{"id":599,"date":"2024-05-27T11:39:22","date_gmt":"2024-05-27T09:39:22","guid":{"rendered":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/?p=599"},"modified":"2024-05-27T11:39:22","modified_gmt":"2024-05-27T09:39:22","slug":"consideraciones-en-materia-de-privacidad-del-reglamento-europeo-de-identificacion-electronica-eidas-2-0","status":"publish","type":"post","link":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/2024\/05\/27\/consideraciones-en-materia-de-privacidad-del-reglamento-europeo-de-identificacion-electronica-eidas-2-0\/","title":{"rendered":"Consideraciones en materia de privacidad del Reglamento europeo de identificaci\u00f3n electr\u00f3nica eIDAS 2.0"},"content":{"rendered":"\n

El pasado 30 de abril se public\u00f3 en el Diario Oficial de la Uni\u00f3n Europea el Reglamento (UE) 2024\/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.\u00b0 910\/2014 en lo que respecta al establecimiento del marco europeo de identidad digital<\/a>, el Reglamento eIDAS 2.0, en motivo de lo dispuesto en el art\u00edculo 49 del eIDAS de 2014<\/a>. Las principales novedades son la creaci\u00f3n de una Cartera de Identidad Digital Europea y la expansi\u00f3n del listado de servicios de confianza, siendo el m\u00e1s novedoso en materia de identidad digital el de las declaraciones electr\u00f3nicas de atributos.<\/p>\n\n\n\n

1.      Caracterizaci\u00f3n del eIDAS de 2014<\/h2>\n\n\n\n

El Reglamento eIDAS, desde su origen en 2014, estableci\u00f3 un marco jur\u00eddico com\u00fan para la identificaci\u00f3n electr\u00f3nica y los servicios de confianza en las transacciones electr\u00f3nicas. Su objetivo fue facilitar la interoperabilidad y la seguridad de los servicios digitales en el mercado \u00fanico europeo, as\u00ed como fomentar la confianza de los ciudadanos y las empresas del uso de medios electr\u00f3nicos.  <\/p>\n\n\n\n

A tal fin, el Reglamento eIDAS actualizado sigue manteniendo en su estructura dos partes muy diferenciadas. Una que tiene que ver con los sistemas de la gesti\u00f3n de la identidad transfronteriza para garantizar la interoperabilidad en toda la Uni\u00f3n y, por otra parte, los servicios de confianza. Estos \u00faltimos son una colecci\u00f3n cerrada de servicios p\u00fablicos que tratan de una visi\u00f3n privatizada de la prueba electr\u00f3nica: la firma electr\u00f3nica, el sello electr\u00f3nico, el sello de tiempo electr\u00f3nico, los servicios de entrega electr\u00f3nicos y la autenticaci\u00f3n de sitio web. Esto explica por qu\u00e9 los servicios de confianza tienen efectos jur\u00eddicos fehacientes, tienen valor probatorio, y, en consecuencia, el r\u00e9gimen jur\u00eddico de supervisi\u00f3n, control y de contenido obligatorio de los prestadores sea estricto.<\/p>\n\n\n\n

2.      Carencias del eIDAS de 2014<\/h2>\n\n\n\n

El Reglamento eIDAS 2.0 introduce un cambio de foco. Viene a solventar las carencias y limitaciones del Reglamento de 2014 a la vez que presenta un fuerte car\u00e1cter mercantil y de apertura de mercado. Su eje troncal es una transici\u00f3n de un modelo de reconocimiento de identificaciones electr\u00f3nicas diferentes hacia un modelo harmonizado. Adem\u00e1s, se realiza con la voluntad de que sea m\u00e1s fiable que las identidades que habitualmente se reciben y que se centren en el ciudadano. Que el ciudadano empiece a tener el control sobre sus datos.<\/p>\n\n\n\n

