eIDAS 2 ya está aquí. Con la aprobación en el Parlamento Europeo (jueves, 29 de febrero de 2024) de la modificación del REGLAMENTO (UE) N o 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE se da el pistoletazo de salida a la aplicación de los ambiciosos cambios que la UE pretende abordar en materia de identidad digital, firma electrónica y servicios de confianza en general y dirigidos, especialmente, a garantizar el derecho de todos los ciudadanos europeos a relacionarse con las instituciones, corporaciones privadas y los propios conciudadanos por medios electrónicos con el máximo respeto a la privacidad de sus datos.
El camino para llegar a este importante hito no ha sido fácil desde que hace ya 2 años y medio, el 3 de junio de 2021, se publicase el primer borrador de los cambios normativos anunciados por la presidenta de la Comisión Europea, Ursula von der Leyen. Desde entonces se han publicado varias versiones con relevantes cambios sobre el texto inicial y se ha avanzado en la aplicación práctica de la norma con el desarrollo del denominado Toolbox que incluye la arquitectura técnica y un marco de referencia (ARF), aun en borrador.
Pero el camino no ha hecho más que empezar, por delante nos quedan meses de trabajo en los cuales se deberán acabar de desarrollar las normas complementarias, actos de ejecución y estándares técnicos que permitan la efectiva aplicación de la norma y su adopción por parte de los principales agentes implicados: prestadores de servicios de confianza, administraciones públicas y usuarios.
En este artículo intentaremos desgranar las principales novedades del nuevo eIDAS2, con especial foco en el nuevo wallet de identidad (EUDI Wallet) y cómo estos cambios nos afectarán de una manera práctica.
¿Qué hay de nuevo en eIDAS 2?
Es evidente que todos los focos del renovado reglamento están puestos sobre las novedosas carteras europeas de identidad digital (EUDIW o simplemente wallets de identidad) y todo el ecosistema que lleva aparejado, desde la creación de nuevos servicios de confianza, hasta la aparición de conceptos novedosos como las denominadas declaraciones electrónicas de atributos o las fuentes auténticas, por lo que más adelante entraremos en todos los detalles relevantes, pero, además, eIDAS2 incluye novedades importantes que también deben tenerse en cuenta, entre ellas:
- La creación de nuevos servicios electrónicos de confianza. A los actuales servicios de confianza (creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada, certificados para la autenticación de sitios web y la preservación de firmas, sellos o certificados electrónicos) se le unen la gestión de dispositivos de creación de firma o sellos electrónicos a distancia, la expedición y validación de declaraciones electrónicas de atributos, el archivo electrónico de datos y documentos electrónicos y la actividad de registro de datos electrónicos en un libro mayor electrónico.
- Se endurecen los requerimientos para prestadores no cualificados, que deberán contar con políticas y manejar las medidas necesarias para minimizar los riesgos legales, de negocio y operacionales y estarán sujetos a un régimen de responsabilidad similar al de los prestadores cualificados.
- Endurecimiento del régimen sancionador.
- Se introduce el concepto de “firma electrónica avanzada basada en certificados cualificados” y se establecen las reglas para su validación.
- Se promueve la estandarización futura de la “firma electrónica avanzada”.
- Se prevé la creación de un marco de interoperabilidad para los servicios de entrega cualificada.
- Se establece la obligación de los navegadores de aceptar los certificados web cualificados.
- Se crea un nuevo marco de supervisión de los wallets y usuarios.
- Se crea el European Digital Identity Cooperation Group (EDICG) compuesto por representantes de cada estado miembro para cooperar, dar seguimiento y avanzar en todo lo que respecte al wallet, la identidad digital y los servicios de confianza.
