El pasado 30 de abril se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.° 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital, el Reglamento eIDAS 2.0, en motivo de lo dispuesto en el artículo 49 del eIDAS de 2014. Las principales novedades son la creación de una Cartera de Identidad Digital Europea y la expansión del listado de servicios de confianza, siendo el más novedoso en materia de identidad digital el de las declaraciones electrónicas de atributos.
1. Caracterización del eIDAS de 2014
El Reglamento eIDAS, desde su origen en 2014, estableció un marco jurídico común para la identificación electrónica y los servicios de confianza en las transacciones electrónicas. Su objetivo fue facilitar la interoperabilidad y la seguridad de los servicios digitales en el mercado único europeo, así como fomentar la confianza de los ciudadanos y las empresas del uso de medios electrónicos.
A tal fin, el Reglamento eIDAS actualizado sigue manteniendo en su estructura dos partes muy diferenciadas. Una que tiene que ver con los sistemas de la gestión de la identidad transfronteriza para garantizar la interoperabilidad en toda la Unión y, por otra parte, los servicios de confianza. Estos últimos son una colección cerrada de servicios públicos que tratan de una visión privatizada de la prueba electrónica: la firma electrónica, el sello electrónico, el sello de tiempo electrónico, los servicios de entrega electrónicos y la autenticación de sitio web. Esto explica por qué los servicios de confianza tienen efectos jurídicos fehacientes, tienen valor probatorio, y, en consecuencia, el régimen jurídico de supervisión, control y de contenido obligatorio de los prestadores sea estricto.
2. Carencias del eIDAS de 2014
El Reglamento eIDAS 2.0 introduce un cambio de foco. Viene a solventar las carencias y limitaciones del Reglamento de 2014 a la vez que presenta un fuerte carácter mercantil y de apertura de mercado. Su eje troncal es una transición de un modelo de reconocimiento de identificaciones electrónicas diferentes hacia un modelo harmonizado. Además, se realiza con la voluntad de que sea más fiable que las identidades que habitualmente se reciben y que se centren en el ciudadano. Que el ciudadano empiece a tener el control sobre sus datos.
Las carencias y limitaciones a las que hace frente la actualización del eIDAS son esencialmente tres. La dificultad del sector privado de acceder a los medios de identificación introducidos por los Estados miembro, la voluntariedad de los Estados miembro de notificar sus sistemas de identificación nacional para su uso transfronterizo, y la dificultad de utilizar dichos sistemas por los ciudadanos.
Lo anterior significa que los Estados miembro se contentaron con que sus sistemas solamente fuesen interoperables para el acceso a servicios públicos de otros Estados, pero bajo la voluntariedad de estos. No existía obligación del Estado de proporcionar a sus ciudadanos un medio de identificación electrónica ni de extender sus efectos fuera de su territorio, de notificarlos, y, por extensión, de reconocer los sistemas de otros Estados, lo que suponía un freno para la cohesión del Mercado Único Digital. En el caso español, el sistema notificado es el DNI, por lo que un ciudadano español puede comunicarse con un ayuntamiento francés utilizando su DNI electrónico. No obstante, para su uso se requiere estar en posesión de un lector criptográfico y de un programa específico para su funcionamiento. Por el contrario, el sistema Cl@ve, que es el más utilizado para las gestiones electrónicas con el sector público, no ha sido notificado, privando a dicho sistema de efectos transfronterizos.
Paralelamente, el marco del eIDAS de 2014 no cubría la provisión de atributos electrónicos, como certificados médicos o calificaciones profesionales, lo que dificultaba garantizar el reconocimiento de estas credenciales en formato electrónico en el ámbito europeo.
3. Objetivos del eIDAS 2.0
El eIDAS 2.0 pretende dar cabida a un cambio de paradigma que haga frente a estas cuestiones y que para el año 2030 todos los ciudadanos de la Unión Europea se encuentren en posesión de una identidad digital fiable, voluntaria y controlada por ellos que les permita controlar sus interacciones en línea. De este modo, se introduce el derecho a poseer una identidad digital que se mantenga bajo el control exclusivo del ciudadano que le permita ejercer sus derechos en entornos digitales y participar en la economía digital.
El marco europeo de identidad digital tiene por finalidad conseguir un cambio que permita pasar de la utilización exclusiva de soluciones nacionales de identidad digital a la provisión de declaraciones electrónicas de atributos que sean válidas y estén legalmente reconocidas en toda la Unión bajo el régimen de servicios de confianza, lo que introduce un modelo de identidad descentralizada.
