neutralidad tecnológica” en absoluto es un principio jurídico que se deba imponer a otras opciones que el Estado necesariamente debe tomar en cuenta en la consecución del interés público: “la «neutralidad tecnológica» parece correcta cuando se aplica a factores que a su vez son neutros, pero si se trata de instrumentalizar la tecnología como factor de una estrategia más amplia, la decisión pasa a ser política, económica o de cualquier otra naturaleza, dejando en ese mismo momento de ser una decisión exclusivamente tecnológica. Entonces habría tantos argumentos para respetar la decisión técnico-política como para dudar de ella y someterla a un control jurídico donde otras opciones u estrategias generales de política legislativa, como por ejemplo, la causa ambiental, pueden tener igual o mayor consideración incluso”.

En consecuencia, si bien el principio es que la regulación no debe favorecer una tecnología sobre otra, tampoco cabe concluir que constituye un quebranto al canon de neutralidad tecnológica cuando una Administración Pública, en ejercicio de sus competencias, está obligada a salvaguardar otros intereses o bienes jurídicos de relevancia pública que entran en juego, caso de la protección al medioambiente o como en este caso, la intimidad de la información de los usuarios o la protección de sus datos personales.

Por fin, no está de más reiterar que con arreglo a la definición que maneja la LGT en su artículo 3.h) del principio de neutralidad tecnológica, los servicios de telecomunicaciones no quedan vinculados a tecnologías concretas, quedando en manos de los operadores su elección, en la medida “que estas dispongan de estándares comunes y garantizados”, a fin de garantizar la interoperabilidad de los servicios y el acceso universal por la población, ya que como se explica por la literatura especializada: “la propia naturaleza de la tecnología y esa tendencia hacia la universalidad, conlleva necesariamente un proceso de cierta estandarización que en muchos casos puede resultar claramente beneficioso”[20].

Ergo, el que los artículos impugnados exijan la adopción de ciertos estándares en materia de ciberseguridad no supone que exista un quebranto al principio de neutralidad tecnológica.

F. Las tachas relacionadas con el artículo 10 del Decreto n.°44196-MSP-MICITT:

Al artículo 10 del Decreto n.°44196-MSP-MICITT, que contiene los llamados “parámetros de riesgo alto” en la operación de redes de telecomunicaciones basadas en la tecnología 5G y la prestación de sus servicios, se le cuestiona, según lo apuntamos ya, que entre esos parámetros se contemple a las empresas del sector que sean susceptibles de presión por parte de un gobierno extranjero por disposición normativa o política pública oficial de este, en relación con la ubicación o ejecución de sus operaciones (letra c); tengan su base en un país o de alguna manera, están sujetos a la dirección de un gobierno extranjero con leyes o prácticas establecidas que les puedan requerir que compartan la información de los usuarios finales de servicios de telecomunicaciones en ausencia de un proceso legal transparente que proteja adecuadamente sus derechos e intereses (letra d); y tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio de Budapest (letra e). Ya lo relativo a la falta de cumplimiento de los estándares de ciberseguridad dispuestos en el artículo 6 impugnado como parámetro de riesgo (letra f) fue analizado en las páginas precedentes, sin perjuicio de algunas otras consideraciones que se harán más adelante acerca de la diversificación en la cadena de suministro.

Como igualmente lo advertimos líneas atrás, no se trata de repetir el criterio rendido ante esa Sala Constitucional el 17 de enero pasado, pues los motivos de la ampliación son similares a las tachas de la primera acción, sino de ofrecer razones adicionales a la luz del Derecho comparado y, en concreto, del Derecho de la Unión Europea, para considerar que esos tres criterios del artículo 10 recurrido no resultan arbitrarios, ni discriminatorios y más bien, guardan una lógica desde la perspectiva de la ciberseguridad en la operación de las redes 5G.

De entrada, no olvidemos que los anteriores criterios tienen su parangón en los artículos 12.3 y 14 del Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, del ordenamiento español, el cual se basó en la Recomendación (UE) 2019/534, de 26 de marzo de 2019, de la Comisión Europea, sobre la Ciberseguridad de las redes 5G[21] y en la Comunicación de 29 de enero de 2020 de la misma Comisión intitulada “Despliegue seguro de la 5G en la UE - Aplicación de la caja de herramientas de la UE” (COM/2020/50 final)[22], lo cual, pone de manifiesto que los parámetros establecidos por el artículo 10 bajo análisis son razonables, tomando en consideración que el Derecho de la Unión Europea –incluidas las normas de softlaw que emite– se caracteriza no solo por ser muy estricto en su regulación, sino también por su rigor técnico y respeto a los derechos fundamentales.

En ese sentido, la lectura de los considerandos de la referida Recomendación sobre la Ciberseguridad de las redes 5G, destaca al referirse a estas redes de nueva generación, la “naturaleza interconectada y transnacional de las infraestructuras que sustentan el ecosistema digital y la dimensión transfronteriza de las amenazas significan que cualquier vulnerabilidad o incidente de ciberseguridad importante de las redes 5G que ocurra en un Estado miembro afectaría a la Unión en su conjunto”(4 negrita añadida); luego, que la “inversión extranjera en sectores estratégicos, la adquisición de activos, tecnologías e infraestructuras críticos en la Unión y el suministro de equipos críticos también pueden plantear riesgos para la seguridad de la Unión”(6).

Asimismo, aun cuando el marco jurídico instaurado por el Código Europeo de Comunicaciones Electrónica tiene claro el objetivo de conectividad perseguido consistente en el acceso y uso generalizado de la conectividad fija y móvil de muy alta capacidad por todos los ciudadanos y empresas de la Unión, salvaguardando al mismo tiempo los intereses de los ciudadanos, exige a su vez de los Estados miembros que aseguren el mantenimiento de la integridad y la seguridad de las redes públicas de comunicaciones, “con la obligación de garantizar que las empresas que suministran redes públicas de comunicaciones o prestan servicios de comunicaciones electrónicas disponibles para el público adopten medidas técnicas y organizativas para gestionar adecuadamente los riesgos existentes para la seguridad de las redes y los servicios” (11, negrita añadida).

