Relacionados
A proposta da União Europeia (UE) em torno da cibersegurança está longe de ser pacífica. A par das operadoras de telecomunicações e das principais associações do setor das telecomunicações (GSMA e Connect Europe) – que já manifestaram preocupação sobre estas medidas e pediram reformulação do regulamento por pôr em causa a soberania dos Estados-membros –, também suscita dúvidas junto de juristas, numa altura em que se pretende acelerar o processo de 5G e 6G.
Em causa está a a proposta legislativa apresentada pela UE, em janeiro deste ano, com o objetivo de substituir o atual Regulamento Europeu de Cibersegurança, em vigor desde 2019. A iniciativa surge numa altura em que se assiste a um aumento dos ataques informáticos, já que nos últimos anos infraestruturas críticas como redes de telecomunicações, sistemas energéticos e serviços públicos tornaram-se alvos cada vez mais frequentes de incidentes de segurança, levando Bruxelas a procurar instrumentos regulatórios mais robustos.
Entre os objetivos centrais da proposta está o reforço da coordenação europeia em matéria de cibersegurança, bem como a redução da fragmentação regulatória entre os Estados-membros. Atualmente, embora existam várias normas e estratégias europeias no domínio digital, a aplicação prática das regras pode variar significativamente de país para país. No entanto, a Comissão defende que um quadro mais harmonizado permitiria aumentar a eficácia das políticas de segurança e facilitar o funcionamento do mercado interno.
Outro elemento central do novo regulamento é o reforço do papel da Agência da União Europeia para a Cibersegurança (ENISA). A proposta prevê atribuir à agência responsabilidades adicionais na coordenação de políticas e na implementação de sistemas de certificação de segurança para produtos e serviços digitais. Na prática, isso significaria um papel mais ativo da ENISA na definição de padrões técnicos e na supervisão da sua aplicação em toda a União.
Os advogados da Antas da Cunha, entre eles José Luís da Cruz Vilaça, coordenador da área de Direito da UE, Concorrência e Investimento Estrangeiro e ex-juiz do Tribunal Europeu de Justiça, e Paulo de Almeida Sande elaboraram um documento crítico da proposta, no qual consideram que o novo regulamento cria incerteza e discricionariedade. E admitem que «no cerne da questão está a divisão de competências entre a União e os Estados-membros, que é particularmente sensível no que diz respeito a questões relacionadas com a segurança nacional», quando atualmente a segurança nacional permanece uma competência exclusiva dos Estados-membros, de acordo com os tratados europeus. «O que a Comissão está a fazer é estar a extravasar as suas competências», diz ao Nascer do SOL, Paulo de Almeida Sande.
Um dos pontos de discussão é a base legal utilizada pela Comissão Europeia para apresentar o regulamento que se apoia no artigo 114.º do Tratado sobre o Funcionamento da União Europeia, que permite adotar medidas destinadas a harmonizar regras do mercado interno, em vez de se basear no artigo 4.º, que aborda a matéria da segurança nacional.
Alerta para fornecedores de alto risco
O documento identifica ainda que a utilização de conceitos como HRS – fornecedores de alto risco – que estão sujeitos à avaliação discricionária da Comissão Europeia poderá «criar grande incerteza». Isto porque o regulamento prevê mecanismos que permitiriam às autoridades europeias identificar empresas consideradas suscetíveis a influências externas capazes de comprometer a segurança das redes e infraestruturas críticas. Nessas situações, os Estados-membros poderiam ser obrigados a restringir ou eliminar gradualmente equipamentos provenientes desses fornecedores, especialmente em redes de telecomunicações de nova geração, como o 5G.
«Quem tomaria essa decisão sobre quais são esses fornecedores seria a própria Comissão. É evidente que isto tudo tem uma aplicação concreta e estas questões já estão em cima da mesa há uns anos. Já assistimos desde o Toolbox a essa tomada de posição em relação a vários fornecedores e que estão associados a países de origem considerados de maior risco», salienta.
Por outro lado, apontam para o risco de haver conflito com o princípio de atribuição, subsidiariedade e proporcionalidade. «Ao estabelecer um limiar regulamentar vinculativo, a proposta limita a liberdade dos Estados-Membros de determinar o nível adequado de intervenção em áreas da sua competência exclusiva», referem, acrescentando ainda que «na fase atual de desenvolvimento do direito da UE e à luz da atual turbulência geopolítica, isso pode exacerbar as tensões relativas à relação entre os níveis nacional e da UE», dando como exemplo as reservas levantadas por alguns Estados-membros e diferentes organizações durante as discussões sobre o pacote digital.
Paulo de Almeida Sande acrescentou ao SOL que o que a Comissão faz nesta proposta de regulamento «é não só tomar obrigatório um conjunto de restrições de utilização de equipamentos de fornecedores de alto risco como vai mais longe, ao utilizar uma base jurídica que lhe permite ultrapassar objeções, limitações e vetos, porque se aplica uma regra que se aplica no processo de legislativo ordinário».
É certo que o processo legislativo ainda está numa fase inicial. A proposta terá agora de ser analisada pelo Parlamento Europeu e pelo Conselho da União Europeia – onde estão representados os Governos nacionais – e daí os juristas duvidarem da aplicação da proposta tal como está, defendendo que será «por certo objeto de longas discussões». E, perante este cenário, entendem que «várias disposições serão provavelmente contestadas».