4. Novedades del eIDAS 2.0
La novedad viene, por un lado, en que el nuevo medio de identificación electrónica que introduce el eIDAS 2.0, la Cartera de Identidad Digital Europea, ya no será una tarjeta que típicamente es el DNI y que tiene un reglamento específico, sino que se deberá dar al ciudadano una cartera de identidad digital que, a partir del DNI electrónico, le permita obtener otro medio diferente de identificación electrónica.
El Reglamento va un paso más allá y no se queda solo en esta identidad legal para acceder a una identidad digital que se pueda autenticar físicamente o a distancia en un entorno doméstico o transfronterizo. Va más allá, y aquí sí que entramos en el mundo de los servicios de confianza. Lo que hace aquí el Reglamento en este caso es básicamente, que con la Cartera o con otros instrumentos, se puedan obtener otros atributos vinculados a la identidad en sentido más amplio. Por ejemplo, que la Universidad pueda expedir un título que técnicamente sería un acto certificante, pero en formato electrónico.
4.1. Declaraciones electrónicas de atributos y libros mayores electrónicos
En consecuencia, el eIDAS 2.0 lleva a la inclusión de un nuevo servicio de confianza, las declaraciones electrónicas de atributos. Estas no son más que documentos electrónicos emitidos y firmados digitalmente por una fuente de confianza y que pueden validarse criptográficamente. Vienen a ser el equivalente electrónico de los actos de certificación y de los actos de constancia que realizan las administraciones públicas y otras entidades, pero de manera armonizada. Un ejemplo de ello es el certificado COVID digital, en el que el QR que se acompañaba contenía la firma de la autoridad de salud correspondiente. Lo que implica esta nueva visión de las declaraciones electrónicas de atributos es la introducción de un modelo de identidad digital descentralizado, donde multitud de operadores puedan emitir credenciales de identidad en sentido amplio bajo el control del ciudadano.
El interés de las declaraciones electrónicas como servicio de confianza viene determinado por la ausencia de competencias de la Comisión Europea para modificar las condiciones de forma del Derecho civil y mercantil de los Estados miembros, por lo que, en lugar de armonizar una teoría paneuropea de los actos certificantes, se crean instituciones jurídicas nuevas con efectos similares a las preexistentes.
Asimismo, la prestación de este servicio va a implicar que aquellos terceros que lo presten puedan acceder a la fuente en que se encuentran los datos, extraerlos y emitir la declaración de atributos. Esto se traduce en la posibilidad de que un tercero acceda a las bases de datos de la Universidad para obtener los datos de la titulación de un estudiante a fin de emitirle la correspondiente declaración. En este escenario, desaparecen parte de las trabas administrativas y la necesidad de la obtención de copias compulsadas de los títulos en papel.
Además, para responder a la dinámica de los mercados y a la evolución tecnológica, el eIDAS 2.0 amplía la lista vigente de servicios de confianza con la prestación de los servicios de archivo electrónico y los libros mayores electrónicos. Estos últimos se plantean como una combinación de sellos de tiempo de los datos y su secuenciación con la certeza de la identidad del creador de los datos, de manera similar a la firma electrónica. Este servicio de confianza introduce el marco legal para dar cabida a las soluciones de las tecnologías de registro distribuido o las cadenas de bloques que puedan utilizarse en casos de uso de la identidad digital.
4.2. La Cartera de Identidad Digital Europea
El eIDAS 2.0 introduce, junto con el nuevo catálogo de servicios de confianza, un nuevo medio de identificación electrónica de obligada emisión por el Estado, pero de uso opcional por el usuario: la Cartera de Identidad Digital Europea. A su vez, este medio de identificación está concebido como contenedor para declaraciones electrónicas de atributos. Esta característica de la Cartera permitirá acreditar a la vez la autenticación y como la posesión de una credencial. En el escenario del Certificado COVID, esta característica de la Cartera habría aunado en una misma comprobación tanto la posesión de la credencial como la identificación.
En contraposición a los medios de identificación del eIDAS de 2014, la Cartera no solo está prevista para que pueda usarse también con el sector privado, sino que además se impone la obligación de aceptarla cuando así lo solicite el usuario en dos grandes supuestos. Primero, cuando en virtud del Derecho de la Unión o por una obligación contractual se requiera una autenticación reforzada de usuario para la identificación en línea, en particular banca y servicios financieros; es decir, utilizar la Cartera para la realización de pagos. Segundo, plataformas en línea de muy gran tamaño conforme al artículo 33 de la DSA; esto es, redes sociales y proveedores de servicios de telecomunicación, cuando exijan la autenticación del usuario para acceder a servicios en línea.