De tal suerte, que como se afirma por el considerando 16 de la aludida Recomendación: “Un elevado nivel de protección de los datos y de la privacidad es un elemento importante para garantizar la seguridad de las redes 5G”. A tal efecto, recomienda que al abordar los riesgos de ciberseguridad en las redes 5G, deben tenerse en cuenta tanto los factores técnicos como de otro tipo. Estos factores técnicos pueden incluir las vulnerabilidades de ciberseguridad que puedan explotarse para acceder sin autorización a la información (ciberespionaje, por motivos económicos o políticos) o para otros fines dolosos (ciberataques destinados a perturbar o destruir sistemas y datos). Asimismo, considera relevante “la necesidad de proteger las redes a lo largo de todo su ciclo de vida y la necesidad de abarcar todos los equipos pertinentes, en particular en las fases de diseño, desarrollo, licitación, despliegue, explotación y mantenimiento de las redes 5G” (19, negrita añadida).

Como parte de esos otros factores que pide tomar en consideración, se hallan los requisitos reglamentarios que se vayan a imponer a los proveedores de equipos TICs, recomendando incluir precisamente los cuestionados por la accionante. Por su relevancia, nos permitimos transcribir el considerando 20 de la Recomendación sobre la Ciberseguridad de las redes 5G:

“Otros factores pueden ser los requisitos reglamentarios o de otro tipo impuestos a los proveedores de equipos de tecnologías de la información y las comunicaciones. Una evaluación de la importancia de tales factores debería tener en cuenta, entre otras cosas, el riesgo global de influencia de terceros países, especialmente en relación con su modelo de gobernanza; la ausencia de acuerdos de cooperación en materia de seguridad o de acuerdos similares, como las decisiones de adecuación, en materia de protección de datos entre la Unión y el tercer país de que se trate, o si este país es parte en acuerdos multilaterales, internacionales o bilaterales en materia de ciberseguridad, lucha contra la ciberdelincuencia o protección de datos” (ni la negrita, ni el subrayado son del original).

Incluso, por lo que se refiere al estándar cuestionado SCS 9001 de Seguridad de la Cadena de Suministro y Ciberseguridad, recogido por los artículos 6 y 9 cuestionados, el considerando 25, propone: “Cuando se adopten medidas para hacer frente a los riesgos de ciberseguridad, deberá tenerse en cuenta la promoción de la ciberseguridad a través de la diversidad de proveedores al construir las redes respectivas” (negrita añadida).

Resta señalar que la recomendación estudiada deja a salvo “el derecho de los Estados miembros a excluir proveedores o suministradores de sus mercados por motivos de seguridad nacional”, como expresión soberana de cada país, eso sí, respetando plenamente los valores europeos de apertura y tolerancia (considerandos 6 y 26, negrita añadida). Como dato adicional, llama la atención el considerando 8.° de la Recomendación sobre la Ciberseguridad de las redes 5G con la mención “a la creciente presencia tecnológica de China en la Unión”, al indicar: “La Resolución del Parlamento Europeo sobre las amenazas a la seguridad relacionadas con la creciente presencia tecnológica de China en la Unión también pide a la Comisión y a los Estados miembros que tomen medidas a escala de la Unión”.

Por su parte, la citada Comunicación sobre el “Despliegue seguro de la 5G en la UE”, en coherencia con las consideraciones anteriores, advierte de que “los ciberataques van en aumento, son más sofisticados que nunca y vienen de toda clase de agentes, en particular de agentes de Estados no miembros de la UE o que cuentan con su respaldo” (negrita añadida) y da cuenta del Informe de evaluación de riesgos coordinada en la UE para la ciberseguridad en las redes 5G, que enumera las principales amenazas y agentes de riesgo, los activos más delicados y los principales puntos vulnerables (tanto técnicos como de otro tipo) que afectan a las redes de ese tipo, destacando los siguientes aspectos importantes:

“a) Los cambios tecnológicos introducidos por la 5G aumentarán la superficie de ataque en general y el número de posibles puntos de entrada para los atacantes:

(…)

- El mayor papel del software en los equipos 5G implica un aumento de los riesgos ligados a los procesos de desarrollo y actualización de software, crea nuevos riesgos de errores de configuración y da un papel más importante dentro del análisis de seguridad a las opciones elegidas por cada operador de redes móviles en la fase de despliegue de la red.

b) Estas nuevas características tecnológicas darán mayor relevancia a la confianza de los operadores de redes móviles en los proveedores terceros y a su papel dentro de la cadena de suministro de la 5G.

Esto, a su vez, incrementará el número de vías de ataque que podrán aprovechar los agentes de riesgo y, en particular, los agentes de Estados no miembros de la UE o que cuenten con su respaldo debido a su capacidad (intención y recursos) de atentar contra las redes de telecomunicaciones de los Estados miembros de la UE y a la potencial gravedad de las consecuencias de tales atentados.

En este contexto de mayor exposición a atentados facilitados por proveedores terceros, será especialmente importante el perfil de riesgo de cada proveedor, en particular si tiene una presencia significativa en determinadas redes o zonas.

c) Una gran dependencia de un único proveedor aumenta la exposición y las consecuencias de un posible fallo del mismo. También agrava el efecto potencial de los puntos débiles o vulnerables y su posible aprovechamiento por agentes de riesgo, en particular en caso de dependencia de un proveedor que presente un alto grado de riesgo.

d) Si algunos de los nuevos casos de uso de la 5G previstos llegan a buen puerto, las redes 5G terminarán siendo una parte importante de la cadena de suministro de muchas aplicaciones informáticas críticas, lo que no solo afectará a los requisitos de confidencialidad y privacidad, sino que, además, convertirá la integridad y disponibilidad de esas redes en cuestión primordial de seguridad nacional y en un gran reto de seguridad para la UE” (énfasis añadido)[23].

