Soberanía digital y 5G: lo que León XIV anticipa sobre el riesgo de las infraestructuras críticas
La doctora Clara R. Ilárraz analiza cómo la encíclica Magnifica Humanitas de León XIV anticipa los riesgos jurídicos del 5G: dependencia tecnológica, proveedores críticos, seguridad por diseño y rendición de cuentas
Hay una frase en la encíclica Magnifica Humanitas, dedicada a la custodia de la persona humana en el tiempo de la inteligencia artificial, que debería leer con atención cualquier consejo de administración responsable de infraestructura digital. León XIV advierte que el control de las plataformas, las infraestructuras, los datos y la capacidad de cálculo ya no es prerrogativa de los Estados, sino de grandes actores económicos y tecnológicos que determinan las condiciones de acceso y las propias posibilidades de participación.
Eso no es teología. Es una descripción exacta del ecosistema 5G.
Y, sobre todo, es la descripción del mapa de riesgo jurídico que el legislador europeo y español llevan años construyendo, norma a norma, alrededor de las redes de quinta generación.
Un diagnóstico moral que describe un problema jurídico
El texto pontificio sostiene que, cuando un poder de esa magnitud se concentra en pocas manos, tiende a hacerse opaco, a eludir el control público y a generar nuevas dependencias.
La doctrina jurídica venía señalando lo mismo en otros términos. El poder cibernético, antes dominio casi exclusivo de los Estados, se ha extendido a actores privados, provocando una redistribución del poder a escala internacional que desafía las estructuras tradicionales de gobernanza.
Conviene, sin embargo, introducir un matiz que el ruido habitual sobre la «pérdida de soberanía» suele pasar por alto: no existen evidencias de que el Estado haya cedido su soberanía en la Sociedad Digital. Más bien lo contrario. Desde la creación del Mercado Único Digital, la Unión Europea y España han regulado el espacio digital sin precedentes, también –y muy especialmente– en materia de ciberseguridad.
La cuestión, por tanto, no es si el Estado conserva la potestad normativa. La conserva. La cuestión es si esa potestad se aplica con la misma intensidad con la que se promulga. Ahí está el verdadero riesgo jurídico.
La dependencia estructural: del principio al artículo
La advertencia de la encíclica sobre las «nuevas dependencias» tiene en el Derecho 5G una traducción literal.
El funcionamiento de las redes 5G depende de sistemas y servicios proporcionados por proveedores externos al operador. El propio preámbulo de la Ley de Ciberseguridad 5G (Real Decreto-ley 7/2022, LC5G) identifica esa dependencia estructural como uno de los principales factores de riesgo del ecosistema.
No es un riesgo abstracto. En el mercado español, la cadena de valor se concentra en torno a cuatro suministradores principales –Ericsson, Nokia, ZTE y Huawei–, a los que se suma un tejido de proveedores de software, virtualización y servicios auxiliares.
La calificación de alto riesgo descansa en criterios objetivos
El instrumento más sensible del régimen es la calificación de suministrador de alto riesgo, cuyas consecuencias incluyen la prohibición de acceso a los elementos críticos de la red.
Es importante despolitizar la lectura de esta figura: la normativa española no menciona países ni empresas concretas. El régimen de los suministradores persigue dos objetivos jurídicos verificables —garantizar su fiabilidad técnica y asegurar su independencia frente a injerencias externas— y se aplica sobre criterios objetivos, no sobre etiquetas geopolíticas.
A ese diagnóstico el legislador responde con una obligación concreta de diversificación. El artículo 17 del Esquema Nacional de Seguridad 5G (ENS5G) admite que en el núcleo (Core), así como en los sistemas de control y gestión y en los servicios de apoyo, el suministrador pueda ser único; pero exige que en la red de acceso (RAN) el operador cuente, como mínimo, con dos suministradores distintos. La finalidad es nítida: favorecer la continuidad del servicio, la sustituibilidad de los equipos y la eliminación de la dependencia exclusiva de un proveedor único.