El wallet de identidad
Como ya habíamos avanzado, la cartera europea de identidad digital es la piedra angular sobre la que se sustenta esta importante reforma, pero ¿qué es realmente este wallet? Según la definición dada por el propio texto legal, la cartera de identidad es un
¨medio de identificación electrónica que permite al usuario almacenar, gestionar y validar de forma segura datos de identificación de la persona y declaraciones electrónicas de atributos con el fin de proporcionarlos a las partes usuarias y a otros usuarios de carteras europeas de identidad digital, así como firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados¨.
De forma resumida, los wallet de identidad serán APPs (aunque teóricamente no se restringe su uso en móviles) que todos los europeos como personas físicas o jurídicas tendremos derecho, pero no obligación de usar y que nos permitirán:
- Identificarnos ante las denominadas “partes usuarias” y otros usuarios.
- Demostrar ciertos atributos vinculados a nuestra identidad como titulaciones académicas o profesionales, permisos o autorizaciones o cualquier cualidad o capacidad del titular mediante declaraciones electrónicas de atributos.
- Producir firmas electrónicas cualificadas.
Para cumplir con los usos genéricos que hemos enumerado anteriormente, las carteras estarán dotadas de una serie de funcionalidades básicas, entre las que se encuentran:
- Solicitar, obtener, seleccionar, combinar, almacenar, eliminar, compartir y presentar datos de identificación de la persona y declaraciones electrónicas de atributos.
- Permitir que la información anterior se presente de forma selectiva.
- Permitir el uso de pseudónimos.
- Permitir su uso on-line y offline.
- Interactuar con wallets de otros ciudadanos.
- Producir firma cualificada gratuita (potencialmente limitada a personas físicas y uso no profesional).
Además, como destacábamos al comienzo del artículo, la finalidad última de este nuevo modelo de identidad es garantizar la privacidad de los ciudadanos, por lo que se establecen numerosas salvaguardas tendentes a permitir su cumplimiento efectivo, como son:
- La obligación de registro previo de las partes usuarias.
- La posibilidad de poder ver en el propio wallet los logs de todos los accesos llevados a cabo por las partes usuarias, solicitarles el borrado de datos y pudiendo interponer denuncia ante las agencias de protección de datos.
- Posibilidad de exportar los datos para ejercer el derecho de portabilidad.
- Uso de pseudónimos y aportación selectiva de datos.
- Garantía de no trazabilidad del uso del wallet por los proveedores del wallet ni por los emisores de declaraciones electrónicas de atributos.
- Los prestadores no podrán cruzar los datos obtenidos para la provisión del wallet o las declaraciones de atributos correspondientes con los datos obtenidos de otros servicios prestados al usuario.
¿Quién proveerá estas carteras de identidad y en qué plazo estarán?
El reglamento prevé que estas nuevas carteras de identidad podrán proveerse por los estados miembros siguiendo estas tres opciones:
a) directamente por un Estado miembro;
b) con arreglo a un mandato de un Estado miembro;
c) de manera independiente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.
Sea cual sea el modelo elegido por cada estado miembro de entre las anteriores opciones, deberán proporcionar al menos una cartera europea de identidad digital en los veinticuatro meses siguientes a la entrada en vigor de los actos de ejecución, lo cual podría extender su aplicación efectiva hasta los 30 meses desde la publicación de la norma.
Con independencia del modelo adoptado, se establecen premisas básicas que todos los proveedores deberán cumplir: se proporcionarán gratuitamente al ciudadano, con un sistema de identificación electrónica con nivel de seguridad alto y bajo licencia de código abierto (salvo determinadas funciones restringidas por motivos de seguridad).
El ecosistema alrededor de los wallets de identidad
De forma satelital, al wallet se crea todo un ecosistema vinculado a su provisión y uso, en el cual se identifican los siguientes roles:
- Usuario o titular del wallet. Es la persona física o jurídica respecto a la cual se presume la tenencia y uso exclusivo del wallet. Como se ha mencionado anteriormente, el uso del wallet se perfila como un derecho del ciudadano al que en ningún caso se le podrá imponer su uso ni discriminar por no hacer uso de este. En determinadas circunstancias, el usuario del wallet también podrá actuar como verificador de la identidad o atributos contenidos en otro wallet bajo un modelo de “peer to peer”.
