SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA

PROCESO: ACCIÓN DE INCONSTITUCIONALIDAD

ACCIONANTE: FEDERACIÓN FRENTE INTERNO DE TRABAJADORAS Y TRABAJADORES DEL INSTITUTO COSTARRICENSE DE ELECTRICIDAD Y DE LA INDUSTRIA DE TELECOMUNICACIONES Y ENERGÍA (FIT) & OTRO

CONTRA: Artículos 6, 8, 9 y 10 del Reglamento sobre medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores (Decreto Ejecutivo n.°44196-MSP-MICITT)

EXPEDIENTE: 24-024405-0007-CO

INFORMANTE: Dr. Alonso Arnesto Moya

Honorables Magistrados:

El suscrito, IVÁN VINICIO VINCENTI ROJAS, mayor, divorciado, abogado, vecino de Concepción de Tres Ríos, cédula de identidad 1-0695-0983, PROCURADOR GENERAL DE LA REPÚBLICA, según acuerdo segundo del artículo 5 de la sesión ordinaria n.° 44 del 8 de marzo de 2023 del Consejo de Gobierno y publicado en La Gaceta n.°83 del 12 de mayo de 2023, ratificado en el acuerdo de la Asamblea Legislativa n.°6966-22-23 en sesión ordinaria n.°167, celebrada el 20 de abril de 2023 y publicado en La Gaceta n.°84 del 15 de mayo de 2023, dentro del plazo conferido –del que se solicitó ampliación en uso de las facultades conferidas por el artículo 23 de nuestra Ley Orgánica (n.°6815 del 27 de setiembre de 1982), mediante escrito DPB-ESC-353-2025 de fecha 9 de enero del año en curso–, atiendo la audiencia otorgada a la Procuraduría General de la República en resolución de las 15:25 horas del 4 de diciembre de 2024, notificada el día 6 siguiente, en los términos que a continuación expongo:

I.                 OBJETO DE LA ACCIÓN Y PARÁMETROS DE CONSTITUCIONALIDAD INVOCADOS        

            La presente acción tiene por objeto la declaratoria de inconstitucionalidad de los artículos 6, 8, 9 y 10 del Reglamento sobre medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil 5G y superiores (Decreto Ejecutivo n.°44196-MSP-MICITT del 25 de agosto de 2023), al que nos referiremos, en adelante, principalmente como Reglamento de ciberseguridad 5G o Decreto n.°44196-MSP-MICITT.

            En ese sentido, de los artículos 6 y 9 se cuestiona la implementación de estándares específicos de ciberseguridad y concretamente, del Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad (SCS 9001), que se estiman contrarios a los principios de reserva de ley y separación de poderes (con mención a los artículos 9 y 105 de la Constitución Política), de igualdad y no discriminación (y citan los artículos 33 de la Carta Magna, 1.1 y 24 de la Convención Americana sobre Derechos Humanos, 26 del Pacto Internacional de Derechos Civiles y Políticos, 2.2 del Pacto Internacional de Derechos Económicos, Sociales y Culturales, y 1.1 de la Convención Interamericana contra toda forma de discriminación e intolerancia); de intervención mínima del Estado y protección del interés público; a las Libertades económicas de ejercicio empresarial, intercambio comercial y elección contractual (que deduce de los artículos 28 y 46 constitucionales); al Derecho fundamental al desarrollo sostenible –que extrae de los artículos 50 de la Constitución Política, 26 de la Convención Americana sobre Derechos Humanos, 11 del Pacto Internacional de Derechos Económicos, Sociales y Culturales, 1 del Protocolo de San Salvador y 34 de la Carta de la Organización de los Estados Americanos (OEA)–; así como de las obligaciones internacionales asumidas por el país en diversos tratados y convenios, en concreto de los numerales 2.2, 2.3 y 2.4 del Acuerdo sobre Obstáculos Técnicos al Comercio (OTC) de la Organización Mundial del Comercio (OMC); VI, XVI, XVII del Acuerdo General sobre el Comercio de Servicios (AGCS); 11.4 y capítulo 7 del Tratado de Libre Comercio entre República Dominicana, Centroamérica y Estados Unidos (CAFTA-DR) y los artículos 8, 11, 92, 96, 119 y 120 del Tratado de Libre Comercio entre Costa Rica y China.

            En lo referente al artículo 8, los alegatos se centran en su inciso i), en cuanto impone una estrategia de diversificación en la cadena de suministro de los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales en una red 5G o superior, y exige que dichos equipos, sistemas o recursos sean proporcionados, como mínimo, por dos suministradores de hardware y software diferentes; lo que también se considera contrario a los principios de reserva de ley y separación de poderes y una medida restrictiva a las libertades de empresa, comercio e industria, así como violatorio de los principios de razonabilidad y proporcionalidad; acusando de igual manera su incompatibilidad con los artículos 2.1 y 15.1.b del Pacto Internacional de Derechos Económicos, Sociales y Culturales y 26 de la Convención Americana sobre Derechos Humanos.

            Por último, se impugna el artículo 10 del Reglamento de ciberseguridad 5G, precepto contentivo de los denominados “parámetros de riesgo alto” para la operación de redes de telecomunicaciones 5G o superiores, aduciendo respecto a sus incisos c), d), e) y f), que al establecer exigencias habilitantes relacionadas con el país de origen del suministrador, su sujeción potencial a presiones de gobiernos foráneos, así como la adhesión a instrumentos internacionales en materia penal como el Convenio sobre Ciberdelincuencia o Convenio de Budapest, transgrede los mencionados principios de reserva de ley, separación de poderes, igualdad ante la Ley y proscripción de discriminación, las libertades económicas relacionadas con la libertad de comercio e industria, libertad de empresa y autonomía contractual (libre iniciativa privada); los derechos fundamentales del consumidor y al Desarrollo Sostenible, así como los principios de seguridad jurídica, intervención mínima del Estado, protección del interés público, eficiencia administrativa, interdicción de la arbitrariedad y la desviación de Poder, proporcionalidad (en su triple formulación de idoneidad, necesidad y proporcionalidad en sentido estricto), neutralidad tecnológica, acceso universal a las telecomunicaciones; denunciando también un incumplimiento a los compromisos internacionales asumidos por Costa Rica en el Acuerdo bilateral de promoción y protección recíproca de inversiones entre la República de Costa Rica y la República Popular China, el Tratado de Libre Comercio entre Costa Rica y China, al referido Acuerdo sobre Obstáculos Técnicos al Comercio de la OMC y al Acuerdo General sobre el Comercio de Servicios de ese mismo organismo, también citado.

II.                ACERCA DE LA LEGITIMACIÓN DE LAS ACCIONANTES

            De conformidad con el citado auto de traslado de la acción, la legitimación de la Federación Frente Interno de Trabajadoras Y Trabajadores del Instituto Costarricense de Electricidad y de la Industria de Telecomunicaciones y Energía (FIT) se funda en el párrafo primero del artículo 75 de la Ley de la Jurisdicción Constitucional (n.°7135 del 11 de octubre de 1989), ante la existencia de un proceso de conocimiento en el Tribunal Contencioso Administrativo y Civil de Hacienda que se tramita bajo el expediente n.°24-001014-1027-CA, en el que dicha organización gremial figura como parte actora y donde, efectivamente, se invocó la inconstitucionalidad de los artículos 6, 8, 9 y 10 del aludido Decreto n.°44196-MSP-MICITT.

Por su parte, la legitimación de la coaccionante Asociación Pro Defensa de Consumidores Financieros y Afines (APRODECO), el mismo auto de esa Sala la sustenta en el párrafo segundo del mismo artículo 75 de la Ley reguladora de esta jurisdicción, al considerar que actúa en defensa de intereses difusos consistentes en el “resguardo de los derechos e intereses de los consumidores y usuarios de servicios de telecomunicaciones”. Cabe agregar, que de la revisión del expediente del asunto base consta que dicha asociación también aparece apersonada como tercero interesado a favor de las pretensiones de la demanda principal, con una reserva de inconstitucionalidad contra los preceptos aquí impugnados.   

Desde esa perspectiva, la Procuraduría coincide con ese alto Tribunal respecto a que se cumplen los presupuestos de ley para haber dado curso a la presente acción, no solo ante la constatación del proceso previo indicado pendiente de resolver en la jurisdicción contencioso-administrativa, sino con ocasión de la línea jurisprudencial de esa Sala Constitucional que, desde vieja data, ha admitido la defensa de los intereses de los consumidores dentro de los supuestos en que resulta aplicable la doctrina de los intereses difusos como vía para admitir la acción directa  (ver las resoluciones 2001-05915 de las 15:27 horas del 3 de julio del 2001 y 2002-00850 de las 16:00 horas del 30 de enero del 2002, reiterada en la sentencia n.°2006-015489 de las 17:10 horas del 25 de octubre del 2006).

Ahora bien, no podemos dejar de llamar la atención sobre el objeto de la demanda del asunto base, dada la forma en que consideramos debe ser abordada la presente acción, según se explicará de seguido, pues dejando de lado la petitoria de naturaleza indemnizatoria, abarca la misma pretensión anulatoria que se deriva de la solicitud para declarar la inconstitucionalidad del Reglamento de ciberseguridad 5G de forma integral (petitoria n.°1) o solo de sus artículos 6, 8, 9 y 10 (petitoria n.°2), que a su vez coincide con la pretensión subsidiaria 1 de la demanda del proceso de conocimiento, salvo el artículo 8.

Es decir, se está impugnando en una doble vía (la constitucional y la ordinaria) una disposición de alcance general –el referido Decreto n.°44196-MSP-MICITT–  empleando básicamente los mismos argumentos, sin ningún acto administrativo de aplicación individual de la norma reglamentaria; lo que, en nuestro criterio, obliga a separar las cuestiones de legalidad ordinaria presentes en la acción –sobre las que, para algunas de ellas, se ofrece prueba en el juicio base– e incluso, los aspectos que son del resorte competencial de los organismo multilaterales relacionados con el comercio internacional. Veamos. 

III.              DELIMITACIÓN DE LOS MOTIVOS ALEGADOS EN LA ACCIÓN QUE NO DEBERÍAN SER CONOCIDOS POR LA JURISDICCIÓN CONSTITUCIONAL

Ciertamente, el dilatado escrito de interposición de la acción reproduce la gran mayoría de los argumentos de la demanda del asunto principal relacionados con los artículos 6, 8, 9 y 10 del Reglamento de ciberseguridad 5G, como así se desprende del cotejo de ambos memoriales; razón por la cual, es recomendable llevar a cabo, en primer lugar, el necesario deslinde de las tachas que, en el parecer de la Procuraduría, corresponden en efecto a la competencia de esa Sala Constitucional, de aquellas otras –la gran mayoría, basta advertirlo desde ahora debido al carácter eminentemente técnico del decreto impugnado– que sí habría que residenciar en la jurisdicción ordinaria; máxime, al tratarse de la sede natural donde de manera plenaria y con la mayor amplitud probatoria, pueden practicarse todas las diligencias de prueba ofrecidas por las partes y discutir a fondo el sustento tecnológico de las exigencias en materia de ciberseguridad que contiene el referido Decreto n.°44196-MSP-MICITT para la telefonía móvil 5G (artículos 82, 83, 94 y 99 a 111 del Código Procesal Contencioso Administrativo), y en la que el Juez contencioso-administrativo está igualmente empoderado para, de ser el caso, anular el reglamento recurrido de hallar alguna contradicción con la Norma Fundamental a la luz del acervo probatorio evacuado, tomando en cuenta que, como lo ha señalado esa Sala Constitucional, “las autoridades -tanto administrativas como jurisdiccionales- tienen la atribución-deber de aplicar directamente el Derecho de la Constitución -en su pleno sentido-, incluso en ausencia de normas de rango inferior o desaplicando las que se le opongan” (voto n.°2010-021039 de las 14:45 horas del 21 de diciembre del 2010).