El principio que el Papa enuncia –no consentir que pocos determinen las condiciones de acceso– se convierte aquí en una cláusula contractual y en una decisión de arquitectura de red.
«Rendición de cuentas»: cuando el texto pontificio y el legislador coinciden
El punto donde ambos discursos convergen con mayor precisión es la responsabilidad.
La encíclica reclama lo que denomina, en sus propios términos, accountability: la posibilidad de identificar quién debe rendir cuentas de las decisiones, motivarlas, controlarlas y, llegado el caso, reparar los daños que de ellas se deriven. Y añade una advertencia que ningún jurista de cumplimiento debería ignorar: no basta invocar genéricamente la ética; se necesitan marcos jurídicos adecuados y vigilancia independiente.
El Derecho 5G se enfrenta exactamente a ese problema. La arquitectura distribuida de estas redes complica la atribución de responsabilidades cuando algo falla: ¿responde el operador, el proveedor de software o el suministrador de los equipos? La complejidad se agudiza cuando el núcleo de la red ha sido fabricado por un suministrador de origen internacional, en un componente que recaba y gestiona el tráfico y los datos de cada servicio.
La respuesta normativa existe –la orquestación debe registrar las interacciones para facilitar esa atribución– y el perímetro de sujetos obligados se ha ampliado de forma decisiva. La transposición de la Directiva NIS 2 incorpora a los proveedores de redes y servicios de comunicaciones electrónicas entre las entidades esenciales y desplaza el centro de gravedad de la responsabilidad hacia los órganos de dirección.
Dicho sin rodeos: la rendición de cuentas que la encíclica reclama como principio moral es ya, en el ámbito 5G, una obligación jurídica exigible.
Seguridad por diseño: la coincidencia más reveladora
Quizá el paralelismo más llamativo sea el del timing.
El texto pontificio sostiene que la justicia social no puede ser un objetivo a tutelar después de adoptar la tecnología, sino una condición que debe practicarse desde el diseño.
El régimen 5G dice lo mismo en clave de seguridad. La automatización de estas redes traslada la carga de cumplimiento hacia el diseño previo de los sistemas: los requisitos de seguridad deben integrarse desde el origen, no aplicarse después como corrección. El ENS 5G consagra precisamente la seguridad por diseño y por defecto.
La consecuencia para el decisor es directa. La conformidad no se acredita con un informe presentado al cierre del proyecto; se decide en el momento de elegir proveedores, definir la arquitectura del núcleo y la red de acceso y diseñar el flujo de los datos. Lo que no se previó en el diseño difícilmente se corregirá en la auditoría.
Del principio al cumplimiento: la tarea de quien decide
La encíclica reclama «una política más presente, capaz de ralentizar donde todo acelera». En el sector de las telecomunicaciones, esa política ya tiene forma de articulado: LC5G, ENS5G, Caja de Herramientas 5G y la transposición de NIS 2.
El reto no es legislativo. Es de aplicación.
Para un operador, una Administración o una empresa tecnológica, el mensaje estratégico es inequívoco. La soberanía digital no se defiende con declaraciones; se decide en las cláusulas de contratación con los suministradores, en la calificación de riesgo de cada componente, en la estrategia de diversificación de la red de acceso y en la trazabilidad de las responsabilidades a lo largo de toda la cadena de valor.
El diagnóstico moral de León XIV y el régimen jurídico de la quinta generación apuntan, desde lugares muy distintos, a la misma conclusión: el poder tecnológico solo es legítimo cuando es controlable, atribuible y discutible. Convertir ese principio en cumplimiento verificable –antes de que un incidente lo convierta en responsabilidad– es, hoy, la verdadera tarea de quien toma decisiones.
Clara Rodríguez Ilárraz es doctora en Derecho por la Universidad CEU-San Pablo.