La proposta d’actualització de la Llei de Ciberseguretat de la Unió Europea (Cybersecurity Act), coneguda com CSA2, presenta senyals d’alerta des del punt de vista constitucional, segons posa de manifest un article publicat en el Advocacy Lab de Euractiv, la secció del mitjà europeu que publica anàlisi d’experts externs. La proposta permetria a Brussel·les identificar “tercers països d’alt risc”, empreses vinculades a ells i, en última instància, excloure-les de les cadenes de subministrament europees de tecnologies de la informació i les comunicacions (TIC). En el centre del debat figura un nou mecanisme de seguretat que avaluaria “riscos no tècnics” relacionats amb les lleis, govern i sistema polític dels països d’origen dels proveïdors.
Segons l’article, aquest enfocament introdueix un component potencialment subjectiu. Michel Petite, advocat de la signatura Clifford Chance, explica que “determinar que un tercer país planteja un ‘risc no tècnic greu i estructural’ requereix avaluar el seu sistema jurídic, la seva governança i el seu entorn polític. Aquest tipus d’avaluació serà necessàriament molt subjectiva i política”.
L’anàlisi assenyala que aquest mecanisme suposaria un canvi respecte al model tradicional basat en certificacions tècniques, en introduir avaluacions de risc de caràcter geopolític en la valoració de proveïdors. Petite afegeix que “una decisió en aquest àmbit hauria de situar-se molt més naturalment en el terreny de la política exterior i els interessos de seguretat que tractar-se com una mera qüestió d’harmonització de normes del mercat interior”.
L’article també planteja interrogants jurídics sobre el repartiment de competències a la UE. Recorda que l’article 4(2) del Tractat de la Unió Europea estableix que la seguretat nacional continua sent responsabilitat exclusiva dels Estats membres, mentre que la proposta CSA2 es basa en l’article 114 del Tractat de Funcionament de la UE, relatiu al mercat interior. Una anàlisi jurídica citada adverteix que fonamentar una mesura l’objectiu predominant de la qual sigui la seguretat en aquesta base jurídica podria resultar constitucionalment fràgil i eventualment ser qüestionat davant el Tribunal de Justícia de la Unió Europea.
Així mateix, el text subratlla que conceptes com a “proveïdor d’alt risc” o “país de risc” requeririen criteris objectius i una justificació clara, en línia amb l’article 296 del TFUE, que obliga les institucions europees a motivar les seves decisions.
La reforma també tindria implicacions per al sector de les telecomunicacions. CSA2 convertiria en obligatòries algunes recomanacions de la “5G Toolbox”, com l’exclusió de proveïdors considerats d’alt risc de determinats components crítics de xarxa i la retirada progressiva d’uns certs equips en xarxes 5G. Operadors del sector han advertit que aquestes mesures podrien costar milers de milions i provocar alteracions en les xarxes, a més de desviar recursos que podrien destinar-se a ampliar les infraestructures de 5G i futures xarxes 6G.
En aquest context, Petite afirma que “si els components d’uns certs proveïdors haguessin d’eliminar-se progressivament, això generaria costos addicionals que no podrien invertir-se a ampliar les xarxes 5G i futures 6G. A més, des del seu punt de vista, “la UE podria quedar-se encara més ressagada respecte als Estats Units i la Xina”.
L’article també apunta a possibles implicacions geopolítiques. Petite adverteix que “un règim de designació de països serà percebut internacionalment com a posicionament geopolític i és bastant probable que generi represàlies”, i afegeix que un mecanisme d’exclusió vinculant a escala europea podria atreure l’escrutini sota les normes de l’Organització Mundial del Comerç o provocar contramesures comercials.