Asimismo, en la referida comunicación se le pide a los Estados miembros asegurarse de poder restringir, prohibir o imponer requisitos o condiciones específicos al suministro, despliegue y explotación de equipos de red 5G en función de una serie de motivos de seguridad y según un enfoque basado en el riesgo, entre las que se señalan:

“□ evaluar el perfil de riesgo de los proveedores y, en consecuencia, aplicar las restricciones que correspondan a los proveedores considerados de alto riesgo, incluidas las exclusiones necesarias para reducir eficazmente los riesgos en el caso de los activos clave”;

□ velar por que todo operador cuente con una estrategia adecuada y basada en múltiples proveedores que permita evitar o limitar cualquier dependencia importante respecto de un único proveedor (o proveedores con perfiles de riesgo similares), garantizar un adecuado equilibrio entre proveedores nacionales y evitar la dependencia de proveedores considerados de alto riesgo; esto requiere asimismo evitar situaciones de cautividad con respecto a un único proveedor, entre otras cosas, fomentando una mayor interoperabilidad de los equipos

2. La Comisión Europea, conjuntamente con los Estados miembros, debe contribuir a:

□ mantener una cadena de suministro de la 5G diversa y sostenible a fin de evitar situaciones de dependencia a largo plazo”[24]

En el aspecto concreto sobre la necesidad de evaluar el perfil de riesgo de cada proveedor y aplicar las restricciones pertinentes a los que sean considerados de alto riesgo, la Comunicación apunta que los perfiles de riesgo de los proveedores individuales pueden evaluarse a partir de diversos factores, destacando que deben obedecer a motivos de seguridad y basarse en criterios objetivos, los que se basan en las mejores prácticas nacionales de cada Estado miembro, y en que por ejemplo, dentro de los “Escenarios de riesgo relacionados con el modus operandi de los principales agentes de riesgo” se contempla: “Intromisiones por parte de Estados a través de la cadena de suministro de la 5G” (negrita añadida)[25].

En esa misma línea, el informe de la Unión Europea denominado “Evaluación de riesgos coordinada sobre la ciberseguridad de las redes 5G”[26], del 9 de octubre de 2019, advierte que las amenazas planteadas por Estados o actores respaldados por ellos se consideran de máxima relevancia, al representar las amenazas más graves y probables, debido a su capacidad de llevar a cabo ataques más persistentes y sofisticados contra la seguridad de las redes 5G. De hecho, plantea que los ataques por parte de estos Estados pueden ser muy complejos y tener un gran impacto en servicios esenciales para la población –causando interrupciones a gran escala o perturbaciones significativas en los servicios de telecomunicaciones, por ejemplo– a la vez que deterioran la confianza en las tecnologías y los operadores móviles (puntos 2.10 y 2.11).

En el tema concreto del perfil de riesgo de los proveedores, uno de los factores clave a evaluar dentro de las vulnerabilidades no técnicas relacionadas con las redes 5G, consiste precisamente en la probabilidad de que sufra interferencias de un país no perteneciente a la Unión Europea. Esta interferencia puede verse facilitada, entre otras condiciones, por: i) la presencia de un vínculo sólido entre el proveedor y el gobierno de un tercer país determinado; ii) la legislación de ese tercer país, especialmente cuando no existen controles legislativos o democráticos o en ausencia de acuerdos de seguridad o protección de datos suscritos con aquél; iii) las características de la propiedad corporativa del proveedor; y iv) la capacidad del tercer país para ejercer cualquier tipo de presión, incluso en relación con el lugar de fabricación del equipo que suministra el proveedor (punto 2.37). Incluso, el mismo informe en la sección intitulada “Escenarios de riesgo relacionados con el modus operandi de los principales actores de amenazas”, alerta de que terceros países hostiles puedan ejercer presión sobre los proveedores de 5G para facilitar ciberataques que sirvan a sus intereses nacionales (punto 2.53).

Para hacer frente a las amenazas anteriores, se emite la Caja de herramientas de la Unión Europea para la seguridad de las redes 5G[27], cuyo objetivo consiste en señalar un conjunto común de medidas que puedan mitigar los principales riesgos de ciberseguridad de las redes 5G identificados en el informe de evaluación de riesgos recién citado. Entre estas medidas, las consideradas como estratégicas apuntan a promover la sostenibilidad y diversidad de la cadena de suministro y valor de la red 5G para evitar riesgos de dependencia sistémica a largo plazo (punto 4.1.1).

En consecuencia, la Caja de herramientas recomienda a cada Estado miembro que aplique las restricciones pertinentes a los proveedores considerados de alto riesgo, incluyendo las exclusiones necesarias para mitigar eficazmente los riesgos, para los activos clave definidos como críticos y sensibles en la aludida evaluación de riesgos coordinada de la Unión Europea; así como garantizar que cada operador cuente con una estrategia “multiproveedor” adecuada para evitar o limitar cualquier dependencia significativa a un único proveedor, sobre todo si es considerado de alto riesgo; promoviendo incluso una mayor interoperabilidad de los equipos (punto 6.1).

Las referencias anteriores al Derecho de la Unión Europea sobre la que se basa el citado Real Decreto-ley 7/2022 en la legislación española, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, sirven de fundamento para medir la razonabilidad y objetividad no solo de los parámetros de riesgo del artículo 10 impugnado, sino también de la justificación técnica del criterio relativo a la diversificación en la cadena de suministro a que hacen alusión las otras dos disposiciones recurridas del Reglamento de ciberseguridad 5G.