En ese sentido, conviene recordar algunas de las pautas que ese alto Tribunal ha establecido en su doctrina jurisprudencial para deslindar la jurisdicción constitucional de la común, empezando con que la norma reglamentaria impugnada es fruto de una función administrativa. Así, en la resolución n.°2007-001135 de las 15:12 horas del 30 de enero del 2007, en la que se citan varios votos en la misma línea, se indicó:

“II.- DE LA INADMISIBILIDAD DEL RECLAMO QUE SE LE HACE AL ARTÍCULO 17 DEL DECRETO EJECUTIVO NÚMERO 32.425-S.- En cuanto al primer reclamo que se hace ante esta Sala, en relación a la impugnación del artículo 17 del Decreto Ejecutivo número 32.425-S , se estima que es inadmisible, por constituirse en un problema de mera legalidad, y en tal virtud, no susceptible de ser conocido en esta sede, sino en la ordinaria, propiamente en la jurisdicción contencioso-administrativo, en atención a que por mandato constitucional –artículo 49– fue creada con el objeto de controlar " la legalidad de la función administrativa ", mientras que la jurisdicción constitucional le corresponde el control de constitucionalidad ; lo cual obliga a interpretar de forma sistemática el texto constitucional y entender que las cuestiones de legalidad han de someterse a la citada jurisdicción, ello con el fin de mantener una uniforme distribución de las competencias y el respeto de todas las reglas que conforman la Constitución Política; tal y como lo ha señalado con anterioridad esta instancia:

"Es claro que cualquier impugnación como la que se plantea, conlleva implícita una presunta violación a la Constitución Política, dado que de ella se deriva todo el ordenamiento jurídico, pero en la propia Constitución existe un reparto de competencias con el fin de garantizar al ciudadano una manera de proteger las distintas clases de derechos e intereses que posee. De esa forma, se regulan en la Constitución Política, las jurisdicciones contenciosa y de trabajo (artículos 49 y 70) y es dentro de este contexto que debe incrustarse la jurisdicción constitucional, en el entendido que su competencia se complementa y no se superpone a las señaladas, a los fines de protección del ciudadano " (en este sentido, entre otras ver las sentencias número 94-000843, 96-000404, 96-003379, 96- 006471, 96-006692-96, 96-006689, 97-2402, 97-004261, 98-3458, 98-5055, 98- 6242, 99-2364, 99-2372, 99-5025, 99-5026, 99-6399, 2003-11921, 2004-4865, 2004- 10037).

En virtud de lo anterior, es un asunto de mera legalidad lo relativo a la determinación de la potestad del Ministerio de Salud para verificar el control estatal en la regulación de la compra e importación de equipo biomédico, en tanto ello más bien atiende a la sujeción de la actuación de la Administración al principio de legalidad (artículos 11 constitucional y 11 de la Ley General de la Administración Pública); en tanto lo que se pretende es hacer prevalecer este principio, ante la supuesta inexistencia de preceptos legales que sustenten la potestad pública del Ministerio de Salud para verificar el control en la importación y venta de equipo y material biomédico. Con lo cual, la determinación de una actuación con o sin potestad legal para ello es un asunto de mera legalidad, que se residencia en el ámbito de la organización administrativa, por cuanto no existe ninguna norma constitucional que le atribuya una competencia específica a ese Ministerio; más bien, es propio de cada Poder, la facultad de auto-organización interna; sin que en la norma impugnada se dé una delegación de funciones esenciales de ese ente a ningún otro (de la Administración Central o Descentralizada) –asunto que se repite es de orden meramente legal–” (el subrayado no es del original, ver en igual sentido, el voto n.°2007-01550 de las 15:29 horas del 7 de febrero del 2007).

De igual forma, en la acción que se conoció en la resolución n.°2010-3302 de las 14:51 horas del 17 de febrero de 2010, esa Sala aclaró que: “al ser la Constitución Política la norma fundamental de la cual se desprende todo el ordenamiento jurídico, resulta lógico que las normas legales tengan relación indirecta con los derechos fundamentales, pero esto no implica que todo conflicto que se presente en ese estadio, deba ser resuelto por la jurisdicción constitucional” (el subrayado no es del original).

Por otra parte, tomando en cuenta que una buena parte de los alegatos de la acción tienen que ver con la afectación que las disposiciones del Reglamento de ciberseguridad 5G hacen a varios derechos y libertades fundamentales, conviene traer a colación los criterios jurisprudenciales de deslinde competencial emitidos por esa Sala Constitucional en materia de recurso de amparo, de lo que es muestra la resolución n.°2007-14522 de las 14:38 horas del 10 de octubre del 2007:

“I.- De previo a entrar en materia, la Sala considera necesario recordar que el recurso de amparo ha sido instituido únicamente para brindar tutela oportuna contra infracciones o amenazas inminentes a los derechos y libertades fundamentales, por lo que, en general, su procedencia esté condicionada, no sólo a que se acredite la existencia de una turbación —o amenaza de turbación— a uno o más de los derechos o garantías contemplados en la Carta Política o en los instrumentos internacionales de derechos humanos suscritos por el país, sino también a que el agravio alegado comporte una amenaza o quebranto directo y grosero de aquellos derechos, que por su carácter apremiante no permita esperar a que surtan efecto los remedios jurisdiccionales ordinarios.  Esto quiere decir que no toda supuesta vulneración de uno de tales derechos es idónea para ser discutida en esta sede, ya que, además, la presunta violación debe poner en peligro aquella parte de su contenido que le es esencial y connatural; es decir, el núcleo que le presta su peculiaridad y lo hace reconocible como derecho de una naturaleza determinada.  En otras palabras, se trata de su razón de ser; el componente indispensable para que su titular pueda obtener la satisfacción de aquellos intereses para cuya consecución ese derecho se ha otorgado y que, por ello, queda sustraído de la esfera de regulación de todos los poderes públicos.  Lo anterior, en doctrina, es conocido como el contenido mínimo esencial del derecho. Sobre este tema concreto, se ha dicho que una limitación afecta el contenido esencial de un Derecho Fundamental cuando torna al Administrado en un mero objeto de la actividad estatal. Esto ocurre, por ejemplo, cuando se condiciona el ejercicio de ese Derecho al cumplimiento de condiciones, presupuestos o requisitos de tal naturaleza que, en la práctica, hacen materialmente imposible o nugatorio su uso.  A manera de ejemplo, piénsese que si al titular de un Derecho de Propiedad se le impide enajenar o usufructuar el bien objeto de propiedad, en la práctica se está vaciando su derecho de toda utilidad o vigencia, incluso si, formalmente, la persona sigue siendo el “propietario” del bien (véase el pronunciamiento N° 6482-96 de las 14:54 horas del 28 de noviembre de 1996). Por consiguiente, cualquier conducta de la Administración que comporte una lesión de esa índole, es materia de amparo, y aquella que no lo haga, en tesis de principio es materia de mera legalidad.

II.- En este orden de ideas, la jurisprudencia constitucional ha precisado que el problema de las violaciones directas e indirectas a la Constitución involucra, también, una necesaria apreciación de la idoneidad y naturaleza expedita que debe caracterizar a la vía del amparo. Se ha dicho que “… en esencia, la idea básica puede estar en la distinción entre una lesión directa y otra indirecta de los derechos fundamentales. En buena doctrina constitucional el criterio se basa en que cualquier infracción de legalidad, en cuestiones relacionadas con esos derechos, puede causar eventualmente lesión de aquellos derechos fundamentales, pero cuando se trate de una lesión simplemente indirecta, por existir dentro del aparato estatal, órganos que pueden y deben resguardar esos derechos y reparar su violación, les corresponde a ellos conocer y no a esta Sala ...” (Sentencia N° 1610-90 de las 15:03 horas del 9 de diciembre de 1990). Esto último pone de relieve el carácter eminentemente sumario —es decir, breve y sencillo— del proceso de amparo, cuya tramitación no se aviene bien con la práctica de diligencias probatorias lentas y complejas, o con la necesidad de entrar previamente a examinar —con carácter declarativo— si los derechos de rango infra constitucional que las partes citan como parte del elenco fáctico del recurso de amparo o del informe de ley, según sea el caso, existen en realidad. Por esta razón, es imposible valorar aquí aspectos técnicos o científicos, tal y como se postuló en la sentencia número 1611-98 de las 16:36 horas del 10 de marzo de 1998:

"...El dominio del amparo, está reservado al análisis de hechos y actos y a su comparación con el ordenamiento, para concluir en una posible ilegitimidad de lo impugnado, sin que sea posible incursionar en campos de la ciencia o de la técnica para ello. La disputa de criterios técnicos o científicos, pues, está reservado (sic) a otras sedes. Salvo, claro está y como lo indica la jurisprudencia mencionada, que la decisión se torne arbitraria por violación de principios superiores como los de igualdad, proporcionalidad y razonabilidad, entre otros, que determinarían tal ilegitimidad."

Y mucho menos criterios de oportunidad y conveniencia” (el subrayado no es del original).

Con fundamento en las consideraciones anteriores, la Procuraduría estima que para el correcto análisis de los motivos de inconstitucionalidad alegados por las accionantes, deben separarse aquellos cuya determinación sobre su procedencia no exigen del judicante un conocimiento experto en materias ajenas al Derecho, bastando la confrontación del precepto recurrido con el bloque de constitucionalidad al resultar patente su disconformidad, de esos motivos en que sí sería necesario acudir a criterios tecnológicos mediante el apoyo de la prueba pericial y que por lo mismo, deberían quedar reservados al conocimiento de la jurisdicción ordinaria, dadas las condiciones indicadas que le caracterizan en las que se favorece un amplio escrutinio por las partes durante su evacuación.

A partir de esa premisa, creemos haber identificado tres grupos diferentes en los que ubicar los reparos de las accionantes: uno primero que debe ser conocido y resuelto por la Jurisdicción Contenciosa Administrativa y Civil establecida en el artículo 49 de la Constitución Política en la demanda que sirve de juicio base; el segundo grupo de agravios correspondería, en realidad, a la instancias previstas en los mismos instrumentos internacionales en materia de comercio exterior invocados como parámetro de constitucionalidad para resolver las posibles disputas comerciales o incumplimientos denunciados de las obligaciones asumidas por Costa Rica en estos; y el tercer grupo, lo conformarían las tachas sobre las que sí resultaría procedente entrar al fondo de los argumentos formulados. 

Sin embargo, antes de proceder a explicar cada uno de ellos, es menester transcribir a continuación los preceptos impugnados, para una mayor claridad de cuanto se expone.

A.     Normas recurridas objeto de la acción:

“Artículo 6º- Adopción de estándares. Los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Decreto Ejecutivo, deberán adoptar, implementar, y mantener estándares y/o marcos de referencia sobre ciberseguridad, incluyendo los siguientes:

Número	Nombre
ISO/IEC 27001:2022	Seguridad de la Información, Ciberseguridad y Protección de la Privacidad - Sistemas de Gestión de la Seguridad de la Información -Requerimientos
ISO/IEC 27002:2022	Seguridad de la Información, Ciberseguridad y Protección de la Privacidad - Controles de seguridad de la información
ISO/IEC 27003:2017	Tecnologías de la información -Técnicas de seguridad - Sistemas de Gestión de la Seguridad de la Información -Guía
ISO/IEC 27011:2016	Tecnologías de la información -Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.
SCS 9001	Estándar de  Seguridad  de  la  Cadena  de Suministro y Ciberseguridad

” (el subrayado es añadido).

