Próximos eventos

Adaptando Cloud con Ciberseguridad, 7 de marzo (evento presencial)

gestion de identidades identidad digital

El camino europeo hacia la identidad digital de sus ciudadanos: eIDAS-2

El desarrollo de servicios de confianza para las transacciones electrónicas en el mercado interior de la Unión Europea se ha convertido en una necesidad que ha pasado por no pocos problemas y vicisitudes.

Punto de partida: eIDAS En julio de 2014 se publicó un reglamento europeo, conocido bajo las siglas eIDAS, que establecía el marco de actuación para el desarrollo de transacción electrónicas transnacionales. Dicho reglamento fue aprobado en 2016 y posteriormente asumido como de obligado cumplimiento por los Estados europeos a partir de 2018.

Desde entonces, los miembros de la Unión han ido estableciendo mecanismos de identificación electrónica que fueran mutuamente reconocibles cuando se utilizaban fuera de sus respectivos ámbitos nacionales de actuación y siempre dentro del mercado interior europeo.

Los primeros servicios de confianza en los que se fijaron los términos de intercambio fueron la firma electrónica (eSignature) para que tuvieran el mismo efecto legal que las firmas escritas a mano; el sello electrónico (eSeal) que garantizaba el origen y la integridad de un documento; la marca electrónica de tiempo (eTimestamp) que podía utilizarse como prueba de que un documento existía en un preciso momento; los certificados de autenticación de sitios web (WAC) que se encargaban de asegurar que un sitio web estaba vinculado a un persona a la que se expediría un certificado; y finalmente, los servicios de Entrega Registrada Electrónica (eDelivery), cuya utilidad recaía en servir de prueba de envío y entrega de cualquier documento.

Interoperabilidad electrónica europea

Todos estos servicios, en general, perseguían facilitar las gestiones comerciales dentro de la Unión Europea a través de unos modelos transaccionales perfectamente definidos y globalmente aceptados por los 27 Estados miembros de la UE.

Sin embargo, la realidad ha sido menos idílica que la teoría. Apenas 15 países han adoptado plenamente este reglamento y poco más del 58% de la población se ha visto beneficiada por su aplicación si se tiene en cuenta que persisten diferencias de criterios en lo que respecta a la confianza entre los miembros de la UE, así como en los requisitos que deben cumplir para que puedan aceptarse, por ejemplo, como pruebas dentro de un procedimiento judicial.

El papel del ciudadano: eIDAS-2

El éxito relativo de la iniciativa, sin embargo, no ha desmotivado a los miembros de la Unión que, en un cambio ya decidido, presentaron en 2020 una nueva propuesta para actualizar aquel reglamento incluyendo nuevos servicios relacionados más directamente con el ciudadano. Es lo que se conoce como eIDAS-2.

Esta segunda versión del Reglamento eIDAS, aún en desarrollo, aspira a promover el derecho de cualquier ciudadano a contar con una identidad digital que sea reconocida en cualquier lugar de la Unión Europea. Repetimos la frase por su importancia: una identidad digital que sea reconocida en cualquier lugar de la Unión.

La idea no es en absoluto menor. Cuando acabe de materializarse, los ciudadanos podrán compartir de forma segura datos personales básicos, como nombre, apellidos o el DNI/NIE/pasaporte. También se podrá intercambiar información de otros “atributos” relevantes para un ciudadano como es su carnet de conducir, sus datos médicos o la información de sus cuentas bancarias. Todo un conjunto de datos que efectivamente presentarán a cualquier persona como un ciudadano perfectamente reconocible para cualquier Estado europeo.

De esta forma, por ejemplo, solicitar la apertura de una cuenta bancaria, alquilar un coche o acceder a los datos de salud bajo el control del titular, serán servicios de acceso inmediato cuando sean necesarios en un Estado europeo distinto al de residencia del propietario.

Wallet de identidad digital

Para conseguirlo se ha definido el concepto de “European Digital Identity Wallets” (carteras digitales de identidad europea), cuya disponibilidad podrá hacerse real a través de aplicaciones para teléfonos móviles que deberán estar debidamente protegidas.

Pese a que aún no ha acabado de formalizarse, la Comisión Europea ha lanzado ya cuatro proyectos piloto que persiguen demostrar la viabilidad de su arquitectura de referencia (ARF). Actualmente participan más de 250 empresas privadas y autoridades públicas de 25 Estados miembros junto con Noruega, Islandia y Ucrania.