- Proveedor del wallet. Ya hemos visto que existen diferentes opciones para su emisión, pero en todo caso, la entidad que lo provea deberá hacerse cargo del proceso de onboarding que incluirá, al menos (1) su solicitud y registro, (2) la comprobación y verificación de la identidad del ciudadano y, (3) la emisión, entrega y activación de la cartera y la información de identidad de la persona, también denominada “Personal Identification Data” (PID), que vienen a ser los datos básicos del ciudadano, equivalentes, con matices, a los recogidos en los documentos de identidad nacionales. Además de su emisión, las entidades designadas también serán responsables de su mantenimiento y de su ciclo de vida, incluyendo su renovación revocación en su caso.
- Fuente auténtica: el repositorio o sistema, mantenido bajo la responsabilidad de un organismo del sector público o de una entidad privada, que contiene y proporciona atributos acerca de una persona física o jurídica, o de un objeto, y que se considera una fuente principal de dicha información, o que está reconocido como auténtico de conformidad con el Derecho de la Unión o nacional, incluidas las prácticas administrativas.
- Emisores de declaraciones electrónicas de atributos: son las entidades encargadas de atestiguar la posesión por parte de su titular de una determinada cualidad, capacidad o permiso vinculado a su identidad. Estas declaraciones podrán ser cualificadas o no y podrán actuar como emisores las propias entidades públicas responsables o delegadas por el responsable de la fuente auténtica del dato o bien, siguiendo el modelo clásico de eIDAS, un prestador de servicios de confianza habilitado al efecto para la emisión de declaraciones electrónicas de atributos.
- Partes usuarias: son aquellas entidades que interactúan con las carteras de identidad para solicitar información de su titular relativa a su identidad o atributos específicos. Estas partes usuarias deberán estar previamente dadas de alta en un registro público y no podrán solicitar más información que la declarada en este registro. En determinados casos, para los prestadores de servicios de los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, las telecomunicaciones o la educación se obligará a la aceptación del uso de las carteras cuando normativa o contractualmente se requiera una autenticación reforzada de usuario para la identificación en línea, así como a las denominadas “plataformas en línea de muy gran tamaño” en sus procesos de autenticación de usuarios.
- Otros roles dentro del ecosistema: además de los roles principales enumerados previamente, existen otros agentes dentro de este engranaje que desempeñan funciones de gran relevancia como los organismos de estandarización, los organismos de evaluación de conformidad (CABs), los organismos de supervisión, fabricantes de dispositivos, …
Cómo afectará el nuevo modelo de identidad en mi día a día. Ejemplos prácticos
Las carteras de identidad europeas marcarán un antes y un después en la forma en que nos identificamos los europeos y creará un precedente que a buen seguro se replicará en otros ordenamientos jurídicos.
Cuando todo el ecosistema de confianza esté disponible, los ciudadanos europeos podremos relacionarnos electrónicamente con proveedores de productos y servicios públicos y privados de forma sencilla y, lo que es más importante, con plenas garantías de seguridad y privacidad.
Algunos de los ejemplos de uso más relevantes de nuestro wallet podrían ser:
- La autenticación de los ciudadanos y la realización de trámites con las Administraciones Públicas.
- El acceso a grandes plataformas electrónicas (más de 45 millones de usuarios).
- Obtención y presentación de títulos universitarios y otros certificados académicos.
- Permiso de conducir electrónico.
- Obtención y presentación de certificados por parte de entidades públicas y privadas (como entidades financieras o sanitarias).
- Obtención y presentación de documentos de viaje.
- Certificación de poderes de representación.
- Verificación de edad para el acceso a determinados servicios en línea.
- …
La lista de posibles usos es casi infinita y permite la creación de circuitos de identificación y autenticación muy interesantes y complejos de ejecutar con las tecnologías actuales.