“Artículo 8º- Gestión del Riesgo de las Redes 5G y Superiores. Los sujetos comprendidos en el ámbito de aplicación definido en el artículo 2 de este Reglamento, deberán adoptar las medidas adecuadas para gestionar los riesgos identificados de conformidad con el artículo 7 de esta normativa.

Para estos efectos se deberán de incluir las siguientes medidas:

 

a) Adoptar medidas técnicas y operativas para garantizar la integridad física y lógica de las redes 5G o superiores, o cualesquiera de sus elementos, así como la continuidad en la prestación de servicios de telecomunicaciones móviles.

b) Adoptar planes y medidas de contingencia específicas para asegurar la continuidad de los servicios públicos esenciales.

c) Seleccionar e identificar a las personas que puedan acceder a los activos físicos y lógicos de la red, y realizar el mantenimiento adecuado de registros de acceso.

d) Mantener las credenciales de usuario para el acceso a la red en posesión de los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento.

e) Cumplir con la implementación de los estándares señalados en el artículo 6 del presente Reglamento.

f) Someterse, asumiendo su costo, a una auditoría de ciberseguridad realizada por una entidad pública o una entidad privada, acreditada según el estándar correspondiente del artículo 6 del presente reglamento, cuando sea requerido, así como, proveer la información necesaria para la elaboración de la citada auditoría. Una vez comunicados los resultados de esta auditoría deberán de informarse en el plazo de diez días hábiles a partir de su recibo a las autoridades sectoriales, para que cada una proceda con su análisis en el ámbito de sus competencias de conformidad con lo dispuesto en el artículo 42 de la Ley N°8642, Ley General de Telecomunicaciones.

g) Exigir a sus suministradores de hardware y software involucrados en las redes 5G y superiores el cumplimiento de estándares de ciberseguridad, desde el diseño de los productos y servicios hasta su puesta en funcionamiento.

h) Controlar su propia cadena de suministro para garantizar una operación y explotación segura de las redes de telecomunicaciones móviles y sus servicios.

i) Diseñar una estrategia de diversificación en la cadena de suministro de los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales en una red 5G o superior, de forma tal que dichos equipos, sistemas o recursos sean proporcionados, como mínimo, por dos suministradores de hardware y software diferentes” (el subrayado no es del original).

 

“Artículo 9º- Análisis y Gestión del Riesgo en la Cadena de Suministro. Los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento, deberán solicitar a sus suministradores de hardware y software, que intervienen en el funcionamiento y operación de las redes 5G y superiores y sus servicios, la definición de los requisitos, controles y mediciones del sistema de gestión de ciberseguridad de la cadena de suministro para el diseño, desarrollo, producción, entrega, instalación y mantenimiento de hardware, software y servicios de conformidad con el estándar SCS 9001 "Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad".

Dicha información deberá de ser presentada atendiendo a las particularidades de los procesos dispuestos por el Poder Ejecutivo y la Superintendencia de Telecomunicaciones (Sutel), cada una de acuerdo con su ámbito de competencia, sin detrimento del ejercicio de las potestades de control y fiscalización superior para verificar el cumplimiento de estas disposiciones.

En el caso de los procesos de contratación pública promovidos por entidades contratantes, que tengan por objetivo la operación de redes y servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) o superiores, incorporarán lo dispuesto en el presente artículo en las reglas de la contratación con el fin de garantizar el uso y la explotación segura de las redes y los servicios de telecomunicaciones y con resguardo de la intimidad y la privacidad de los usuarios finales” (el subrayado no es del original).

 

“Artículo 10º- Parámetros de riesgo alto. Los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento, deberán considerar los siguientes parámetros de riesgo alto para la operación de redes de telecomunicaciones 5G o superiores y la prestación de sus servicios:

a) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento cuenten con un único suministrador de hardware y software en su cadena de suministro, cuando este se encarga de configurar e integrar todos los equipos activos y software de la solución, o si la red está compuesta por equipos activos y software de un único fabricante.

b) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento o sus suministradores de hardware y software tengan algún informe de incidente publicado por el CSIRT-CR sobre brechas en la ciberseguridad de sus sistemas que no han sido atendidas y por ende implican un riesgo para la seguridad, disponibilidad, integridad o privacidad de la información de los usuarios finales.

c) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento o sus suministradores de hardware y software sean susceptibles de presión por parte de un gobierno extranjero por disposición normativa o política pública oficial de dicho gobierno extranjero, en relación con la ubicación o ejecución de sus operaciones.

d) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento o sus suministradores de hardware y software tienen su base en un país, o, de alguna manera, están sujetos a la dirección de un gobierno extranjero con leyes o prácticas establecidas que les puedan requerir que compartan la información de los usuarios finales de servicios de telecomunicaciones en ausencia de un proceso legal transparente que proteja adecuadamente sus derechos e intereses.

e) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento utilizan suministradores de hardware y software que tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio sobre Ciberdelincuencia (Convenio de Budapest).

 

f) Cuando los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este reglamento utilizan suministradores de hardware y software que no cumplen con los estándares de ciberseguridad dispuestos en el artículo 6 de este Reglamento” (el subrayado no es del original).

Importa señalar desde ahora que el Reglamento de ciberseguridad 5G, al que pertenecen las disposiciones recién transcritas, tiene por objeto, según lo indica su artículo 1, establecer “medidas de ciberseguridad para garantizar el uso y la explotación segura y con resguardo de la privacidad de las personas, de las redes y los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores” (la negrita es añadida); lo que de entrada pone de manifiesto el carácter eminentemente técnico de la norma reglamentaria –tal y como las mismas accionantes lo reconocen en la página 212 de su escrito –, en tanto referido a una especialidad de la informática enfocada en una tecnología de última generación (la tecnología 5G) para un sector a su vez bastante complejo como lo son las telecomunicaciones.

Tal circunstancia ameritaba, al menos, que los alegatos de las acción que cuestionan el fundamento técnico de las medidas de ciberseguridad establecidas en los artículos impugnados contaran con el debido respaldo probatorio, sobre todo cuando el argumento de la falta de fundamentación técnica y objetiva de dichas medidas constituye, en realidad, el eje conductor de toda la argumentación de las accionantes, en particular, al cuestionar la razonabilidad y proporcionalidad de los requisitos que contempla el Decreto n.°44196-MSP-MICITT.

No para convertir u “ordinariar” esta acción de inconstitucionalidad en un proceso de conocimiento, desvirtuando su naturaleza incidental –según se explicó líneas atrás –, pero sí al menos para determinar la razonabilidad y proporcionalidad de una disposición normativa cuando la desproporción que se alega no resulta evidente, pues de lo contrario, su validez constitucional se haría depender de un juicio de valor o del mero dicho del accionante. A este respecto, en el voto de esa Sala n.°1999-05236 de las 14:00 horas del 7 de julio de 1999 se dijo:

“VI.- (…) Sobre la prueba de "razonabilidad": Para emprender un examen de razonabilidad de una norma, el Tribunal Constitucional requiere que la parte aporte prueba o al menos elementos de juicio en los que sustente su argumentación e igual carga procesal le corresponde a quien rebata los argumentos de la acción y la falta en el cumplimiento de estos requisitos, hace inaceptables los alegatos de inconstitucionalidad. Lo anterior, debido a que no es posible hacer un análisis de "razonabilidad" sin la existencia de una línea argumentativa coherente que se encuentre probatoriamente respaldada. Ello desde luego, cuando no se trate de casos cuya "irrazonabilidad" sea evidente y manifiesta” (reiterado en el voto n.°2012-000129 de las 14:30 horas del 11 de enero del 2012).

Sucede, sin embargo, que en la presente acción no se aporta, ni se ofrece formalmente ningún elemento probatorio o de contraste que sirva para sustentar sus argumentos. De hecho, carece de un apartado de pruebas y tan solo hace referencia, como cita bibliográfica a pie de página, no como prueba, al documento elaborado por el Centro Internacional de Política Económica para el Desarrollo Sostenible (CINPE) de la Universidad Nacional (UNA), titulado Evaluación de impacto económico de la exclusión de proveedores en las inversiones de la red 5G en Costa Rica, que sí se aporta dentro del acervo de pruebas de la demanda del juicio base, confirmando de esa manera, en nuestro opinión, que su valoración debe someterse al contradictorio de la jurisdicción común. Siendo este, entonces, otro de los puntos a considerar al momento de determinar las tachas que deberían dejarse al conocimiento del Tribunal Contencioso Administrativo y Civil de Hacienda.

Por otro lado, en un dato adicional que conviene retener también en este momento, el artículo 2 del Reglamento de ciberseguridad 5G determina los destinatarios de sus efectos, con su aplicación a las personas físicas o jurídicas, públicas o privadas, nacionales o extranjeras, que operen redes o presten servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores que se originen, terminen o transiten por el territorio nacional, con excepción de las redes privadas de telecomunicaciones. Asimismo, el segundo párrafo del mismo precepto, extiende sus alcances a los procesos de compra pública que tengan por objeto la habilitación de redes y servicios de esa naturaleza, de equipamiento tecnológico activo necesario para su despliegue, así como para el uso y explotación del espectro radioeléctrico, con lo cual, la Administración o entidad contratante deberá adoptar los mecanismos idóneos para verificar que los potenciales oferentes han considerado todos los aspectos alusivos a la gestión y mitigación de riesgos contenidos en el reglamento impugnado, a la hora de planificar, diseñar e implementar su oferta técnica; y de resultar  adjudicatario, deberá acatar sus disposiciones durante la operación de las redes y prestación de los servicios basados en la tecnología 5G o superiores.

Tal es, por ende, el ámbito de aplicación al que hace alusión el primer párrafo de cada uno de los preceptos impugnados.

B.     Tachas a ser deferidas a la Jurisdicción Contencioso-Administrativa y Civil de Hacienda en el juicio base

  A este primer grupo deberían remitirse los agravios de los artículos 6 y 9, que atribuyen a la implementación de un aspecto tan técnico como la adopción de estándares de ciberseguridad y, particularmente, del Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad (SCS 9001) a los operadores y proveedores de servicios y equipos de telecomunicaciones, efectos monopolizadores y contrarios al interés público y a los derechos de los consumidores, por supuestamente favorecer la concentración del mercado, imponiendo barreras de entrada, y limitar la oferta de servicios.

De ahí que exceda también los alcances de la jurisdicción constitucional, el análisis de si el estándar SCS 9001 carece de una justificación objetiva, ajena a la calidad y seguridad de los equipos y servicios basados en la tecnología 5G, como único criterio para justificar que dicha medida es discriminatoria y conculca el principio de igualdad o bien, para tacharla de desproporcionada e irrazonable. Pues, son aspectos que necesariamente ameritan ser objeto de comprobación en el juicio correspondiente.

Tampoco es posible verificar del solo alegato de las partes accionantes, que el aludido estándar SCS 9001 es una carga regulatoria onerosa y excesiva para los proveedores de servicios de telecomunicaciones, ni que obstaculice el despliegue efectivo de las redes 5G o el acceso equitativo de la población a la telefonía móvil 5G, en detrimento del derecho de las personas al desarrollo sostenible y al progreso científico y tecnológico. 

Sencillamente, no hay forma posible de validar con objetividad –cuando ni tan siquiera se ofrece prueba técnica alguna– afirmaciones como esta del escrito de interposición: “estas disposiciones vulneran el artículo 50 de la Constitución Política de Costa Rica, que consagra el principio de desarrollo sostenible. Este principio, como ha señalado la jurisprudencia constitucional, no se limita a la protección del medio ambiente, sino que abarca aspectos sociales y económicos, incluyendo la lucha contra la pobreza y la promoción de la equidad. La imposición del estándar SCS 9001 amenaza con socavar estos objetivos al introducir distorsiones en el mercado de las telecomunicaciones que podrían resultar en un encarecimiento de los servicios y una limitación en el acceso a tecnologías avanzadas” (página 229, la negrita es añadida). 