Las carencias y limitaciones a las que hace frente la actualizaci\u00f3n del eIDAS son esencialmente tres. La dificultad del sector privado de acceder a los medios de identificaci\u00f3n introducidos por los Estados miembro, la voluntariedad de los Estados miembro de notificar sus sistemas de identificaci\u00f3n nacional para su uso transfronterizo, y la dificultad de utilizar dichos sistemas por los ciudadanos.<\/p>\n\n\n\n

Lo anterior significa que los Estados miembro se contentaron con que sus sistemas solamente fuesen interoperables para el acceso a servicios p\u00fablicos de otros Estados, pero bajo la voluntariedad de estos. No exist\u00eda obligaci\u00f3n del Estado de proporcionar a sus ciudadanos un medio de identificaci\u00f3n electr\u00f3nica ni de extender sus efectos fuera de su territorio, de notificarlos, y, por extensi\u00f3n, de reconocer los sistemas de otros Estados, lo que supon\u00eda un freno para la cohesi\u00f3n del Mercado \u00danico Digital. En el caso espa\u00f1ol, el sistema notificado es el DNI, por lo que un ciudadano espa\u00f1ol puede comunicarse con un ayuntamiento franc\u00e9s utilizando su DNI electr\u00f3nico. No obstante, para su uso se requiere estar en posesi\u00f3n de un lector criptogr\u00e1fico y de un programa espec\u00edfico para su funcionamiento. Por el contrario, el sistema Cl@ve, que es el m\u00e1s utilizado para las gestiones electr\u00f3nicas con el sector p\u00fablico, no ha sido notificado, privando a dicho sistema de efectos transfronterizos.<\/p>\n\n\n\n

Paralelamente, el marco del eIDAS de 2014 no cubr\u00eda la provisi\u00f3n de atributos electr\u00f3nicos, como certificados m\u00e9dicos o calificaciones profesionales, lo que dificultaba garantizar el reconocimiento de estas credenciales en formato electr\u00f3nico en el \u00e1mbito europeo.<\/p>\n\n\n\n

3.      Objetivos del eIDAS 2.0<\/h2>\n\n\n\n

El eIDAS 2.0 pretende dar cabida a un cambio de paradigma que haga frente a estas cuestiones y que para el a\u00f1o 2030 todos los ciudadanos de la Uni\u00f3n Europea se encuentren en posesi\u00f3n de una identidad digital fiable, voluntaria y controlada por ellos que les permita controlar sus interacciones en l\u00ednea. De este modo, se introduce el derecho a poseer una identidad digital que se mantenga bajo el control exclusivo del ciudadano que le permita ejercer sus derechos en entornos digitales y participar en la econom\u00eda digital.<\/p>\n\n\n\n

El marco europeo de identidad digital tiene por finalidad conseguir un cambio que permita pasar de la utilizaci\u00f3n exclusiva de soluciones nacionales de identidad digital a la provisi\u00f3n de declaraciones electr\u00f3nicas de atributos que sean v\u00e1lidas y est\u00e9n legalmente reconocidas en toda la Uni\u00f3n bajo el r\u00e9gimen de servicios de confianza, lo que introduce un modelo de identidad descentralizada.<\/p>\n\n\n\n

4.      Novedades del eIDAS 2.0<\/h2>\n\n\n\n

La novedad viene, por un lado, en que el nuevo medio de identificaci\u00f3n electr\u00f3nica que introduce el eIDAS 2.0, la Cartera de Identidad Digital Europea, ya no ser\u00e1 una tarjeta que t\u00edpicamente es el DNI y que tiene un reglamento espec\u00edfico, sino que se deber\u00e1 dar al ciudadano una cartera de identidad digital que, a partir del DNI electr\u00f3nico, le permita obtener otro medio diferente de identificaci\u00f3n electr\u00f3nica.<\/p>\n\n\n\n