Aun cuando para la realidad costarricense pueda resultar extraño que un Estado extranjero, en particular, si se trata de una potencia económica, muestre interés en ejercer algún grado de injerencia indebida en nuestros sistemas de información, tratamiento de los datos de la población, gestión de nuestras infraestructuras críticas o servicios esenciales o bien, en la forma de gobierno; lo cierto es que, como lo acabamos de ver de los documentos mencionados antes de la Unión Europea y según lo destacan los criterios expertos en la materia[28], las operaciones dirigidas por un Estado –sobre todo, de carácter autocrático o totalitarista– para desestabilizar otros Estados y polarizar a la población civil son cada vez más frecuentes en el contexto mundial actual. De hecho, no debemos olvidar que ya el país fue víctima de una serie de ciberataques en el año 2022, con grave afectación a sus servicios de salud y a los sistemas informáticos de Hacienda.

Estas operaciones de Gobierno extranjero abarcan una gran variedad de herramientas como diplomacia y acciones de inteligencia tradicional, actos subversivos y de sabotaje, influencia política y económica, instrumentalización del crimen organizado, operaciones psicológicas, propaganda y desinformación y ciberataques; las cuales han tenido un crecimiento constante y se considera que son, en muchos casos, el paso posterior a una actividad de ciberespionaje. Según se explica por la literatura especializada: “Una vez colonizada la red víctima, con las mismas herramientas con las que roban información podrían realizar acciones de cibersabotaje contra infraestructuras críticas y otros servicios esenciales de un país”[29].

En ese sentido, se indica que desde el año 2021 los casos de ciberespionaje de actores patrocinados por Estados se fueron incrementando, cuyo objetivo es obtener secretos de Estado, propiedad industrial o intelectual, información comercial sensible o datos de carácter personal. Al ser un actor sistemático, con objetivos permanentes y con protección estatal es con diferencia el actor más peligroso que podemos encontrar[30].

Ante un escenario global como el descrito, para la Procuraduría resulta comprensible las cautelas que contiene el Decreto n.°44196-MSP-MICITT en las letras c) y d) de su artículo 10, para que sean proveedores de hardware y software de tecnología 5G, empresas susceptibles de presión por parte de un gobierno extranjero por disposición normativa o política pública oficial de este, en relación con la ubicación o ejecución de sus operaciones; o bien tengan su base en un país o de alguna manera, están sujetos a la dirección de un gobierno extranjero con leyes o prácticas establecidas que les puedan requerir que compartan la información de los usuarios finales de servicios de telecomunicaciones en ausencia de un proceso legal transparente que proteja adecuadamente sus derechos e intereses; en la medida que pueden convertirse en instrumentos de esos Estados para tener una injerencia indebida en las infraestructuras críticas –como lo son las redes de telecomunicaciones– o los servicios esenciales del país e incluso, poner en peligro nuestra Seguridad nacional.

Las amenazas anteriores no son exageradas. Basta recordar las palabras iniciales de la citada Comunicación de la Comisión Europea acerca del Despliegue seguro de la 5G en la UE, en que se resalta la relevancia estratégica de las redes basadas en dicha tecnología y que perfectamente son extrapolables a cualquier rincón del orbe:

“La quinta generación (5G) de redes de telecomunicaciones desempeñará un papel fundamental en el desarrollo de la sociedad y la economía europeas. De ellas se espera que ofrezcan enormes oportunidades económicas y ofrezcan un importante punto de partida para la transformación digital y ecológica en ámbitos tales como los de transportes, energía, fabricación, sanidad, agricultura y medios de comunicación.

La 5G, pues, podría repercutir en prácticamente todos los aspectos de la vida de los ciudadanos de la UE. De ahí que la ciberseguridad de las redes 5G sea primordial no solo para proteger nuestras economías, sociedades y procesos democráticos, sino también para garantizar una transformación digital que se desarrolle en un clima de confianza y beneficie conjunto de la ciudadanía de la UE” (ni la negrita, ni el subrayado son del original).

Entonces, si un proveedor de origen extranjero está sujeto legalmente a colaborar con su gobierno, puede verse obligado a facilitar el acceso a información confidencial, insertar puertas traseras (backdoors) o incluso manipular sus sistemas en perjuicio de los usuarios del país donde opera. Asimismo, la integridad del hardware y software podría verse comprometida si el proveedor actúa bajo presión gubernamental.

Adicionalmente, cuando un país o una institución estatal depende de tecnología extranjera controlada por un suministrador vulnerable a presión estatal – especialmente si se trata de un único suministrador en la cadena de suministro– cede parte del control sobre sus propios sistemas de información críticos. Aquí cobra particular importancia el factor geopolítico que tanto se minimiza por las accionantes, pues en un panorama de tensiones diplomáticas, el gobierno extranjero podría obligar a los proveedores a suspender servicios, denegar soporte o sabotear infraestructuras digitales en otros países como forma de presión política o estratégica.

En definitiva, a partir de la documentación y literatura especializada estudiada, la Procuraduría considera que las empresas sujetas a decisiones políticas o normativas de un país tercero o a la dirección de un gobierno extranjero constituye, como en efecto lo considera el artículo 10, incisos c) y d), del Reglamento de ciberseguridad 5G, un tipo de riesgo relevante en ciberseguridad porque compromete la confidencialidad, integridad y disponibilidad de los sistemas. Un fenómeno que se presenta también con las empresas consideradas como “campeonas nacionales” al actuar bajo una política de liderazgo nacional y que buscan promover los intereses de la nación de donde provienen.

De ahí que, no se considere arbitrario que en sus procesos de contratación se exija a los operadores públicos y privados de redes 5G que evalúen la jurisdicción legal de los proveedores como parte de sus análisis de riesgo, especialmente si esa jurisdicción carece de controles democráticos o de un sistema de contrapesos político.