O bien, esta otra, al referirse al motivo relacionado con el principio de intervención mínima del Estado y protección del interés público, imposible de tenerlo por conculcado con solo indicar: “La adopción forzosa del estándar SCS 9001, desarrollado por una entidad privada estadounidense, representa una intromisión estatal que va más allá de lo estrictamente necesario para garantizar la seguridad y eficiencia de las redes 5G. Esta disposición no solo duplica en gran medida el contenido de estándares ya establecidos y reconocidos en la industria, sino que además incorpora criterios de evaluación geopolítica que no guardan una relación directa con la calidad técnica o la seguridad de los equipos de telecomunicaciones” (página 231, el subrayado no es del original).

El párrafo anterior, especialmente las frases subrayadas, da por sentado que toda persona –incluido ese alto Tribunal– está familiarizada con la materia de ciberseguridad, con la tecnología 5G y con los estándares técnicos que rigen a la industria, lo cual es a todas luces incorrecto. Siendo esa la tónica del extensísimo escrito de interposición de la acción, en que la mayor parte se basa en afirmaciones que ineludiblemente deben pasar por el tamiz probatorio para tenerlas por ciertas y que, en nuestra opinión, obedece a que dicho memorial reproduce en su gran mayoría los alegatos del escrito de demanda del asunto base.

La misma situación se presenta con las tachas atribuidas al inciso i) del artículo 8 del Reglamento de ciberseguridad 5G, por las que se denuncia la violación a los principios de razonabilidad y proporcionalidad y su incompatibilidad con los artículos 2.1 y 15.1.b del Pacto Internacional de Derechos Económicos, Sociales y Culturales (Ley n.°4229 del 11 de diciembre de 1968) y 26 de la Convención Americana sobre Derechos Humanos (aprobada Ley n.°4534 de 23 de febrero de 1970), con ocasión del requisito para los operadores (púbicos o privados) de redes y servicios de telefonía celular 5G, de contar con una estrategia de diversificación en la cadena de suministro de los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales en una red 5G o superior, de forma que sean proporcionados por al menos dos suministradores de hardware y software diferentes.

Más allá de que la idea de apostar por una diversificación en la cadena de suministro de los equipos y sistemas requeridos por los operadores para poder prestar los servicios de telefonía móvil 5G parece razonable, cuando menos, nada descabellada, de forma que no tengan que depender de un único proveedor, al tiempo que propicia una mayor interoperabilidad de equipos y programas ligados a la gestión de redes y servicios 5G; lo cierto es que, todo lo relativo a verificar la justificación técnica y económica de esa medida en aras de determinar su razonabilidad, en particular su idoneidad y necesidad para alcanzar el fin de ciberseguridad perseguido, entra de nuevo en el campo de la prueba, específicamente, de la prueba técnica o pericial.

Ante la ausencia total de elementos probatorios, el test de proporcionalidad que se realiza en la página 238 del escrito de interposición cae en el terreno de la especulación o la presunción, por cuanto no hay forma de comprobar objetivamente las afirmaciones que hace, a saber: “que la seguridad de las redes depende más de la implementación de protocolos y prácticas de ciberseguridad robustas que de la mera diversidad de proveedores”; “existen medidas menos gravosas para alcanzar el objetivo de seguridad en las redes 5G, como la implementación de estándares de seguridad rigurosos y auditorías independientes”; o bien, “el sacrificio impuesto en términos de costos económicos y complejidad técnica supera con creces los beneficios hipotéticos en materia de seguridad”.

En definitiva, ninguna las frases anteriores denotan una infracción palmaria al principio de proporcionalidad, susceptible de ser analizado por esa Sala Constitucional; debiendo relegarse su estudio a la jurisdicción ordinaria, al contar con todo el acervo probatorio ofrecido por las partes para poder llegar a una conclusión de esa índole o descartar el agravio por improcedente.

Máxime, si se toma en cuenta que el precepto impugnado tiene su fundamento en el Derecho comparado, concretamente, en el Derecho español, con la letra a), apartado 3ero., del artículo 12 del Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, que en lo que interesa dispone:

“Artículo 12. Gestión de seguridad por los operadores 5G.

(…)

 3. En particular, los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G tienen adicionalmente las siguientes obligaciones:

a) Deberán diseñar una estrategia de diversificación en la cadena de suministro de los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales en una red pública 5G, de forma que dichos equipos, sistemas o recursos sean proporcionados, como mínimo, por dos suministradores diferentes.

A estos efectos, se considera que los suministradores no son diferentes si todos ellos pertenecen al mismo grupo de empresas, conforme a los criterios establecidos en el artículo 42 del Código de Comercio” (el subrayado no es del original).

Con todo, importa insistir en el carácter eminentemente técnico del requisito de ciberseguridad cuestionado de contar con una estrategia de diversificación en la cadena de suministro de al menos dos proveedores (no muchos o múltiples, como se afirma en la acción) para la tecnología de red 5G, precisado de un conocimiento especializado en la materia para poder valorar su razonabilidad, sin que baste el dicho de los accionantes para determinar su compatibilidad con la Constitución Política.  

Por añadidura, tampoco se está en la posición –por esa falta de pruebas idóneas y el filtro del contradictorio– para emitir un pronunciamiento respecto a las tachas relacionadas con los instrumentos de Derechos Humanos mencionados antes, al carecer de elementos de juicio y probatorios para aseverar que un mínimo de dos proveedores conculca el derecho de la población costarricense a gozar de los beneficios del progreso científico y su acceso equitativo a los avances tecnológicos asociados con la telefonía celular 5G. Otra vez, no es suficiente el mero dicho de las accionantes para considerarlo un requerimiento regulatorio arbitrario o irracional o que violente el principio de progresividad en la realización de los derechos económicos, sociales y culturales.

Con lo cual, afirmaciones como las siguientes con las que se trata de ejemplificar la contraposición con los principios invocados de “realización progresiva” o “no regresividad” , constituyen muestras adicionales de la falta de sustento probatorio y de su carácter especulativo: “Esta medida podría resultar en la exclusión de tecnologías potencialmente más avanzadas o asequibles, simplemente porque no se ajustan al modelo de diversificación impuesto” (página 240, énfasis añadido); “La diversificación forzada, al potencialmente encarecer y complejizar el despliegue de las redes 5G, podría resultar en una discriminación de facto, donde solo ciertos sectores de la población tendrían acceso efectivo a esta tecnología crítica” (página 241, énfasis añadido); “La diversificación forzada, lejos de optimizar la inversión en infraestructura de telecomunicaciones, impone costos adicionales y complejidades técnicas que no se justifican desde una perspectiva de eficiencia o seguridad. Estos sobrecostos, inevitablemente, se traducirán en un uso subóptimo de los recursos nacionales, desviando fondos que podrían destinarse a una expansión más rápida y equitativa de la cobertura 5G o a otros programas sociales críticos” (página 241, el subrayado es añadido); “La imposición de una diversificación forzada en la cadena de suministro de las redes 5G, al potencialmente encarecer y retrasar el despliegue de esta tecnología, es una medida regresiva en términos del acceso de la población a los beneficios del progreso científico en el campo de las telecomunicaciones” (página 241, énfasis añadido); y finalmente, para no incurrir en una repetición ociosa: “Los sobrecostos y las complejidades técnicas adicionales que esta medida impone no solo retrasarían la expansión de la cobertura 5G, sino que también podrían resultar en servicios más caros y menos accesibles para amplios sectores de la población, contraviniendo así el principio de no discriminación que subyace a todos los derechos humanos” (página 243, ni el subrayado, ni la negrita son del original).

Ninguna de las frases anteriores –y dentro de estas, las partes subrayadas– puede ser verificada del escrito de interposición de la acción y de los documentos aportados por las accionantes con dicho memorial, por lo que únicamente pueden tenerse como meras especulaciones o presunciones de su parte, como se denota de las formas verbales empleadas que destacamos en negrita.

Finalmente, por repetirse la circunstancia de que no nos hallamos ante lesiones evidentes o palmarias de normas o principios constitucionales y sí frente a cuestionamientos con un fuerte sustrato tecnológico o económico, a ser verificados en el juicio que sirve de asunto base, las siguientes tachas alrededor del artículo 10 del Decreto n.°44196-MSP-MICITT deberían deferirse a la jurisdicción ordinaria:

Primeramente, los reparos respecto a que los parámetros de riesgo alto de los incisos c), d), e) y f), relacionadas con el país de origen del suministrador, su sujeción potencial a presiones de gobiernos foráneos, así como la adhesión al Convenio de Budapest, son contrarios al derecho fundamental al Desarrollo Sostenible, por su impacto económico, al alegar que implicaría una reducción drástica del aporte potencial de las inversiones en infraestructura 5G al Producto Interno Bruto (PIB), de un proyectado 1,3% a apenas un 0,1%; una afectación negativa a sectores clave de la economía, como el manufacturero, servicios de información y comunicación, y comercio, así como un desincentivo de la inversión extranjera en el sector de telecomunicaciones; por su impacto social, con su proyección de que los precios de los servicios 5G aumentarían hasta un 40%, excluyendo potencialmente a 3,5 millones de suscriptores y se incrementarían las desigualdades existentes en el acceso a tecnologías avanzadas de comunicación; por su impacto en el desarrollo sostenible, al retrasar hasta 4 años la plena operacionalización de las redes 5G a escala nacional, privar al país de tecnologías de punta necesarias para impulsar sectores estratégicos como la telemedicina, las ciudades inteligentes o la industria 4.0; y limitar el potencial de la tecnología 5G para abordar desafíos de desarrollo sostenible, como la gestión eficiente de recursos y la reducción de la huella de carbono consumidor; lo que repercutiría en los instrumentos de Derechos Humanos (incluido el Pacto de San Salvador y la Carta de la OEA).

En segundo lugar, lo relativo a los derechos de los consumidores y usuarios de los servicios de telecomunicaciones, al igual que la protección de sus intereses, ante la imposibilidad de verificar objetivamente que los criterios indicados entorpecen la libertad de elección y acceso a la tecnología (derecho de información), al limitar artificialmente la competencia y la diversidad de proveedores en el mercado de infraestructura 5G, y por supuestamente encarecer los servicios de telefonía basados en dicha tecnología.

En tercer lugar, por su conexión con la determinación de la proporcionalidad y razonabilidad de los incisos impugnados con el objetivo de garantizar la ciberseguridad de las redes 5G, las tachas relacionadas con el principio de intervención mínima del Estado, pues, de nuevo, no es posible deducir de la sola argumentación de las accionantes lo que estiman una injerencia excesiva, que va más allá de lo necesario para garantizar la seguridad de las redes,  expresado en distorsiones en el mercado de telecomunicaciones, cargas regulatorias que “pueden” –ni ellas tienen certeza al respecto– obstaculizar la innovación y el desarrollo eficiente del sector. Tampoco resulta palmaria la falta de idoneidad alegada para alcanzar el fin propuesto de gestión de riesgos en las redes 5G, ni que sean más gravosas para alcanzar el objetivo de seguridad o desproporcionadas por los costos económicos y técnicos que a su entender supondrían, reiterando que encarecerían significativamente el despliegue de infraestructura 5G. Todos los alegatos anteriores precisan de prueba y de las garantías del contradictorio para tenerlos por ciertos.

