Juristas questionam a base jurídica da reforma europeia em matéria de cibersegurança

Impulsionada pela Comissão Europeia e revista em janeiro, a iniciativa reforça o sistema comum de certificação e coloca o foco nos chamados «fornecedores de alto risco», o que permite impor restrições e limitar o uso de determinados produtos e serviços em setores considerados críticos. Bruxelas justifica a reforma pela necessidade de enfrentar riscos transfronteiriços e reduzir dependências tecnológicas num contexto geopolítico cada vez mais complexo.

No entanto, para além do objetivo declarado de reforçar a cibersegurança, vários juristas questionam a solidez jurídica da proposta. Entre eles, José Luís da Cruz Vilaça, ex-presidente do Tribunal de Justiça da União Europeia (TJUE), que no seu recente artigo «Revisão do Regulamento sobre cibersegurança: uma proposta controversa e debatida», publicado no portal de análise jurídica da ADC EJIA, defende que a Comissão teria baseado a reforma exclusivamente na competência do mercado interno (artigo 114.º do Tratado de Funcionamento da UE), um domínio partilhado entre a UE e os Estados-Membros. Na sua opinião, dado que o conteúdo da norma afeta matérias estreitamente ligadas à segurança nacional, «não constitui uma base jurídica adequada para uma proposta como a CSA2».

O jurista baseia a sua crítica no princípio da atribuição (artigo 5.º do TUE), que estabelece que a União Europeia só pode agir nas matérias para as quais tem competências expressamente reconhecidas. Recorda também que o artigo 4.º (n.º 2) do TUE reserva expressamente a segurança nacional aos Estados-Membros. Além disso, adverte que os princípios da subsidiariedade e da proporcionalidade não podem ser utilizados para justificar uma ação da União se esta não tiver competência nessa matéria.

Outro dos pontos centrais da sua análise é a introdução do conceito de «fornecedores de alto risco» e a possibilidade de identificar «países de risco», decisões que podem ter efeitos diretos sobre o acesso ao mercado e a atividade empresarial. Na sua opinião, a amplitude destes conceitos e a concentração de poderes na Comissão podem gerar problemas do ponto de vista da segurança jurídica e do equilíbrio institucional, especialmente quando a reforma se insere numa estratégia mais ampla de autonomia tecnológica europeia. Além disso, alerta para o risco de que uma eventual contestação perante o TJUE gere instabilidade normativa se a base jurídica escolhida for questionada.

Santiago González-Varas Ibáñez, professor de Direito Administrativo na Universidade de Alicante, também se pronuncia de forma crítica no seu artigo «La seguridad pública a debate» (A segurança pública em debate), publicado há alguns dias no blogue especializado «administracionpublica.com». O autor coloca o centro da controvérsia na seleção de fornecedores das cadeias de abastecimento de tecnologias TIC e no equilíbrio entre critérios técnicos e considerações políticas. «O debate é se deve prevalecer uma abordagem técnica ou se devem ser considerados elementos políticos na hora de selecionar os fornecedores das cadeias de abastecimento das TIC», afirma.

González-Varas descreve a proposta como um «mecanismo de segurança a nível da União» destinado a enfrentar «riscos não técnicos» em setores altamente críticos, através do chamado «quadro de confiança da cadeia de abastecimento das TIC». Este mecanismo prevê a designação de países terceiros com problemas de cibersegurança e a identificação de fornecedores de alto risco através de atos de execução, com a possibilidade de impor restrições à utilização dos seus produtos. De uma perspetiva jurídico-pública, o autor alerta para as consequências deste «salto» quando se permitem vetos por motivos «políticos e comerciais», associando-o à soberania e à segurança pública como competência exclusiva do Estado. Além disso, ele aponta para a «elevada discricionariedade» na aplicação destes critérios, especialmente quando são introduzidos riscos não técnicos, o que, em sua opinião, levanta dúvidas sobre o controlo jurídico e a repartição de competências.