A este respecto, resultan muy acertadas las palabras del jurista español Luis Cosculluela al afirmar que: “el régimen político del Estado de Derecho es presupuesto necesario de la existencia de la economía de mercado… pues en la economía de mercado el régimen de libertades es su verdadero oxígeno vital. Donde no hay libertades políticas y sociales acaba apareciendo la corrupción más o menos extendida, y con ella se desvirtúan los principios y reglas de funcionamiento de la economía de mercado”[31].

Máxime, cuando contrario a lo afirmado por la sociedad accionante, el proveedor y, particularmente, su Consejo de Administración, en realidad no resulta ajeno a la decisión de si cede o no a la presión del Gobierno de su país para facilitarle información confidencial o acceso al control de los sistemas críticos a los que ha tenido acceso en su condición de suministrador tecnológico de hardware y software.

Por último, la ampliación de la acción reprocha que se tenga como condición de riesgo en materia de ciberseguridad la contratación de proveedores de hardware y software, cuya sede sea un país “que no ha manifestado” su consentimiento de obligarse al cumplimiento del Convenio sobre Ciberdelincuencia. Debemos reiterar que, contrario a lo afirmado en dicho escrito, la norma no exige la suscripción del aludido convenio, ni siquiera la aprobación formal, ya que basta la manifestación de consentimiento del Estado de origen.

Luego, como también lo hicimos ver en nuestro escrito DPB-ESC-936-2025, el aludido tratado contiene un capítulo concerniente a la cooperación internacional en materia penal para perseguir delitos relacionados con sistemas y datos informáticos, facilitar respuestas rápidas a incidentes cibernéticos transfronterizos y obtener pruebas en formato electrónico de esos delitos. Asimismo, regula las solicitudes de asistencia mutua entre los Estados parte del Convenio de Budapest en temas tan relevantes en este ámbito, como las medidas provisionales, de manera que una Parte podrá solicitar a otra que ordene o asegure de otra forma la conservación rápida de datos almacenados por medio de un sistema informático que se encuentre en el territorio de este último o los poderes de investigación respecto a esos datos almacenados en un sistema informático situado en ese otro Estado miembro, respecto de los cuales la Parte requirente tenga la intención de presentar una solicitud de asistencia mutua con vistas al registro o al acceso de forma similar, la confiscación o la obtención de forma similar, o la revelación de los datos (ver los artículos 29 y 31, respectivamente).

Precisamente, esa Sala Constitucional en la resolución n.°2017-4221 de las 9:15 horas del 21 de marzo de 2017 que, parcialmente transcribe la empresa accionante, resalta como una de las aristas del referido convenio, sus alcances en materia de cooperación internacional en la persecución de los delitos informáticos o realizados a través de medios telemáticos:

“VIII.- Sobre el objeto del tratado internacional.- (…)

Sobre el tema de la cooperación internacional, esta Sala estableció lo siguiente:

“Las formas de asistencia judicial internacional se deben fundamentar en uno de sus rasgos más característicos: la cooperación internacional. En este sentido, ésta puede entenderse con claridad en los términos de la sesión de Wiesbaden de 1975 del Instituto de Derecho Internacional que manifiesta, en uno de sus preámbulos, lo siguiente:

“las necesidades de una sociedad internacional caracterizada a la vez por la diversidad y concurrencia de legislaciones, de políticas y de intereses estatales y por una aspiración a la colaboración internacional y a la coexistencia o la armonización de los sistemas jurídicos nacionales”

En un contexto que posteriormente se sucede décadas después, con la llamada globalización de la economía y de las sociedades, cada vez más se evidencia la necesidad de echar mano a los mecanismos que permitan amortiguar la diversidad y asentar el conjunto de ordenamientos jurídicos, así como de las fuerzas que detrás de ellas existen. Visto así, las políticas y los intereses que representan los Estados, éstos unilateralmente desarrollan o se unen para articular un conjunto de puntos de colaboración internacional, en aras de una existencia y armonización de las diferencias, para que cuando el poder jurisdiccional se encuentre limitado a sus propias fronteras, pueda acudir a estos instrumentos, y poder realizar actos jurisdiccionales en otro Estado, tales como notificaciones o prácticas probatorias. Aunque alguna actividad probatoria se puede realizar con funcionarios consulares o diplomáticos, por ejemplo, es innegable la necesidad de acudir a la autoridad extranjera, lo que hace necesario abordar la cooperación internacional (sea, con la autorización normativa del legislador nacional o de los Tratados Internacionales). Pero, normalmente, se acepta cierta discrecionalidad en la cooperación, que se basa principalmente en la cortesía internacional, salvo el supuesto de la existencia de un convenio internacional, como es el caso que nos ocupa, que puede desplazarla y convertir sus términos en unos de observancia obligatoria”.

En el caso que nos ocupa, el tratado reafirma la política criminal sobre aquellas formas de delincuencia que aprovecha las nuevas tecnologías de la información y comunicación, cuando atentan contra los bienes jurídicos más relevantes de la sociedad mundial, bien sea: el derecho a las distintas formas de propiedad, el derecho al honor y la intimidad, las formas de protección contra la explotación de menores y pornografía infantil, la seguridad de las transacciones y de la información en la web, todos ellos bienes de relevancia constitucional que merecen protección jurídica en nuestro país. En este sentido, el Convenio sobre la Ciberdelincuencia busca dar una respuesta concatenada con otros Estados sobre esos bienes jurídicos, lo que resulta compatible, por el fondo, con el Derecho de la Constitución (valores, principios y normas)” (el subrayado no es del original).