 En cuarto lugar, y en la misma línea que el reproche anterior, los alegatos relativos a los principios de protección del interés público  y eficiencia administrativa no son constatables por sí solos, aún menos para determinar, en el caso del primero, que se está priorizando o anteponiendo consideraciones geopolíticas sobre el interés público de contar con servicios de telecomunicaciones avanzados y asequibles, bajo el alegato de que no se llevó a cabo una evaluación objetiva de los riesgos reales para la seguridad de las redes con la promulgación del Decreto n.°44196-MSP-MICITT. Menos ostensibles resultan aún, los cuestionamientos asociados al segundo principio dicho de eficiencia administrativa, al estimar que el aludido artículo 10 no contribuye al máximo aprovechamiento de los recursos disponibles en aras del bienestar general, que introduce criterios de evaluación de los riesgos ambiguos, complejos y que no guardan relación directa con la eficiencia o seguridad de las redes 5G, ni mejoras tangibles en ese campo o que introduce cargas administrativas innecesarias al requerir la evaluación de factores geopolíticos complejos y que supondrá un aumento en los costos administrativos asociados a la evaluación y monitoreo de los criterios establecidos en el referido numeral y “posibles” retrasos en la implementación de mejoras tecnológicas en el sector público. Cae asimismo en la especulación, cuando se habla de que “potencialmente” ralentiza los procesos de adquisición y despliegue de infraestructura 5G o “podrían” resultar en la selección de soluciones subóptimas desde el punto de vista técnico y económico, y que se complicarían innecesariamente los procesos de toma de decisiones en la administración pública, entre otras aseveraciones relacionadas con este agravio.

En quinto lugar, la tacha alusiva al principio de interdicción de la arbitrariedad obliga a remitir igualmente su conocimiento al juicio principal, al basarse también en la fundamentación técnica del Reglamento de ciberseguridad 5G, y porque pide una ponderación del factor geopolítico respecto a otros criterios que considera más relevantes en materia de ciberseguridad, lo que en la opinión de las accionantes podría dar lugar a interpretaciones arbitrarias y “potencialmente” discriminatorias, reiterando que ello provocaría una exclusión injustificada de proveedores competentes, distorsiones del mercado y una “potencial” privación al país de soluciones tecnológicas avanzadas.

En sexto lugar, y estrechamente ligado al punto anterior, el alegato que busca que esa Sala Constitucional determine una desviación de Poder excede igualmente los contornos de esta jurisdicción, al considerar que los requisitos del artículo 10 en cuestión no se sustentan en aspectos técnicos de ciberseguridad y persiguen fines encubiertos o distintos a garantizar la integridad de las redes 5G, como alcanzar objetivos de política exterior, para lo que menciona en el escrito de interposición declaraciones de altas autoridades de Gobierno (el Presidente de la República), pero sin ni siquiera ofrecerlas como prueba. De hecho, la insuficiencia de este agravio se hace más palpable cuando pide considerar que el Decreto n.°44196-MSP-MICITT ignora o minimiza criterios técnicos objetivos bastante reconocidos en la industria para evaluar la seguridad de las redes de telecomunicaciones, pero que no sustenta con prueba.

En sétimo lugar, el planteamiento del agravio relacionado con el principio de proporcionalidad y razonabilidad, siguiendo la tónica de los motivos anteriores, exige contar con un conocimiento especializado en temas de ciberseguridad aplicada a la telefonía móvil 5G – por citar un ejemplo, cuando alude al “nexo causal demostrable con la robustez cibernética de los sistemas 5G”– y que se pondere por la Administración de Justicia, los ejemplos que plantea de medidas alternativas más idóneas o menos gravosas para salvaguardar la integridad de las redes, como certificaciones técnicas estandarizadas y auditorías independientes, entre otras; en una muestra adicional, que la discusión de estos temas debe residenciarse en la jurisdicción común al no saltar a la vista la inconstitucionalidad denunciada.

En octavo lugar, el reproche en contra del artículo 10 atinente al principio de neutralidad tecnológica. Dicho enunciado se recoge en la letra h) del artículo 3 de la Ley General de Telecomunicaciones (n.°8642, del 4 de junio de 2008) –en lo sucesivo LGT– como uno de los principios rectores del sector de las telecomunicaciones, que lo define de forma expresa en los siguientes términos: “posibilidad que tienen los operadores de redes y proveedores de servicios de telecomunicaciones para escoger las tecnologías por utilizar, siempre que estas dispongan de estándares comunes y garantizados, cumplan los requerimientos necesarios para satisfacer las metas y los objetivos de política sectorial y se garanticen, en forma adecuada, las condiciones de calidad y precio a que se refiere esta Ley” (el destacado no es del original).

Tal y como se desprende de la definición legal anterior, la neutralidad tecnológica no resulta incompatible con la adopción de ciertos estándares –a propósito de la cuestionada norma técnica SCS 9001 de los artículos 6 y 9 recurridos–, pues según lo indica la literatura especializada: “la propia naturaleza de la tecnología y esa tendencia hacia la universalidad, conlleva necesariamente un proceso de cierta estandarización que en muchos casos puede resultar claramente beneficioso”[1] (el subrayado no es del original).  

 Con todo, no se aprecia del contenido del artículo 10 impugnado, ni de las demás normas del Reglamento de ciberseguridad 5G, que estén vinculadas al uso de una concreta tecnología, o que requieran o asuman una tecnología en particular, donde más bien se apuesta por la diversificación, según se comentó antes, para no depender de un único proveedor tecnológico en la cadena de suministro de los operadores de telefonía móvil 5G.

En cualquier caso, dado que lo que se pide en la acción es la confrontación del Decreto n.°44196-MSP-MICITT frente al principio de neutralidad tecnológica dentro del ámbito de las telecomunicaciones, el cual, según se acaba de ver, se encuentra positivizado para dicho sector en una norma de rango legal –a saber, la LGT–, conlleva a que el agravio reconduzca nuevamente a una cuestión de legalidad; lo que es aún más evidente si se busca demostrar que el artículo 10 impugnado o el resto del articulado del aludido reglamento, no es tecnológicamente neutro y carece de una justificación debida, al precisar de un criterio experto sustentado en prueba que así lo acredite, propio del proceso común.

En noveno y último lugar, el agravio que ve en los incisos c), d), e) y f) del numeral de comentario un obstáculo o barrera regulatoria al acceso universal a las telecomunicaciones y, en específico, a la telefonía 5G, precisa en el mismo sentido que las ocho tachas anteriores, de elementos de prueba y de la oportunidad para las partes de contrastarlos, con los cuales demostrar las aseveraciones que se hacen y que en modo alguno resultan evidentes, a saber: compromete la universalización de los servicios 5G, encarecimiento tarifario de hasta un 40% que compromete la asequibilidad a esos servicios, demora de hasta cuatro años en el despliegue de la red 5G, aumento de la brecha digital y exclusión de capas vulnerables de la población, así como obstaculización de la innovación y la competitividad en el país, entre otros efectos atribuidos a la normativa cuestionada. Conviene reiterar que los accionantes usan como único apoyo de las afirmaciones anteriores el documento citado del CINPE, que no ofrecen como prueba, sino que lo reducen a una fuente bibliográfica. Y aun cuando se le conceda un carácter de elemento probatorio, las garantías constitucionales del debido proceso obligan a su evacuación y contraste en un proceso plenario, sobre todo si concierne a una materia científico-técnica ajena al Derecho.   

En definitiva, para la Procuraduría, los nueve motivos anteriores tienen en común que ninguno presenta una vulneración trascendente al orden constitucional o violación directa y palpable a un derecho fundamental, que le permita a ese alto Tribunal entrar a conocer por el fondo si son procedentes o no, por más que se invoque la vulneración a varios instrumentos del Sistema Interamericano de Derechos Humanos, en el tanto cada uno plantea cuestiones sumamente complejas, de índole técnico o científico, que exigen de mayores posibilidades de prueba y de debate por las partes concernidas y que solo un proceso de conocimiento, como el que se tramita en la Jurisdicción Contencioso-Administrativa y Civil de Hacienda y sirve de asunto base a la presente acción, es capaz de ofrecer.

De tal suerte que, dicha postura guarda consonancia con el criterio externado por esa Sala Constitucional en la resolución n.°2024-002222 de las 14 horas del 26 de enero del año pasado, cuando por la vía de amparo se le plantearon cuestionamientos de la misma naturaleza en contra del Decreto n.°44196-MSP-MICITT, lo que la llevó a rechazar por mayoría el recurso, al considerar:

 “V. Sobre el caso concreto: En el sub lite, la parte accionante indica que [Nombre 002]. está preparada para participar en la licitación pública que abrirá el ICE para implementar y operar la tecnología 5G IMT en sus redes, dado que es uno de los principales proveedores de esa tecnología en este país. Señala que, el 31 de agosto de 2023, el Poder Ejecutivo promulgó y publicó en La Gaceta el “Reglamento sobre medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores”, el cual contiene disposiciones que expresamente impiden la participación de su representada en ese concurso público…

Ahora, no corresponde a esta jurisdicción constitucional analizar si el ICE contempló o no la totalidad de las disposiciones contenidas en el reglamento, ni tampoco si indirectamente limitó la participación de empresas con requisitos injustificados desde el punto de vista técnico. Ergo, si existiese alguna inconformidad con las condiciones y demás especificaciones técnicas, esta deberá ser ventilada en las vías comunes. Asimismo, las medidas técnicas y administrativas idóneas para garantizar la seguridad de redes y servicios en empresas con parámetros de riesgo altos, son propias de ser ventiladas en las vías comunes.

En relación con lo anterior, es importante mencionar que lo relativo a la tecnología para la red de telecomunicaciones, así como los requisitos y estándares de ciberseguridad en Costa Rica (verbigracia, las normas ISO/IEC, SCS, entre otras), son aspectos técnicos, en principio, propios de políticas públicas de Estado que, salvo que entrañen alguna afectación al núcleo esencial de derechos fundamentales o transgredan manifiestamente el bloque de constitucionalidad, constituyen materia de gobierno. De ahí que prima facie su procedencia, conveniencia u oportunidad no es propia de ser valorada por este Tribunal, en virtud del principio de autocontención del juez constitucional. En ese sentido, los argumentos de la parte accionante no evidencian alguna arbitrariedad contraria al Derecho de la Constitución, por lo que, en este momento, no corresponde a la Sala analizar el contenido técnico general de tales estándares, ni tampoco valorar si el Convenio de Europa sobre Ciberdelincuencia (instrumento ratificado en nuestro país a través de la ley nro. 9452) resulta imprescindible para la implementación de la tecnología de quinta generación móvil. Ergo, si [Nombre 002]. desea cuestionar los requisitos técnicos establecidos por el ICE el apartado 3 “CiberSeguridad RAN-CORE Móvil 5G” del “PLIEGO DE CONDICIONES PARA LA  ADQUISICIÓN DE: GT- ADQUISICIÓN DE BIENES Y SERVICIOS PARA LA IMPLEMENTACIÓN DE LA RED 5G ENTREGA SEGÚN DEMANDA”, o bien, si considera que satisface o excede los parámetros sacados a concurso sin exponer al país a riesgos en materia de ciberseguridad, podrá plantear sus alegatos en sede administrativa, o bien, en la vía jurisdiccional ordinaria, a los efectos de que someta a contradictorio su posición y evacúe de forma amplia la prueba que estime pertinente.

De igual forma, aun cuando se acusa discriminación, tal y como se indicó ut supra, no se verifica alguna situación manifiesta en ese sentido y, además, no se aportan elementos comparativos equiparables que permitan, en este momento y a través de este recurso de amparo, analizar alguna transgresión al principio de igualdad con respecto a otras personas físicas o jurídicas” (el énfasis en la negrita y el subrayado son propios).