Entre los casos de uso que se exploran se incluye el acceso a los servicios públicos; la apertura de una cuenta bancaria; el registro de SIM; las licencias para conducir vehículos; la firma de contratos; la solicitud de recetas; la información de documentos de viaje; las pruebas de representación legítima de una organización; la verificación de la identidad de un usuario al iniciar un pago en línea; la posesión de títulos académicos; o el acceso a los beneficios de seguros sociales.

Se ha definido el concepto de carteras digitales de identidad europea cuya disponibilidad podrá hacerse real a través de aplicaciones para teléfonos móviles que deberán estar protegidas

La lista es suficientemente amplia como para servir de sólido banco de pruebas. Solo en España los pilotos que se evaluarán incluyen la integración dentro de Wallet del permiso de conducir; los servicios de receta electrónica, las credenciales digitales para viajar o el acceso a títulos educativos y cualificaciones profesionales.

Pilares para el éxito

El horizonte muestra que nos dirigimos hacía una redefinición de la identidad tal y como la conocemos. Se trata de un nuevo modelo de identidad orientado al ciudadano, donde privacidad y la soberanía sobre la información personal resultan claves.

Sin embargo, el desarrollo de este nuevo modelo de identidad requiere aún de mucho trabajo. Un trabajo que debe centrarse al menos en tres pilares básicos:

  • La seguridad y la privacidad como principal consideración. Cualquier solución que acabe por definirse deberá ser capaz de mostrar la información que el ciudadano necesite o quiera compartir para un determinado objetivo sin tener que divulgar ningún dato no requerido. Por ejemplo, un ciudadano podrá demostrar que es mayor de 18 años sin tener que mostrar la fecha de su nacimiento.
  • Interoperabilidad y consistencia. Pese a que los 27 estados podrán desarrollar sus propias Wallets de identidad, todas ellas han de ser interoperables y aceptables en cualquier país.
  • Usabilidad e inclusividad. El uso de Wallets de Identidad ha de ser voluntaria y gratuita por parte de los ciudadanos que podrán elegir cuándo y cómo emplearla. De cualquier forma, la Comisión tiene como objetivo que en 2030 más del 80% de los ciudadanos tengan una cartera digital que utilicen habitualmente.

Miedo al fracaso

De no cumplir estos criterios es muy posible que el modelo se vea en riesgo de fracaso. De ahí su importancia. Entre las razones para ese fracaso estarían:

  • Inseguridad percibida. Puesto que las Wallet contendrán potencialmente datos personales importantes, las aplicaciones han de ser percibidas por los ciudadanos como seguras. Si no es así, dejarán de utilizarse. El ciudadano debe percibir que perder o inutilizar el dispositivo donde se almacena su Wallet no suponga un riesgo para los datos almacenados.
  • Vigilancia y trazabilidad. En ningún caso, el ciudadano deseará sentirse vigilado y mucho menos seguido en sus actividades. Este es un aspecto fundamental que ya que la identificación univoca de un ciudadano a menudo está asociada a la asignación de un número único de identificación europea que, aunque algunos países se niegan a adoptar, puede conducir a esa trazabilidad.
  • Madurez tecnológica y simplicidad de la solución. Algo fundamental si se pretende que sea adoptado de forma masiva por los ciudadanos. La estandarización de aplicaciones y su resiliencia resultarán clave para su uso cotidiano.
  • Compatibilidad con las regulaciones existentes, en particular con el RGPD. Será indispensable que la reglamentación no presente inconsistencias o contradicciones con otras regulaciones europeas y nacionales y que lleven al uso y abuso de los datos.

En definitiva, con EIDAS-2 el ciudadano ha de ser autónomo para decidir qué datos proporcionar y a quién dar autoridad para consultarlos en caso de solicitud por parte de un tercero.

Pero no todo se quedará ahí. El ciudadano además deberá ser capaz de recuperar de forma completa el listado de todos aquellos actores a los que ha autorizado para la consulta de los datos y llegado el caso podrá retirar esa autorización de forma individual o colectiva en función de sus propias decisiones soberanas.

Asimismo, ha de sentirse protegido frente a posibles usos ilícitos o no autorizados de sus datos, amparado en mecanismos de trazabilidad seguros y contrastados, pero no por ello intrusivos en su privacidad.

Con estas potestades, y con sus correspondientes legislaciones de privacidad, es muy posible que el ciudadano finalmente decida participar de este proceso de digitalización de su identidad. El tiempo dirá.

Por Juanjo Galán, Business Strategy de All4Sec

Deja un comentario

Scroll al inicio