El Reglamento va un paso m\u00e1s all\u00e1 y no se queda solo en esta identidad legal para acceder a una identidad digital que se pueda autenticar f\u00edsicamente o a distancia en un entorno dom\u00e9stico o transfronterizo. Va m\u00e1s all\u00e1, y aqu\u00ed s\u00ed que entramos en el mundo de los servicios de confianza. Lo que hace aqu\u00ed el Reglamento en este caso es b\u00e1sicamente, que con la Cartera o con otros instrumentos, se puedan obtener otros atributos vinculados a la identidad en sentido m\u00e1s amplio. Por ejemplo, que la Universidad pueda expedir un t\u00edtulo que t\u00e9cnicamente ser\u00eda un acto certificante, pero en formato electr\u00f3nico.<\/p>\n\n\n\n

4.1. Declaraciones electr\u00f3nicas de atributos y libros mayores electr\u00f3nicos<\/h3>\n\n\n\n

En consecuencia, el eIDAS 2.0 lleva a la inclusi\u00f3n de un nuevo servicio de confianza, las declaraciones electr\u00f3nicas de atributos. Estas no son m\u00e1s que documentos electr\u00f3nicos emitidos y firmados digitalmente por una fuente de confianza y que pueden validarse criptogr\u00e1ficamente. Vienen a ser el equivalente electr\u00f3nico de los actos de certificaci\u00f3n y de los actos de constancia que realizan las administraciones p\u00fablicas y otras entidades, pero de manera armonizada. Un ejemplo de ello es el certificado COVID digital, en el que el QR que se acompa\u00f1aba conten\u00eda la firma de la autoridad de salud correspondiente. Lo que implica esta nueva visi\u00f3n de las declaraciones electr\u00f3nicas de atributos es la introducci\u00f3n de un modelo de identidad digital descentralizado, donde multitud de operadores puedan emitir credenciales de identidad en sentido amplio bajo el control del ciudadano.<\/p>\n\n\n\n

El inter\u00e9s de las declaraciones electr\u00f3nicas como servicio de confianza viene determinado por la ausencia de competencias de la Comisi\u00f3n Europea para modificar las condiciones de forma del Derecho civil y mercantil de los Estados miembros, por lo que, en lugar de armonizar una teor\u00eda paneuropea de los actos certificantes, se crean instituciones jur\u00eddicas nuevas con efectos similares a las preexistentes.<\/p>\n\n\n\n

Asimismo, la prestaci\u00f3n de este servicio va a implicar que aquellos terceros que lo presten puedan acceder a la fuente en que se encuentran los datos, extraerlos y emitir la declaraci\u00f3n de atributos. Esto se traduce en la posibilidad de que un tercero acceda a las bases de datos de la Universidad para obtener los datos de la titulaci\u00f3n de un estudiante a fin de emitirle la correspondiente declaraci\u00f3n. En este escenario, desaparecen parte de las trabas administrativas y la necesidad de la obtenci\u00f3n de copias compulsadas de los t\u00edtulos en papel.<\/p>\n\n\n\n

Adem\u00e1s, para responder a la din\u00e1mica de los mercados y a la evoluci\u00f3n tecnol\u00f3gica, el eIDAS 2.0 ampl\u00eda la lista vigente de servicios de confianza con la prestaci\u00f3n de los servicios de archivo electr\u00f3nico y los libros mayores electr\u00f3nicos. Estos \u00faltimos se plantean como una combinaci\u00f3n de sellos de tiempo de los datos y su secuenciaci\u00f3n con la certeza de la identidad del creador de los datos, de manera similar a la firma electr\u00f3nica. Este servicio de confianza introduce el marco legal para dar cabida a las soluciones de las tecnolog\u00edas de registro distribuido o las cadenas de bloques que puedan utilizarse en casos de uso de la identidad digital<\/a>.<\/p>\n\n\n\n

4.2. La Cartera de Identidad Digital Europea<\/h3>\n\n\n\n

El eIDAS 2.0 introduce, junto con el nuevo cat\u00e1logo de servicios de confianza, un nuevo medio de identificaci\u00f3n electr\u00f3nica de obligada emisi\u00f3n por el Estado, pero de uso opcional por el usuario: la Cartera de Identidad Digital Europea. A su vez, este medio de identificaci\u00f3n est\u00e1 concebido como contenedor para declaraciones electr\u00f3nicas de atributos. Esta caracter\u00edstica de la Cartera permitir\u00e1 acreditar a la vez la autenticaci\u00f3n y como la posesi\u00f3n de una credencial. En el escenario del Certificado COVID, esta caracter\u00edstica de la Cartera habr\u00eda aunado en una misma comprobaci\u00f3n tanto la posesi\u00f3n de la credencial como la identificaci\u00f3n.<\/p>\n\n\n\n