C.     Tachas que son ajenas a la competencia de la Jurisdicción Constitucional al versar sobre discrepancias en materia de comercio exterior e inversión extranjera 

A este segundo grupo deben reconducirse todos aquellos agravios en contra de los artículos 6, 9 y 10 del Reglamento de ciberseguridad 5G, en los que se aduce que con esas normas el Estado costarricense incumple las obligaciones internacionales asumidas en tratados comerciales y de inversión, tales como las relacionadas con la protección y la promoción de las inversiones, el trato no menos favorable que al inversor nacional, la no adopción de medidas expropiatorias o el principio de necesidad en la adopción de reglamentos técnicos, entre otras que menciona; al incumbir, en realidad, a temas del comercio exterior y no a la materia constitucional.

En ese sentido, los diversos instrumentos comerciales que las accionantes emplean como parámetros de constitucionalidad, contemplan sus propios mecanismos de solución de diferendos en la aplicación de sus disposiciones, precisamente para los supuestos que se denuncian por ellas, esto es, cuando se considera que algún Estado parte tomó o está tomando alguna medida –en la especie, el Decreto n.°44196-MSP-MICITT– contraria a las estipulaciones del respectivo convenio o tratado en contra de alguna empresa o inversionista del otro Estado parte.

Vemos así, que el Acuerdo sobre Obstáculos Técnicos al Comercio de la OMC (aprobado por la Ley n.°7475 del 20 de diciembre de 1994), regula en su artículo 14 lo concerniente a las consultas y la solución de diferencias con respecto “a cualquier cuestión relativa al funcionamiento” de dicho acuerdo; de modo que “[t]odo Miembro podrá invocar las disposiciones de solución de diferencias previstas en los párrafos anteriores cuando considere insatisfactorios los resultados obtenidos por otro Miembro en aplicación de las disposiciones de los artículo 3, 4, 7, 8 y 9 y que sus intereses comerciales se ven significativamente afectados” (artículo 14.4).

Asimismo, las discrepancias que surjan de la observancia del Acuerdo General sobre el Comercio de Servicios (aprobado también por la Ley n.°7475), quedan abarcadas por el Entendimiento relativo a las Normas y Procedimientos por los que se rige la Solución de Diferencias (artículo 1 y apéndice 1) de la OMC, a cuyo efectos se establece el Órgano de Solución de Diferencias (artículo 2); instrumento que destaca que “[e]l sistema de solución de diferencias de la OMC es un elemento esencial para aportar seguridad y previsibilidad al sistema multilateral de comercio. Los Miembros reconocen que ese sistema sirve para preservar los derechos y obligaciones de los Miembros en el marco de los acuerdos abarcados y para aclarar las disposiciones vigentes de dichos acuerdos de conformidad con las normas usuales de interpretación del derecho internacional público” (artículo 3.2, ni la negrita, ni el subrayado son del original).

En lo referente al Tratado de Libre Comercio entre República Dominicana, Centroamérica y Estados Unidos (aprobado por Ley n.°8622 del 21 de noviembre de 2007, junto con las enmiendas por Ley n.°8664 del 3 de setiembre de 2008) –CAFTA-RD por sus siglas en inglés–, los cuestionamientos que ven en el estándar SCS 9001 una medida que limita el número de proveedores de servicios o restringe los tipos de personas jurídicas para suministrar un servicio, encuentran en el capítulo 20 del mismo tratado la vía para canalizarlos a través de las reglas que desarrolla para la solución de las controversias que surjan respecto a su interpretación y aplicación. De hecho, si revisamos el artículo 20.2 del CAFTA-RD, que define el ámbito de aplicación de las disposiciones para la solución de controversias instauradas por dicho instrumento, observaremos que abarcan los aspectos objeto de la acción sobre los que se pide que esa Sala Constitucional se pronuncie, a saber: (a) la prevención o la solución de todas las controversias entre las Partes relativas a la aplicación o a la interpretación de este Tratado; “(b) cuando una Parte considere que una medida vigente o en proyecto de otra Parte, es o podría ser incompatible con las obligaciones de este Tratado, o que otra Parte ha  incumplido de alguna manera con las obligaciones de este Tratado” (el subrayado es añadido) ; y “(c) cuando una Parte considere que una medida vigente o en proyecto de otra Parte cause o pudiera causar anulación o menoscabo, en el sentido del Anexo 20.2”[2]. Obsérvese, además, que el artículo 20.3.1 del CAFTA-RD, faculta para que cualquier controversia que surja en relación con ese Tratado u otro tratado de libre comercio del que las Partes contendientes sean parte e incluso, “en relación al Acuerdo sobre la OMC”, pueda ser resuelta en el foro arbitral que escoja el Estado Parte reclamante.

Por lo que se refiere al Tratado de Libre Comercio entre la República de Costa Rica y la República Popular China (aprobado por la Ley n.°8953 del 2 de junio de 2011), este instrumento también contiene un capítulo (el catorce) para dirimir los alegatos de las accionantes que ven en los preceptos impugnados un incumplimiento a los compromisos asumidos por nuestro país en dicho convenio, tomando en consideración que a tenor de su artículo 141: “las disposiciones sobre solución de controversias de este Capítulo se aplicarán a la prevención o solución de todas las controversias entre las Partes relativas a la interpretación o aplicación de este Tratado y cuando una Parte considere que una medida de la otra Parte es inconsistente con las obligaciones de este Tratado o que la otra Parte, de otra manera, ha incumplido con sus obligaciones bajo este Tratado” (ni la negrita, ni el subrayado son del original).

Finalmente, el Acuerdo entre el Gobierno de la República de Costa Rica y el Gobierno de la República Popular de China para la Promoción y Protección de Inversiones (aprobado por la Ley n.°9352 del 4 de abril de 2016), regula de un lado, en su artículo 8, las posibles diferencias que surjan entre ambos Estados contratantes “concerniente a la interpretación o aplicación” de dicho acuerdo, con la conformación, en última instancia de un tribunal de arbitraje ad-hoc; de otro, en su artículo 9, las disputas legales en torno al mismo instrumento entre un inversionista de una de las partes contratantes y el otro Estado parte en relación con una inversión llevada a cabo en su territorio, de forma que, si la diferencia no puede resolverse amigablemente por medio de negociaciones entre ambos, el inversionista podrá elegir entre someter el diferendo al tribunal competente de la parte contratante en conflicto o bien al Centro Internacional de Arreglo de Diferencias Relativas a Inversiones (CIADI).

De lo expuesto se desprende que no le compete a ese alto Tribunal conocer de las desavenencias, de índole estrictamente comercial, que se plantean en el escrito de interposición, lo que queda en evidencia de la argumentación de las actoras centrada en la posible afectación a los intereses de empresas e inversores extranjeros en el país, particularmente de origen chino, fruto de la implementación de los artículos 6, 9 y 10 del Decreto n.°44196-MSP-MICITT, que consideran barreras de acceso al mercado costarricense y “potencialmente” discriminatorias al comercio bilateral, y con la referencia en apoyo de sus alegatos a la jurisprudencia de tribunales arbitrales o de la OMC sobre diferendos en materia de inversión extranjera y aplicación del Derecho Internacional (por ejemplo, los casos Tecmed, Saluk, Metalclad o Argentina-Medidas, Japón-Manzanas, Estados Unidos-Camarones, entre otros mencionados), no del Derecho Constitucional y mucho menos, de Derechos Humanos.

Con lo cual, resulta evidente que las recurrentes malentienden lo dispuesto por los artículos 1 y 2, letra b), de la Ley de la Jurisdicción Constitucional, en cuanto establecen que el objeto de esta jurisdicción “es garantizar la supremacía de las normas y principios constitucionales y del Derecho Internacional o Comunitario vigente en la República, su uniforme interpretación y aplicación” (el subrayado no es del original), y que a esa Sala le corresponde ejercer el control de la conformidad del ordenamiento interno con el Derecho Internacional o Comunitario, mediante la acción de inconstitucionalidad, respectivamente. Pues, según lo indicó ese alto Tribunal desde la resolución n.°2006-013924 de las 14:42 horas del 20 de septiembre de 2006: “resulta importante aclarar que es en atención al control de la actuación pública que ha sido delegada a este Tribunal Constitucional por mandato constitucional –artículos 10 y 48– y legal –artículos 1 y 2 de la Ley de la Jurisdicción Constitucional–, referido a la defensa de la supremacía constitucional y de los derechos fundamentales consagrados tanto en la Carta Fundamental del Estado como en los tratados internacionales de derechos humanos, que no resulta legítimo estimar que toda infracción a normas o convenios internacionales se traduzca en una lesión al Derecho de la Constitucional, porque ello excede –se repite– la competencia que la propia Constitución Política le asignó a este Tribunal. Con lo cual, debe de entenderse que cuando se faculta la impugnación de disposiciones generales por infracción de las normas y convenios internacionales, lo son en tanto los mismos están referidos a la tutela de derechos fundamentales o del Derecho Comunitario”  (solo el subrayado no es del original).

En la especie, es aún más evidente que las tachas alegadas por las accionantes desbordan los límites de la jurisdicción constitucional, al pretender que esa Sala se adentre en el análisis de aspectos técnicos, sujetos a prueba, que requieren en muchos casos, conformar grupos de expertos que presten asesoramiento especializado en esas cuestiones, según se prevé en algunos de los instrumentos mencionados. Además, exige un ejercicio exegético, ajeno al Derecho Constitucional y a los Derechos Humanos, que va más allá de la mera confrontación del decreto con los tratados y acuerdos en materia de comercio exterior invocados como parámetro de constitucionalidad; sobre todo, al tratarse de normas complejas que han sido objeto de interpretación por organismos multilaterales (a saber, la OMC) y paneles de árbitros para casos específicos, y que pueden prestarse para una aplicación distinta en el asunto bajo estudio.

A modo de ejemplo, pueden verse los siguientes argumentos extraídos de los apartados del escrito de interposición relacionados con los distintos tratados y acuerdos comerciales invocados como parámetro de constitucionalidad:

“La irracionabilidad de la medida se torna aún más evidente si se considera que existen estándares internacionales específicamente diseñados para evaluar la seguridad de equipos y sistemas de telecomunicaciones, como las normas ISO/IEC 27001 o las recomendaciones del 3GPP (3rd Generation Partnership Project) para la seguridad en redes 5G… Estos estándares, a diferencia de la mera adhesión a un convenio internacional, sí proporcionan criterios técnicos objetivos y verificables para evaluar la robustez y confiabilidad de los sistemas de telecomunicaciones” (página 193, el subrayado no es del original).

“Ciertamente, luce manifiesta la falta de un nexo causal objetivo, directo y proporcionado entre la circunstancia enteramente accidental y accesoria de la membresía del Estado sede de un proveedor al citado Convenio de cooperación penal, y los factores verdaderamente decisivos para determinar la fiabilidad material de los equipos y sistemas por éste suministrados de cara a un uso seguro y confiable en redes 5G. Factores que, como bien acredita la literatura especializada, se constriñen fundamentalmente a la robustez intrínseca de los protocolos criptográficos, el cifrado de las comunicaciones extremo a extremo, las salvaguardas contra vulnerabilidades conocidas, la protección física y perimetral de infraestructuras, la trazabilidad centralizada de incidentes, y un largo etcétera de especificaciones eminentemente técnicas” (página 201, el subrayado no es del original).

