Autor: Héctor Benítez, Head of Business & Solutions Compliance de CAMERFIRMA
El 1 de julio de 2016 entró en vigor el Reglamento (UE) No 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la Identificación Electrónica y los Servicios de Confianza para las transacciones electrónicas en el mercado interior (conocido como Reglamento eIDAS), que creó un marco común europeo para la identificación, autenticación y firma electrónicas y que es posiblemente la normativa más avanzada del mundo en cuanto a las herramientas que permiten la confianza digital. Se ocupa de los instrumentos de identidad electrónica (firmas, sellos electrónicos y de tiempo y entrega electrónica), estableciendo diferentes niveles de seguridad. El bajo y medio reúnen instrumentos electrónicos que pueden ser emitidos por cualquier proveedor de servicios mientras que el más alto está reservado a entidades particulares: proveedores de servicios de confianza cualificados, como Camerfirma.
De este modo, el legislador ha creado instrumentos técnicamente y jurídicamente más seguros para satisfacer las necesidades de los mercados más regulados, como el bancario o de riesgo. Junto con otras normativas importantes como la GPDR y la Directiva de Protección del Consumidor, han permitido el desarrollo de un mercado digital masivo seguro y fiable. Sin embargo, en 8 años, la tecnología y el uso que hacen de ella los usuarios han cambiado considerablemente. Por ello, la Comisión Europea se propuso definir un nuevo perímetro jurídico y técnico acorde con los tiempos, centrando su atención en la soberanía de los datos, que debe ser devuelta al propio usuario, a través de aplicaciones seguras. Así, presentó en junio de 2021 una propuesta de revisión con algunos puntos fundamentales: una cartera digital de confianza como base, emitida bajo un esquema auditado, que se pueda utilizar online y offline para acceder a servicios públicos y privados, con información de identidad y otros atributos de confianza y con control total por parte del propietario de la divulgación de sus datos.
Hasta ahora, nuestra identidad digital ha sido tratada de forma centralizada (al querer demostrar la identidad propia hay que llamar al emisor y pedirle que utilice las credenciales) o, como mucho, federada. El concepto de Identidad Soberana (SSI), en cambio, permite una identidad digital verdaderamente propia del usuario: una vez emitida por el emisor, la identidad digital se entrega al usuario, que puede mostrarla al verificador a voluntad, sin tener que autenticarse en los sistemas del emisor. Tecnológicamente, esta actividad se realiza a través de carteras digitales y sistemas de identidad descentralizados.
A nivel europeo, el concepto de identidad digital ha sido explorado tanto por la legislación europea, como por las nacionales, como el DNI electrónico de España. El enfoque de la UE ha sido centralizado, hasta la revisión del eIDAS. El enfoque moderno de la SSI requiere una infraestructura descentralizada; por eso, en 2018, los Estados miembros y la Comisión crearon la Infraestructura Europea de Servicios de Blockchain (EBSI), con el fin de estudiar y construir una infraestructura europea de blockchain sobre la que se puedan construir aplicaciones descentralizadas.
El lado práctico de este enfoque son los monederos digitales, herramienta prevista por el nuevo reglamento para la gestión de las identidades digitales, que introduce tres conceptos: la cartera digital, los atributos y el registro cualificado. La cartera será emitida por un (o varios) proveedor de servicios digitales dentro de cada estado miembro y reconocido por este (permite utilizar diferentes carteras, compartiendo la seguridad de una certificación) y tendrán que cumplir ciertas normas definidas por la Comisión. Con respecto a los atributos, las credenciales, se ha prestado gran atención a la protección de los datos personales. Por último, el concepto de registro cualificado permite desarrollar una infraestructura segura, auditable y legalmente relevante sobre la que gestionar las solicitudes y transacciones de los monederos y los usuarios. Hay ejemplos de proyectos que anticipan la normativa, como la Fundación DizmeID, a través de la app DIZME, que ha introducido la creación e intercambio de credenciales que pueden utilizarse con una cartera o wallet.
Lo que sí es claro es que la revisión del reglamento eIDAS, con un fuerte enfoque en el cartera digital, redefinirá la forma de uso de la identidad digital -y de permiso de acceso a sus datos- en un contexto en el que las personas se convertirán en las verdaderas gestoras de su yo digital.
