La reforma europea de ciberseguretat sota escrutini jurídic

Juristes qüestionen la base legal de la reforma europea de ciberseguretat

La proposta de revisió del Reglament de Ciberseguretat de la UE (coneguda com a CSA 2.0) ha generat un debat jurídic a Europa. Impulsada per la Comissió Europea i revisada al gener, la iniciativa reforça el sistema comú de certificació i posa el focus en els anomenats “proveïdors d’alt risc”, fet que permet imposar restriccions i limitar l’ús de determinats productes i serveis en sectors considerats crítics. Brussel·les justifica la reforma per la necessitat de fer front a riscos transfronterers i reduir dependències tecnològiques en un context geopolític cada vegada més complex.

Tanmateix, més enllà de l’objectiu declarat de reforçar la ciberseguretat, diversos juristes qüestionen la solidesa legal de la proposta. Entre ells, José Luís da Cruz Vilaça, expresident del Tribunal de Justícia de la Unió Europea (TJUE), qui en el seu recent article ‘Revisió del Reglament sobre ciberseguretat: una proposta controvertida i debatuda’, publicat al portal d’anàlisi jurídica d’ADC EJIA, sosté que la Comissió hauria basat la reforma exclusivament en la competència de mercat interior (article 114 del Tractat de Funcionament de la UE), un àmbit compartit entre la UE i els Estats membres. Segons el seu parer, atès que el contingut de la norma afecta matèries estretament vinculades a la seguretat nacional, “no constitueix una base jurídica adequada per a una proposta com la CSA2”.

El jurista basa la seva crítica en el principi d’atribució (article 5 del TUE), que estableix que la Unió Europea només pot actuar en les matèries per a les quals té competències expressament reconegudes. També recorda que l’article 4 (apartat 2) del TUE reserva de manera expressa la seguretat nacional als Estats membres. A més, adverteix que els principis de subsidiarietat i proporcionalitat no poden utilitzar-se per justificar una actuació de la Unió si aquesta no té competència en aquella matèria.

Un altre dels punts centrals de la seva anàlisi és la introducció del concepte de “proveïdors d’alt risc” i la possibilitat d’identificar “països de risc”, decisions que poden tenir efectes directes sobre l’accés al mercat i l’activitat empresarial. Al seu judici, l’amplitud d’aquests conceptes i la concentració de facultats en la Comissió poden generar problemes des del punt de vista de la seguretat jurídica i de l’equilibri institucional, especialment quan la reforma s’emmarca en una estratègia més àmplia d’autonomia tecnològica europea. A més, adverteix del risc que una eventual impugnació davant el TJUE generi inestabilitat normativa si es qüestiona la base jurídica escollida.

En una línia també crítica es pronuncia Santiago González-Varas Ibáñez, catedràtic de Dret Administratiu a la Universitat d’Alacant, en el seu article ‘La seguretat pública a debat’, publicat fa uns dies al blog especialitzat ‘administracionpublica.com’. L’autor situa el centre de la controvèrsia en la selecció de proveïdors de les cadenes de subministrament de tecnologies TIC i en l’equilibri entre criteris tècnics i consideracions polítiques. “El debat és si ha de prevaler un plantejament tècnic o si s’han de considerar elements polítics, a l’hora de seleccionar els proveïdors de les cadenes de subministrament de les TIC”, assenyala.

González-Varas descriu la proposta com un “mecanisme de seguretat a nivell de la Unió” orientat a afrontar “riscos no tècnics” en sectors d’alta criticitat, a través de l’anomenat “marc de confiança de la cadena de subministrament de TIC”. Aquest mecanisme preveu la designació de tercers països amb problemes de ciberseguretat i la identificació de proveïdors d’alt risc mitjançant actes d’execució, amb possibilitat d’imposar restriccions en l’ús dels seus productes. Des d’una perspectiva juridicopública, l’autor adverteix de les conseqüències d’aquest “salt” quan es permeten vetos per motius “polítics i comercials”, vinculant-ho amb la sobirania i amb la seguretat pública com a competència exclusiva de l’Estat. Així mateix, assenyala l’“alta discrecionalitat” en l’aplicació d’aquests criteris, especialment quan s’introdueixen riscos no tècnics, fet que, al seu parer, planteja dubtes sobre el control jurídic i el repartiment de competències.