“los parámetros del artículo enjuiciado no revelan una ponderación racional de medios a fines, ni una relación objetivamente demostrada entre el origen geográfico de los proveedores y el grado de inexpugnabilidad técnica de sus soluciones. Lejos de circunscribirse a lo estrictamente necesario para garantizar la ciber resiliencia de las redes nacionales de quinta generación, la disposición impugnada instaura un régimen discriminatorio que torna trivial la importancia de factores verdaderamente decisivos como el cifrado de extremo a extremo, la gestión centralizada de accesos, la trazabilidad granular de incidentes o la priorización de comunicaciones de emergencia, entre muchos otros” (página 207, el subrayado no es del original).

“Prima facie, es menester señalar que no existe en la actualidad un corpus normativo internacional comprehensivo y universalmente aceptado que discipline específicamente los aspectos de ciberseguridad en redes 5G. Esta ausencia de un estándar global unificado y concluyente en la materia constituye el primer escollo para una adecuada implementación del deber de armonización consagrado en el artículo 2.4 del Acuerdo OTC” (página 208, el subrayado no es del original).

“El análisis precedente demuestra de manera inequívoca que el artículo 10 del Reglamento sobre medidas de ciberseguridad para servicios de telecomunicaciones 5G vulnera el párrafo 2.8 del Acuerdo OTC. Al definir parámetros de riesgo basados en características descriptivas y no en propiedades de uso y empleo, el Reglamento contraviene sus obligaciones internacionales y se erige como un potencial obstáculo técnico al comercio” (página 211, el subrayado no es del original).

Aún más, con los reproches relacionados con el incumplimiento a las obligaciones de transparencia, consulta y notificación estipulados en el mencionado Acuerdo sobre Obstáculos Técnicos al Comercio de la OMC, esa Sala Constitucional tendría que examinar a la luz de esa normativa internacional, si el Estado costarricense observó con las contrapartes concernidas las fases procedimentales que se echan de menos en el proceso regulatorio del Decreto n.°44196-MSP-MICITT. Lo mismo sucedería respecto a los motivos asociados a la supuesta inobservancia de prescripciones y procedimientos relativos a títulos de aptitud, normas técnicas y prescripciones en materia de licencias del citado Acuerdo General sobre el Comercio de Servicios, al tratarse de temas técnicos ajenos a la competencia de ese alto Tribunal.

De conformidad con lo expuesto, el criterio de la Procuraduría es que las tachas en contra de los artículos 6, 9 y 10 del Reglamento de ciberseguridad 5G, referidas a la supuesta vulneración de los acuerdos y tratados internacionales invocados por las accionantes, son impertinentes y deben rechazarse, al desbordar los alcances de la jurisdicción constitucional, en tanto el parámetro de control utilizado alude a las materias de comercio exterior e inversión extranjera; cuyas posibles diferencias en la aplicación u observancia de la aludida normativa por un Estado parte encuentra sus vías de solución en los mecanismos de resolución de diferendos previstos por los mismos instrumentos internacionales, según pudimos comprobarlo en este epígrafe.   

IV.              FONDO DEL ASUNTO: RESPECTO A LAS VIOLACIONES CONSTITUCIONALES RESTANTES

Siguiendo con el abordaje metodológico propuesto, luego de depurar en los epígrafes anteriores los motivos que, en nuestro criterio, no corresponderían ser examinados por esa Sala Constitucional por las razones ya expuestas, quedarían pendientes, entonces, aquellos agravios de orden sustantivo que sí pueden ser conocidos en esta jurisdicción, pues no requieren de un complejo proceso probatorio –sin perjuicio, volvemos a hacer hincapié en ello, de que las accionantes formalmente no ofrecieron ningún tipo de prueba en este proceso– al referirse, básicamente, a un rebasamiento de los límites del ejercicio de la potestad reglamentaria a cargo del Poder Ejecutivo, con la emisión del Reglamento de ciberseguridad 5G, en tanto consideran que sus artículos 6, 8, inciso i), 9 y 10, incisos c), d), e) y f), imponen requisitos que transgreden los principios de reserva de ley y separación de poderes, la razonabilidad jurídica y las libertades económicas (de empresas, comercio e industria en todas sus vertientes).

Para tal análisis de constitucionalidad, es necesario partir de una premisa que, en nuestra opinión, es pasada por alto en la acción, en relación con el ámbito sobre el que el Decreto n.°44196-MSP-MICITT irradia sus efectos, a pesar de que en varias partes del escrito de interposición se reconoce que nos hallamos ante un sector “neurálgico” o “estratégico” o incluso, que las redes 5G son, en efecto, infraestructuras críticas; y es la consideración de las telecomunicaciones como un servicio de interés público.

Más allá del indudable valor económico que presenta esta actividad en general, existe un interés público innegable en su desarrollo del cual el Estado no se puede desentender, como así se desprende no solo del párrafo segundo del artículo 24 de la Constitución Política, con la reforma efectuada por la Ley n.°10385 del 29 de noviembre de 2023, en tanto reconoce el derecho fundamental de toda persona al acceso a las telecomunicaciones y tecnologías de la información y comunicaciones en todo el territorio nacional, encomendándole al Estado la garantía, protección y preservación de dicho derecho; sino del artículo 121, inciso 14, letra c), que reserva a su dominio, los “servicios inalámbricos”; sustentando la categorización del espectro radioeléctrico como un bien de dominio público, según lo indica de manera expresa el artículo 7 de la LGT, cuya explotación por los particulares o las personas públicas requiere, por tanto, de la respectiva concesión en los términos regulados por esa misma ley.

Siendo precisamente el aprovechamiento de ese recurso público la clave de bóveda para la futura prestación de los servicios de telefonía celular basados en la tecnología 5G, aspecto sobre el que volveremos más adelante.

De momento interesa recordar que, igualmente, la jurisprudencia de esa Sala Constitucional ha puesto de manifiesto el interés público inherente a las telecomunicaciones y al desarrollo de la infraestructura asociada a su prestación efectiva, de la que importa citar la resolución n.°015763-2011 de las 9:46 horas del 16 de noviembre de 2011:

“V.- IMPORTANCIA, INTERÉS PÚBLICO Y VOCACIÓN NACIONAL DE LA INFRAESTRUCTURA DE LAS TELECOMUNICACIONES EN EL ORDENAMIENTO CONSTITUCIONAL E INFRACONSTITUCIONAL.  A partir de un análisis sistemático del ordenamiento jurídico constitucional e infraconstitucional vigente, es factible concluir que la infraestructura, en materia de telecomunicaciones, tiene una relevancia que excede la esfera de lo local o cantonal, asumiendo un claro interés público y, desde luego, erigiéndose como una cuestión que atañe a la órbita de lo nacional con, incluso, proyecciones en el terreno del Derecho Internacional Público al suponer su desarrollo el cumplimiento de una serie de obligaciones internacionales asumidas previamente por el Estado costarricense” (el subrayado no es del original).

Luego, en el voto constitucional n.°2020-6296 de las 9:20 horas del 27 de marzo de 2020, se recordó que “en la sociedad actual, los servicios de telecomunicaciones constituyen un servicio esencial”.

Por su parte, el legislador quiso dejar claro que, pese al proceso de apertura a la competencia del aludido sector emprendido con el CAFTA-RD y materializado a través de la LGT y la Ley de Fortalecimiento y Modernización de las Entidades Públicas del Sector Telecomunicaciones (n.°8660 del 8 de agosto del 2008), el sector de las telecomunicaciones conservaba aquellas notas propias del servicio público que dan cuenta de su relevancia nacional; así por ejemplo, con la detallada regulación que se hace del servicio universal (vid, el capítulo I del Título II de la LGT), en aras de garantizar las máximas de igualdad, regularidad y generalidad o universalidad, en procura de lograr una sociedad avanzada con prestaciones y mínimos de bienestar realmente garantizados[3], pero, más de destacar a los efectos de la presente acción, con la declaratoria expresa de interés público asociada a las redes públicas de telecomunicaciones y sus infraestructuras. Primeramente, con el artículo 74 de la Ley de la Autoridad Reguladora de los Servicios Públicos (n.°7593 del 9 de agosto de 1996), fruto de la modificación efectuada por la Ley n.°8660, recién citada, en cuanto dispone:   

“Articulo 74.-     Declaratoria de interés público

 Considérase     una     actividad     de     interés     público     el establecimiento, la  instalación,  la ampliación,  la  renovación y la operación  de   las  redes   públicas  de  telecomunicaciones  o  de cualquiera de sus elementos.

Los operadores de  redes públicas de telecomunicaciones podrán convenir entre sí la utilización conjunta o el alquiler de sus  redes” (el subrayado no es del original).

Luego, de forma más reciente, con la Ley para incentivar y promover la construcción de infraestructura de telecomunicaciones en Costa Rica (n.°10216 del 5 de mayo de 2022), cuyo artículo 6 reafirma tal carácter, al declarar de interés público la actividad concerniente al desarrollo de la infraestructura de telecomunicaciones.

Con todo lo expuesto se quiere decir que el sector de las telecomunicaciones, donde cómo ya lo adelantamos, el Reglamento de ciberseguridad 5G tiene su incidencia, específicamente, en las redes y los servicios de telecomunicaciones basados en la tecnología 5G (artículos 1 y 2), aun cuando tenga una indudable importancia económica, debido a ese interés público que le es consustancial, sencillamente no se puede dejar al albur de las fuerzas del mercado, como parece sugerirlo la línea argumentativa de las accionantes, ni mucho menos relegar la intervención regulatoria del Estado a un mínimo, en razón de los no menos relevantes intereses, bienes jurídicos y derechos que hay en juego, alguno de los cuales se procura tutelar con el Decreto n.°44196-MSP-MICITT en cuestión, a saber:  la ciberseguridad en el uso y la explotación segura de las redes 5G con la cual resguardar la privacidad y los datos personales de las personas.

De ahí que, en el Derecho de la Unión Europea –y correlativamente, en las sendas legislaciones nacionales de los Estados miembros al transponer sus normas– se consideren positivamente a las telecomunicaciones y otras actividades reguladas (caso del sector energético, que abarca el eléctrico y el gasístico) como servicios de interés económico general (SIEG)[4]. Se trata de un concepto que parte del interés vital o esencial que está presente en dichos servicios, que por lo mismo no se rigen enteramente por los principios de la lógica de la libre concurrencia, y en los que el Estado interviene para garantizar determinados objetivos de solidaridad social o de seguridad que el mercado por sí mismo no puede garantizar[5].