Pues bien, al revisar antes la Recomendación sobre la Ciberseguridad de las redes 5G emitida por la Comisión Europea, pudimos comprobar cómo al momento de analizar el riesgo global de influencia de terceros países, especialmente en relación con el modelo de gobernanza de las empresas proveedores de equipos de tecnologías TICs, recomienda como parte de los “requisitos reglamentarios” a imponerles, considerar “la ausencia de acuerdos de cooperación en materia de seguridad o de acuerdos similares, como las decisiones de adecuación, en materia de protección de datos entre la Unión y el tercer país de que se trate, o si este país es parte en acuerdos multilaterales, internacionales o bilaterales en materia de ciberseguridad, lucha contra la ciberdelincuencia o protección de datos”(considerando 20, negrita añadida). Lo anterior, tomando en cuenta, según lo vimos también y se expone en el considerando 4, la naturaleza interconectada y transnacional de las infraestructuras de las redes 5G y la dimensión transfronteriza de las amenazas, con lo cual, cualquier vulnerabilidad o incidente de ciberseguridad importante que ocurra en un país afecta al resto de naciones.

A mayor abundamiento, el ya citado Reglamento 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n. o 526/2013 («Reglamento sobre la Ciberseguridad»), hace patente que el abordaje de la ciberseguridad en modo alguno puede limitarse a la observancia de la normativa nacional, debido al carácter transfronterizo la mayor de las veces, de las amenazas a los sistemas de información y a la protección de los datos personales de la ciudadanía. De ahí la relevancia de la cooperación internacional en la materia. Para muestra, veamos lo que nos dice los siguientes extractos de su parte considerativa:

“(5) Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y los ciberataques, requieren unas defensas más sólidas. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las competencias de las autoridades de ciberseguridad y policiales, así como las respuestas políticas de las mismas, son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la Unión” (negrita añadida).

“(6) A la luz de los crecientes retos a los que debe hacer frente la Unión en materia de ciberseguridad, es necesario un conjunto completo de medidas que se apoye en actuaciones previas de la Unión y promueva objetivos que se refuercen mutuamente. Dichos objetivos incluyen la necesidad de aumentar las capacidades y la preparación de los Estados miembros y de las empresas, así como de mejorar la cooperación, el intercambio de información y la coordinación entre los Estados miembros y las instituciones, órganos y organismos de la Unión. Por otra parte, habida cuenta de la naturaleza transfronteriza de las ciberamenazas, es necesario aumentar las capacidades de la Unión que podrían complementar la acción de los Estados miembros, en particular en el caso de ciberincidentes y crisis transfronterizas a gran escala, al tiempo que se ha de tener en cuenta la importancia de mantener y seguir mejorando las capacidades nacionales de respuesta a las ciberamenazas de cualquier envergadura” (negrita añadida).

“(9) Con el fin de reforzar las estructuras de ciberseguridad de la Unión, es importante mantener y desarrollar las capacidades de los Estados miembros para responder globalmente a las ciberamenazas, incluidos los incidentes transfronterizos” (negrita añadida).

“(54) Las ciberamenazas tienen un alcance mundial. Es necesaria una cooperación internacional más estrecha para mejorar las normas de ciberseguridad, incluida la necesidad de definir normas de comportamiento comunes, la adopción de códigos de conducta, el uso de normas internacionales y el intercambio de información, promoviendo una colaboración internacional que responda con mayor prontitud a los problemas de seguridad de las redes y de la información, y promueva un enfoque mundial común al respecto” (negrita añadida).

Reforzando el enfoque anterior, la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2)[32], reafirma “la importancia de la cooperación internacional en materia de ciberseguridad” (considerando 45).

De ahí que sea un error asumir, como lo plantea la empresa accionante, que basta el sometimiento pleno al ordenamiento jurídico patrio de los proveedores de tecnología 5G que oferte o contraten con la Administración Pública –según lo obliga el artículo 14.a) de la Ley General de Contratación Pública– al abarcar las disposiciones del Convenio de Budapest por haber sido aprobado y ratificado por Costa Rica, para dar por bueno que su país de origen no haya manifestado tan siquiera su consentimiento a sujetarse a dicho tratado, pues olvida la dimensión transfronteriza de la ciberdelincuencia explicada en las páginas precedentes.

De tal suerte que, si un proveedor que opera transnacionalmente se apropia ilícitamente en nuestro territorio de datos personales de los habitantes y los transfiere a la casa matriz en su país de origen, cuyo gobierno no está vinculado jurídicamente por un tratado o instrumento internacional, como el Convenio sobre la Ciberdelincuencia, para colaborar con las autoridades del Estado costarricense en la investigación, la recopilación de pruebas y el intercambio de información, de nada valdría que aquél se haya comprometido en primer lugar a cumplir con la legislación interna, dada la naturaleza transfronteriza del ilícito cometido, cuya materialización pueda darse allende a nuestros límites territoriales.

Por todo lo expuesto, la Procuraduría estima que sí resulta pertinente el criterio de la letra e) del artículo 10 del Reglamento de Ciberseguridad 5G como parámetro de riesgo, cuando el país de origen del proveedor de tecnología 5G ni siquiera ha manifestado su consentimiento de obligarse al Convenio sobre la Ciberdelincuencia.

Finalmente, se alega que el aludido artículo 10 del Decreto n.°44196-MSP-MICITT conculca el artículo 7 de la Constitución Política, al contradecir el Tratado de Libre Comercio entre la República de Costa Rica y la República Popular China. Esta tacha también fue analizada en nuestro informe del 17 de enero del año en curso, no solo respecto a dicho convenio de comercio exterior, sino respecto a otros instrumentos que fueron invocados con la primera acción cursada.

La tesis de la Procuraduría sobre el particular es justamente la sostenida por esa Sala Constitucional en la sentencia citada por la empresa recurrente, voto n.°2024-22483 de las 12:00 horas del 7 de agosto de 2024, en el sentido de que “no está llamada a calibrar aspectos relativos a la aplicación e interpretación de un TLC, ni muchos menos eventuales contradicciones menores o técnicas, que corresponden ser dirimidos mediante los mecanismos de resolución de controversias del propio tratado. Lo que sí le compete, como en este caso, es enjuiciar si las normas legales impugnadas se oponen a tal tratado internacional cuando se trata de una contradicción evidente y manifiesta” (considerando II, negrita añadida).