Por ejemplo, podremos formalizar el alquiler de un coche únicamente con nuestro wallet aportando los datos (declaraciones electrónicas de atributos) estrictamente necesarias: nombre, edad, tipo de permiso de conducir, vigencia, ... y, al finalizar el proceso de validación como parte usuaria, se puede proceder a la firma del contrato e incluso la agencia de alquiler puede emitir su propia credencial al usuario habilitándole, en el punto de recogida a retirar el vehículo asignado sin necesidad de esperas ni más trámites.
Es importante destacar que, a pesar de que los casos de uso que actualmente tenemos en la cabeza son los que tienen una mayor relevancia jurídica (trámites administrativos, titulaciones académicas, …) el modelo permite y será de gran utilidad en trámites más cotidianos. Como la emisión de títulos de transporte, eventos culturales y deportivos, carnets de socios, tarjetas de fidelización, …
Otro de los puntos fuertes lo encontramos en la posibilidad de usar el mismo mecanismo de autenticación para entornos online y offline. En el ejemplo anterior veíamos cómo podíamos compartir nuestros datos con la agencia de alquiler de vehículos, pero esto mismo lo podremos hacer de forma presencial en las propias oficinas de la agencia o ante un agente de tráfico en caso de ser requerido.
Por último, debemos destacar las mejoras en cuanto a la privacidad de nuestros datos, especialmente en lo referente al principio de minimización de datos. Hasta ahora, cuando se nos requiere demostrar nuestra identidad, habitualmente lo hacemos aportando documentos oficiales que contienen en sí mismos una gran cantidad de datos (nombre, dirección completa, fecha de nacimiento, sexo, lugar de nacimiento, número de identidad, …) cuando en la mayoría de los casos lo único que necesitamos demostrar es, por ejemplo, que somos mayores de edad para comprar una cajetilla de tabaco, que residimos en una localidad para recibir una subvención o que pertenezco a una familia numerosa para obtener un descuento. Gracias a las tecnologías de aportación selectiva (selective disclosure) incluidas en la normativa o incluso tecnologías más avanzadas de prueba de conocimiento cero (ZKP – Zero Knowledge Proof) podemos garantizar este derecho de forma efectiva.
¿Cuáles son los siguientes pasos? ¿Se puede aplicar el nuevo modelo ya?
Una vez aprobada la modificación por el parlamento europeo, el nuevo texto deberá ser aprobado formalmente por el Consejo de Ministros de la UE y publicado en los diarios oficiales y a partir de ese momento empieza la carrera para la aprobación de la normativa complementaria y los actos de ejecución con diferentes mandatos temporales (generalmente seis o doce meses desde la publicación de la reforma). El periodo más largo es el relativo al plazo máximo para la provisión de los diferentes wallets que puede llegar a alargarse hasta 30 meses desde la publicación de la norma, pero que podrían llegar a estar disponibles en poco más de un año a voluntad de los estados miembros.
Entre tanto, continua la carrera contra reloj para que todo esté a punto: desarrollo de los estándares técnicos necesarios por parte de los organismos de normalización, publicación del Framework final y del wallet de referencia, desarrollo y análisis de resultados de los pilotos de europeos (Large Scale Pilots), pruebas de interoperabilidad, auditorías, publicación de listas de confianza, …
La buena noticia es que, desde Validated ID, llevamos años trabajando en esta tecnología, por lo que, a pesar de que nos esperan años de trabajo para seguir adaptando nuestros servicios a la evolución de los estándares, a día de hoy tenemos todos los componentes tecnológicos necesarios que permiten, desde ya, empezar a disfrutar de la mayor parte de los beneficios que aporta este nuevo modelo de identidad. Disponemos de uno de los wallets de identidad más avanzados y uno de los primeros en superar las pruebas de conformidad de EBSI, un completo portal de emisión de credenciales (declaraciones electrónicas de atributos), un conector OpenID y una API Rest para facilitar la integración.