En el ordenamiento costarricense se da la circunstancia adicional, que los operadores de la telefonía móvil –incluida la basada en la tecnología 5G– tienen la condición de concesionarios, en razón de la naturaleza demanial del espectro radioeléctrico requerido para poder explotar las redes de telecomunicaciones sobre las que se prestan esos servicios. Con lo cual, el operador de telefonía celular se coloca voluntariamente –fruto de su autonomía de voluntad y libertad de empresa– en una situación jurídica de mayor intensidad con la Administración Pública titular del espectro, conocida como relación de supremacía o sujeción especial, que de acuerdo a la doctrina jurisprudencial de esa Sala supone una mayor limitación de sus derechos y flexibilización en la observancia de ciertos principios constitucionales. Valga al respecto, lo señalado por ese alto Tribunal en la resolución n.° 2004-08027 de las 8:39 horas del 23 de julio de 2004:

“III.-Relación de sujeción especial entre la Administración y los administrados. De conformidad con el antecedente de cita, tenemos que el derecho a la educación se configura como un derecho fundamental, el cual se traduce en el servicio público que brinda el Estado en los distintos centros educativos del país. Ahora bien, aún cuando se trata de un derecho fundamental, en virtud de la relación de sujeción especial que existe entre el administrado y el Estado, el primero no solamente es titular de un derecho, sino también de deberes y obligaciones. Tanto la doctrina como la jurisprudencia constitucional han reconocido ampliamente estas situaciones, y se ha señalado que aquellos que conforman una comunidad políticamente organizada poseen la condición genérica de administrados simples, por cuyo medio cuentan con una serie de derechos, poderes, obligaciones y deberes generales frente a la Administración Pública. Todos los administrados se encuentran sujetos a una relación de supremacía general –relación general de poder-, que ejerce la Administración y se encuentra conformada por el conjunto de potestades generales que el ordenamiento jurídico le otorga (potestad expropiatoria, sancionatoria, tributaria, etc.). Ahora bien, cuando al estatus genérico del administrado se le adiciona otro (usuario de un servicio público, funcionario público, contribuyente, estudiante, recluso de un centro penitenciario; munícipe o vecino del cantón respecto de la municipalidad), el administrado es entonces cualificado. En estos casos, se establece una relación más intensa y peculiar entre el administrado cualificado y la Administración que da pie a una serie de derechos y obligaciones específicos y marcados. En estos casos surge una relación especial de poder que desde la perspectiva de la Administración Pública se denomina relación de supremacía especial, o relación de sujeción especial, desde la óptica del administrado. Es menester indicar que en tratándose de relaciones de sujeción especial el principio de reserva de ley se ve profundamente debilitado, dado que su contenido puede ser definido a través del ejercicio de la potestad reglamentaria y, en general, de los actos administrativos de alcance general. El ordenamiento jurídico administrativo, en su conjunto, se orienta a la tutela o protección de las situaciones sustanciales de poder o activas frente al ejercicio indebido o arbitrario, por parte de las administraciones públicas, de sus potestades o privilegios posicionales o de imperio. Así, el párrafo final del artículo 49 constitucional, establece que la ley protegerá, al menos, los derechos subjetivos y los intereses legítimos de los administrados. No obstante, los administrados, poseen frente a los poderes públicos, no solo poderes, derechos subjetivos e intereses legítimos, sino también situaciones pasivas o de deber. El administrado puede ser obligado a soportar la actuación de un tercero, caso en el que se habla de sujeción. De igual modo, puede estar obligado a realizar una conducta o actuación determinada –positiva o negativa-. Esa conducta puede ser en interés de un tercero (obligación), de sí mismo (carga), o de la generalidad (deber público). El ordenamiento jurídico-administrativo procura, igualmente el cumplimiento de tales deberes en beneficio de los intereses públicos o colectivos que atienden las administraciones públicas en cuanto organizaciones serviciales. (voto N° 11515-02 de las ocho horas cincuenta y dos minutos del seis de diciembre del dos mil dos). Desde esta perspectiva, el Estado está en posibilidad de limitar o restringir los derechos de los administrados, con el fin de velar por el cumplimiento del interés público que orienta el actuar administrativo” el subrayado no es del original).  

En coherencia con el fallo transcrito, la Procuraduría considera que no se presentan las vulneraciones alegadas a los principios de reserva de ley y separación de poderes, pues como se explicó antes, el Reglamento de ciberseguridad 5G incide en una actividad de evidente interés público que faculta a la Administración para regularla y establecer condiciones técnicas sobre cómo debe llevarse a cabo en protección de diversos bienes jurídicos como la protección de los datos personales de los usuarios de los servicios de telecomunicaciones o la misma seguridad nacional. De hecho, el empleo de normas de rango reglamentario en este sector resulta aconsejable en virtud de los cambios tecnológicos tan vertiginosos que se dan en las telecomunicaciones y en donde el trámite parlamentario de aprobación de una ley, debido a su duración, puede ser incompatible con la respuesta oportuna que se debe brindar a los retos que plantea la industria, sobre todo, cuando es preciso incorporar requisitos de seguridad de índole técnico, como sucede con el Decreto n.°44196-MSP-MICITT.

Cabe agregar, que una potestad reglamentaria tan intensa ha sido reconocida por esa Sala Constitucional en otros sectores regulados como el bancario debido al interés público económico que también está presente en garantizar la estabilidad del sistema financiero (al efecto, puede verse las resoluciones 2006-17599 de las 15:06 horas del 6 de diciembre de 2006 y 2020-015543 de las 11:41 horas del 19 de agosto de 2020).

A lo anterior se suma, según se advirtió antes, que los destinarios del Decreto n.°44196-MSP-MICITT son los operadores de redes y servicios de telecomunicaciones basados en la tecnología 5G, que dada su necesaria condición de concesionarios de las frecuencias del espectro (artículo 11 LGT), quedan sometidos a una relación de sujeción especial con la Administración, que legitima la regulación de su actividad. De ahí que tampoco se considere que exista una vulneración a las libertades económicas invocadas por las accionantes, pues el especial interés público que reviste a las telecomunicaciones en general y al estar de por medio la explotación de un bien demanial, faculta al Poder Ejecutivo para emitir las reglamentaciones técnicas requeridas en protección de los derechos de los usuarios de esos servicios, aun cuando ello suponga condicionar el ejercicio de esas libertades. Ya la cuestión de que esas reglamentaciones técnicas se consideren excesivas o desproporcionadas es un aspecto, según se ha explicado a lo largo de este informe, que deberá ser sometido al contradictorio y a las diligencias de prueba pertinentes en el juicio base.  

   Por otra parte, no cabe entender que el Decreto n.°44196-MSP-MICITT vulnere el principio de seguridad jurídica, tomando en cuenta que la actividad sobre la que se proyecta, a saber, la telefonía 5G, todavía no está formalmente en operación. Siendo un hecho público y notorio que el concurso público de subasta de frecuencias continua en trámite con lo que más bien, estamos ante una normativa que se está anticipando al futuro despliegue de estas redes de nueva generación.

Finalmente, en lo que atañe a la razonabilidad jurídica del Reglamento de ciberseguridad 5G, esto es, su “adecuación a la Constitución en general, y en especial, a los derechos y libertades reconocidos o supuestos por ella” –así conceptualizada desde el conocido voto constitucional n.°1739-92 de las 11:45 horas del 1 de julio de 1992– donde la constatación de su razonabilidad técnica, como ya se dijo, debería ser deferida a la jurisdicción ordinaria,  tampoco hallamos una violación palpable al orden constitucional.

Dejando de lado los reparos relativos al estándar SCS 9001, que constituye un aspecto técnico sujeto a prueba y que perfectamente puede ser objeto de una norma reglamentaria como el Decreto n.°44196-MSP-MICITT, ya apuntamos que el requisito de diseñar una estrategia de diversificación en la cadena de suministro en los equipos de telecomunicaciones cuenta con su parangón en el Derecho comparado, concretamente, en el derecho español con el Real Decreto-ley 7/2022. Además, como lo explica su exposición de motivos, este real decreto-ley cumple con las recomendaciones de la Comisión Europea en materia de ciberseguridad de las redes 5G.

Esta misma norma “sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación”, contempla en su artículo 14, entre los parámetros para considerar a un proveedor o suministrador 5G de alto riesgo, no solo las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios, sino también “su exposición a injerencias externas”; para lo que exige valorar “[e]l poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa” y “[l]os acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos firmados con el país tercero de que se trate, así como los tratados internacionales en esas materias de que sea parte dicho Estado” (incisos c y e del apartado 3, la negrita es añadida).

Esa consonancia de los incisos c), d), e) y f) del artículo 10 recurrido con el Derecho europeo comparado da lugar a considerar –y sin perjuicio de lo que los expertos en ciberseguridad puedan testimoniar al respecto– que tales exigencias a primera vista no resultan irrazonables o discriminatorias; máxime, cuando no se hace alusión a ningún país o nacionalidad en particular. Adicionalmente, el artículo 11, en su inciso 2), da un margen de cinco años, contados a partir de la clasificación como de alto riesgo, para que los operadores procedan con la sustitución de los equipos, productos y servicios de la red 5G que no cumplan con los parámetros del Decreto n.°44196-MSP-MICITT, tiempo que igualmente puede ser aprovechado por los propios proveedores que no los cumplan, para adecuarse a esa normativa técnica.

Cabe hacer una última consideración en torno al parámetro de alto riesgo de la letra e) del artículo 10 del Reglamento de ciberseguridad 5G, que ocurriría cuando los operadores o sus proveedores “tengan su sede en un país que no ha manifestado su consentimiento de obligarse al cumplimiento del Convenio sobre Ciberdelincuencia (Convenio de Budapest)”. Sin perjuicio de que la norma no exige ni la firma o aprobación formal del Convenio de Europa sobre Ciberdelincuencia (aprobado por nuestro país, mediante Ley n.°9452 del 26 de mayo de 2017); bastando la manifestación de consentimiento del país de origen, lo cierto es que el capítulo del aludido tratado relacionado con la cooperación internacional en materia penal para perseguir estos delitos informáticos, facilitar respuestas rápidas a incidentes cibernéticos transfronterizos y obtener pruebas electrónicas de esos delitos, tampoco presenta visos de que sea irrazonable.

La literatura especializada en la materia –y de nuevo, sin perjuicio de lo que los expertos puedan declarar al respecto en el juicio base– da cuenta de la relación entre la ciberseguridad y la ciberdelincuencia, al definir a la primera como “la habilidad de proteger y defender las redes o sistemas de los ciberataques” [6]; que a su vez son entendidos como el “[u]so de redes y comunicaciones para acceder a información y servicios sin autorización con el ánimo de robar, abusar o destruir” [7], en donde la ciberdelincuencia es una de las ramificaciones de esos ciberataques, junto con el ciberespionaje, el hacktivismo, el ciberterrorismo, el ciberyihadismo y la ciberguerra[8].

Resulta claro, en nuestro criterio, que los riesgos asociados a la ciberseguridad trascienden las fronteras, por lo que se requiere una estrategia global, en que se pueda solicitar la cooperación de otros Estados, cuando se debe dar respuesta a las posibles vulneraciones en los sistemas informáticos de un país o en una infraestructura crítica como la red de telefonía 5G.  

Incluso, en temas de seguridad nacional, el factor geopolítico –que los accionantes denuncian como arbitrario–, concretamente, la mejora de un Estado de su posición geopolítica o estratégica, se considera una amenaza de ciberseguridad[9].

Con fundamento en estos elementos de juicio y bajo la consideración ya explicada de que los reparos en contra de la justificación técnica del Decreto n.°44196-MSP-MICITT deben ser objeto de prueba y con las garantías del contradictorio en el juicio base, es que estimamos que estos extremos de la acción deben ser igualmente rechazados.   

V.               CONCLUSIÓN

            Con fundamento en las consideraciones anteriores, es criterio de la Procuraduría que:

1.      La presente acción es admisible.

 

2.      Los agravios a que hacemos mención en el epígrafe B de este informe deben ser deferidos para su conocimiento en el juicio base por la Jurisdicción Contencioso-Administrativa y Civil de Hacienda.

 

3.      Los agravios a que hacemos mención en el epígrafe C de este informe son ajenos a la competencia de la Jurisdicción Constitucional debido al parámetro de control invocado y al versar sobre posibles diferendos en materia de comercio exterior e inversión extranjera.

 

4.      Los reproches y extremos restantes de la acción deben ser rechazados por el fondo, al no constatarse que atenten contra el Derecho de la Constitución.  

            En la forma expuesta, dejo evacuada esta audiencia.

NOTIFICACIONES

            Para atender notificaciones señalo la notificación electrónica o en su defecto, la Oficina de Recepción de Documentos, en el primer piso del edificio que ocupa la Procuraduría General de la República en esta capital, entre avenidas 2 y 6, calle 13.

San José, 17 de enero de 2025.

Iván Vinicio Vincenti Rojas

Procurador General de la República