En la especie, no se aprecia una contradicción entre el TLC con China y Reglamento de Ciberseguridad 5G susceptible de ser calificada como “evidente y manifiesta”. Empezando porque el aludido reglamento y, en concreto, su artículo 10 no contiene referencia expresa alguna a la nacionalidad de los proveedores de hardware y software basados en tecnología 5G. Es decir, los parámetros de riesgo alto aplican por igual a todo suministrador que desee brindar sus servicios a los operadores de redes 5G públicos o privados en el país, sin establecer diferencias de trato. Luego, el contenido del Reglamento de Ciberseguridad 5G es técnico, al aludir a aspectos de ciberseguridad en el uso y explotación de las redes basadas en la tecnología móvil 5G. Razón por la cual, el examen de la pertinencia o razonabilidad de sus requerimientos y condicionantes a los operadores que deseen participar en este sector de las telecomunicaciones debe sujetarse, según fue explicado en nuestro primer informe, a la respectiva prueba técnica y experta a ser evacuada en el contradictorio que se tramita en sendos asuntos base ante la jurisdicción ordinaria.

Por fin, no se observa una discordancia entre lo estipulado por los artículos 160 y 162 del referido tratado y el Decreto n.°44196-MSP-MICITT; pero sí queda manifiesto –sobre todo a la luz del Derecho comparado analizado– que esas disposiciones del convenio de libre comercio resultan insuficientes por si solas para garantizar la ciberseguridad de los sistemas de información, la protección de los datos personales y de las redes de telecomunicaciones basadas en la tecnología 5G. Ya que, por un lado, el artículo 160, letra a), se limita a señalar que ninguna disposición del tratado se interpretará para obligar a un Estado parte a proporcionar o a dar acceso a cualquier información cuya divulgación determine es contraria a sus intereses esenciales en materia de seguridad; y de otro, el artículo 162, estipula, que tampoco “será interpretado para obligar a una Parte a proporcionar o a permitir acceso a información confidencial, cuya divulgación pudiera impedir el cumplimiento de las leyes, o de otra manera sea contraria al interés público, o que pudiera perjudicar los intereses comerciales legítimos de empresas particulares, sean públicas o privadas”.

La mera observancia de estos dos preceptos del TLC con China cuyo tenor literal, insistimos en ello, no se contraponen al Reglamento de Ciberseguridad 5G, en modo alguno bastan para hacer frente a los crecientes riesgos y amenazas en materia de ciberseguridad que afronta no solo el país, sino el resto del planeta.

III. CONCLUSIÓN

Con fundamento en las consideraciones anteriores, es criterio de la Procuraduría que:

1. Los documentos identificados con las letras c) a f) del epígrafe IV (Documentos) del escrito de interposición de fecha 4 de noviembre de 2024, deben rechazarse, pues no se explica su pertinencia con los motivos de inconstitucionalidad alegados.

2. Por el fondo, se reiteran las consideraciones efectuadas en nuestro escrito DPB-ESC-936-2025 de fecha 17 de enero del año en curso, con el que se pide complementar el presente informe, debido a que los reproches son similares en las dos acciones cursadas.

3. No se observa que los artículos 6, 9 y 10 del Decreto n.°44196-MSP-MICITT sean contrarios al Derecho de la Constitución, por lo que los motivos de la ampliación de la acción deben ser rechazados por el fondo, con la consiguiente declaratoria sin lugar del recurso de inconstitucionalidad.

En la forma expuesta, dejo evacuada esta audiencia.

NOTIFICACIONES

Para atender notificaciones reitero la notificación electrónica o en su defecto, la Oficina de Recepción de Documentos, en el primer piso del edificio que ocupa la Procuraduría General de la República en esta capital, entre avenidas 2 y 6, calle 13.

San José, 21 de abril de 2025.

Iván Vinicio Vincenti Rojas

Procurador General de la República

[1] Vid., MARTÍN REBOLLO, Luis. Sociedad, economía y Estado (A propósito del viejo regeneracionismo y el nuevo servicio público). /En/ COSCULLUELA MONTANER, Luis (Coord). Estudios de Derecho público económico. Libro homenaje al prof. Dr. D. Sebastián Martín-Retortillo. Madrid: Civitas, 2003, p.640. En el mismo sentido, ZEGARRA VALDIVIA, Diego. El servicio público. Fundamentos. Lima: Palestra Editores, 2005, p.232,

[2] MARTÍN REBOLLO, Luis. Sociedad, economía y Estado… pp.640-641.

[3] Vid., MARTÍNEZ LÓPEZ-MUÑIZ, José Luis. En torno a la nueva regulación de los servicios esenciales económicos en red (A propósito de la nueva Ley general de telecomunicaciones y su sistema conceptual), citado por FERNÁNDEZ GARCÍA, M.ª Yolanda. Estatuto Jurídico de los Servicios Esenciales en Red. Madrid: INAP, 2003, pp.208-209.

[4] MUÑOZ MACHADO, Santiago. Fundamentos e instrumentos jurídicos de la regulación económica. /En/ MUÑOZ MACHADO, Santiago; ESTEVE PARDO, José (Dirs.). Derecho de la Regulación Económica: Fundamentos e Instituciones de la Regulación. T. I. Iustel,, 2009, pp.112-113.

[5] Vid., DARNACULLETA i GARDELLA, M. Mercè (2009). La recepción y desarrollo de los conceptos y fórmulas de la regulación. El debate en la República Federal Alemana. /En/ MUÑOZ MACHADO, Santiago; ESTEVE PARDO, José (Dirs.). Derecho de la Regulación Económica… pp.349-386.