En cuanto a las medidas de privacidad que se introducen para la Cartera, el eIDAS 2.0 introduce en los artículos 5 y 5bis (4.b) el derecho al pseudónimo, de tal modo que pueda crearse por el usuario desde su propia Cartera y mantenerse cifrado en ella. De este modo, el usuario podrá identificarse con terceros utilizando diferentes pseudónimos para cada uno de ellos. Por otra parte, se introduce en el artículo 5bis (4.a) el uso de técnicas de divulgación selectiva, es decir, compartir de una credencial o un conjunto de credenciales únicamente los datos que sean necesarios para una interacción en concreto. Por ejemplo, poder utilizar un pseudónimo para crear una cuenta en una red social y compartir con su prestador el lugar de domicilio a fin de garantizar que se trata de una persona física y que se encuentra afincada en la Unión Europea.
Asimismo, se impone la existencia en la Cartera de un tablero de control que permita realizar seguimientos de las transacciones ejecutadas, de los datos solicitados y datos compartidos junto con la posibilidad de ejercer el derecho de supresión y denunciar ante la autoridad supervisora una solicitud ilícita o sospechosa de datos personales.
5. Reflexiones finales
Sin perjuicio de las medidas de privacidad introducidas en el eIDAS 2.0, otras técnicas que de acuerdo con la Agencia Española de Protección de Datos permiten cumplir en mayor medida los principios de minimización y protección de datos desde el diseño y por defecto del artículo 25 RGPD son las pruebas de conocimiento nulo. Estas son protocolos criptográficos que se mencionan en el Considerando 14 del eIDAS 2.0 que permiten acreditar que un usuario se encuentra en posesión de un dato sin compartir la fuente original. En el caso del Certificado COVID, esto permitiría compartir una prueba criptográfica desde la Cartera que se posee una credencial que acredita que el poseedor se encuentra vacunado y que, en consecuencia, puede entrar en un establecimiento sin que el receptor de los datos vea nunca la credencial ni los datos de identificación, únicamente que la persona en cuestión es la poseedora de esa Cartera y que está vacunada sin llegar a saber siquiera cómo se llama.
Pese a lo anterior, las técnicas de prueba de conocimiento nulo no se desarrollan normativamente en el eIDAS 2.0 y se deja su implementación a los Estados miembro, derivando en una potencial fragmentación del mercado único digital, la falta de interoperabilidad con otros sistemas y la ausencia de efectos transfronterizos. Así pues, este tipo de mecanismos son los que se tendrán que abordar en la próxima revisión prevista en el artículo 49 del eIDAS 2.0 a más tardar el 21 de mayo de 2026.
6. Conclusiones
El Reglamento eIDAS 2.0 introduce la confianza para usar los nuevos servicios que se crean, que son la Cartera de Identidad Digital Europea, las declaraciones electrónicas de atributos y los libros mayores electrónicos. Asimismo, se crean dos nuevos derechos: el derecho a la identidad digital y el derecho al pseudónimo.
El nuevo marco de la identidad digital de la Unión Europea está llamado a reforzar el mercado único digital y a compatibilizar innovaciones digitales que se encuentran presentes en la sociedad, pero que carecen del sustento normativo básico para su desarrollo.
Pese a los grandes avances en materia de privacidad, evidenciados por el derecho al pseudónimo y el uso de técnicas de divulgación selectiva, hace falta poner en conexión el catálogo actualizado de servicios de confianza y la Cartera con las pruebas de conocimiento nulo, para que vía interpretativa y de normalización técnica, este tipo de herramientas tengan validez legal en todo el territorio de la Unión.
La tensión entre privacidad y seguridad es un falso debate, causado por la ausencia de un régimen que permita conciliar privacidad y seguridad, liberalización del mercado y seguridad pública con tecnologías que se encuentran ya en la sociedad. A su vez, un régimen adecuado de las pruebas de conocimiento nulo permitiría dar respuesta a problemáticas como la aparente contradicción entre el RGPD y las cadenas de bloques que permitan consolidar la transición de un modelo en que no se comparten datos sino pruebas de su existencia.
Raül Ramos Fernández