[6] Vid., MARTÍNEZ LÓPEZ-MUÑIZ, José Luis. La publicatio de recursos y servicios. /En/ COSCULLUELA MONTANER, Luis (Coord). Estudios de Derecho público económico… p.695.

[7] Vid., MARTÍNEZ LÓPEZ-MUÑIZ, José Luis. La publicatio de recursos y servicios… pp.695-696.

[8] Vid, sobre el tema: ARNESTO MOYA, Alonso (2024). El Régimen Jurídico del despliegue de las redes de nueva generación (NGN) y de las redes de muy alta capacidad en el marco de la Unión Europea. Tesis doctoral. Universidad Carlos III de Madrid, 442 p., ubicable en: https://hdl.handle.net/10016/45120

[9] Para muestra, cabe recordar lo señalado por esa Sala Constitucional en el voto citado líneas atrás n.°2011-03733: “Este Tribunal en reiterada jurisprudencia ha evidenciado, que entre el Colegio de Abogados y sus agremiados existe una relación de “sujeción especial”… Precisamente es esa relación de sujeción especial la que permite que las conductas a regular y su correspondiente sanción, estén contenidas en un Reglamento, y no en una ley. En efecto, las exigencias derivadas del principio de legalidad y sus corolarios, como los de regulación mínima y reserva de ley, sufren una importante atenuación en las relaciones de sujeción especial, que quedan sometidas a poderes reglamentarios y de policía de los que la Administración carecería en sus relaciones formales con los administrados en condición de terceros o súbditos. En igual sentido, la Sala ha sido enfática en que debe existir un límite máximo razonable en cada una de las sanciones administrativas que deban aplicarse a los agremiados” (la negrita es añadida).

[10] Vemos que la Unión Europea maneja una definición aún más amplia de ciberseguridad en el Reglamento 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n. o 526/2013 («Reglamento sobre la Ciberseguridad»), al concebirla en su artículo 2.1 como: “todas las actividades necesarias para la protección de las redes y sistemas de información, de los usuarios de tales sistemas y de otras personas afectadas por las ciberamenazas”; mientras que a las ciberamenazas las conceptualiza así: “cualquier situación potencial, hecho o acción que pueda dañar, perturbar o afectar desfavorablemente de otra manera las redes y los sistemas de información, a los usuarios de tales sistemas y a otras personas”.

[11] ESTEVE PARDO, José (2009). El encuadre de la regulación de la economía en la sistemática del Derecho público. /En/ MUÑOZ MACHADO, Santiago; ESTEVE PARDO, José (Dirs.). Derecho de la Regulación Económica: Fundamentos e Instituciones de la Regulación… p.404.

[12] MUÑOZ MACHADO, Santiago (2004). Tratado de Derecho Administrativo y Derecho público general. T. I. Madrid: Thomson-Civitas, 2004, pp.1209-1210.

[13] Vid., FERNÁNDEZ GARCÍA, M.ª Yolanda. Estatuto Jurídico de los Servicios Esenciales en Red… pp.500-501.

[14] MUÑOZ MACHADO, Santiago (2004). Tratado de Derecho Administrativo y Derecho público general… p.1194.

[15] Ibid.

[16] MUÑOZ MACHADO, Santiago. Los límites constitucionales de la libertad de empresa. /En/ COSCULLUELA MONTANER, Luis (Coord). Estudios de Derecho público económico... p.145.

[17] Vid., en ese sentido, GUTIÉRREZ ALONSO, Juan J. El elemento tecnológico: el principio de neutralidad y sus implicaciones en la regulación /En/ MUÑOZ MACHADO, Santiago; ESTEVE PARDO, José (Dirs.). Derecho de la Regulación Económica: Fundamentos e Instituciones de la Regulación... pp.691, 693 y 698.

[18] QUADRA-SALCEDO, Tomás (de la). Revisión del marco regulador de las telecomunicaciones. Nuevas redes y nuevos servicios. /En/ QUADRA-SALCEDO, Tomás (de la). (Dir.) Derecho de la Regulación Económica. T. IV. Telecomunicaciones. Madrid: Iustel, 2009, p.687

[19] GUTIÉRREZ ALONSO, Juan J. La cláusula «mejores técnicas disponibles» versus el criterio de la neutralidad tecnológica y su aplicación en el Derecho Administrativo español. /En/ Revista Española de Derecho Administrativo. (octubre-diciembre, 2005), nº128, p.648.

[20] Vid. GUTIÉRREZ ALONSO, Juan J. El elemento tecnológico: el principio de neutralidad y sus implicaciones en la regulación… p.689.

[21] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32019H0534

[22] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020DC0050

[23] Vid., Comunicación de 29 de enero de 2020 de la Comisión Europea «Despliegue seguro de la 5G en la UE… p.4.

[24] Ibid., p.6.

[25] Ibid., p.14.

[26] EU coordinated risk assessment of the cybersecurity of 5G networks. Report, October, 2019. https://digital-strategy.ec.europa.eu/en/news/eu-wide-coordinated-risk-assessment-5g-networks-security

[27] Cybersecurity of 5G networks EU Toolbox of risk mitigating measures, 2020. https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures

[28] Vid., CANDAU ROMERO, Javier. Ciberseguridad. Evolución y tendencias. /En/ Documento Marco, n.°11/2021, Instituto Español de Estudios Estratégicos, p.12.

[29] Ibid.

[30] Ibid., pp.18-19.

[31] Vid., COSCULLUELA MONTANER, Luis. Reflexiones sobre los presupuestos constitucionales y de Derecho comunitario europeo y los principios generales del Derecho público económico. /En/ COSCULLUELA MONTANER, Luis (Coord). Estudios de Derecho público económico… p.113.

[32] DO L 333 de 27.12.2022, p.80.


INICIO \| PGR SINALEVI \| PODER JUDICIAL \| HACIENDA \| CORTE IDH \| ACTAS CONSTITUYENTE \| AYUDA \| MAPA DEL SITIO