En contraposici\u00f3n a los medios de identificaci\u00f3n del eIDAS de 2014, la Cartera no solo est\u00e1 prevista para que pueda usarse tambi\u00e9n con el sector privado, sino que adem\u00e1s se impone la obligaci\u00f3n de aceptarla cuando as\u00ed lo solicite el usuario en dos grandes supuestos. Primero, cuando en virtud del Derecho de la Uni\u00f3n o por una obligaci\u00f3n contractual se requiera una autenticaci\u00f3n reforzada de usuario para la identificaci\u00f3n en l\u00ednea, en particular banca y servicios financieros; es decir, utilizar la Cartera para la realizaci\u00f3n de pagos. Segundo, plataformas en l\u00ednea de muy gran tama\u00f1o conforme al art\u00edculo 33 de la DSA<\/a>; esto es, redes sociales y proveedores de servicios de telecomunicaci\u00f3n, cuando exijan la autenticaci\u00f3n del usuario para acceder a servicios en l\u00ednea.<\/p>\n\n\n\n

En cuanto a las medidas de privacidad que se introducen para la Cartera, el eIDAS 2.0 introduce en los art\u00edculos 5 y 5bis (4.b) el derecho al pseud\u00f3nimo, de tal modo que pueda crearse por el usuario desde su propia Cartera y mantenerse cifrado en ella. De este modo, el usuario podr\u00e1 identificarse con terceros utilizando diferentes pseud\u00f3nimos para cada uno de ellos. Por otra parte, se introduce en el art\u00edculo 5bis (4.a) el uso de t\u00e9cnicas de divulgaci\u00f3n selectiva, es decir, compartir de una credencial o un conjunto de credenciales \u00fanicamente los datos que sean necesarios para una interacci\u00f3n en concreto. Por ejemplo, poder utilizar un pseud\u00f3nimo para crear una cuenta en una red social y compartir con su prestador el lugar de domicilio a fin de garantizar que se trata de una persona f\u00edsica y que se encuentra afincada en la Uni\u00f3n Europea.<\/p>\n\n\n\n

Asimismo, se impone la existencia en la Cartera de un tablero de control que permita realizar seguimientos de las transacciones ejecutadas, de los datos solicitados y datos compartidos junto con la posibilidad de ejercer el derecho de supresi\u00f3n y denunciar ante la autoridad supervisora una solicitud il\u00edcita o sospechosa de datos personales.<\/p>\n\n\n\n

5.      Reflexiones finales<\/h2>\n\n\n\n

Sin perjuicio de las medidas de privacidad introducidas en el eIDAS 2.0, otras t\u00e9cnicas que de acuerdo con la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos<\/a> permiten cumplir en mayor medida los principios de minimizaci\u00f3n y protecci\u00f3n de datos desde el dise\u00f1o y por defecto del art\u00edculo 25 RGPD<\/a> son las pruebas de conocimiento nulo. Estas son protocolos criptogr\u00e1ficos que se mencionan en el Considerando 14 del eIDAS 2.0 que permiten acreditar que un usuario se encuentra en posesi\u00f3n de un dato sin compartir la fuente original. En el caso del Certificado COVID, esto permitir\u00eda compartir una prueba criptogr\u00e1fica desde la Cartera que se posee una credencial que acredita que el poseedor se encuentra vacunado y que, en consecuencia, puede entrar en un establecimiento sin que el receptor de los datos vea nunca la credencial ni los datos de identificaci\u00f3n, \u00fanicamente que la persona en cuesti\u00f3n es la poseedora de esa Cartera y que est\u00e1 vacunada sin llegar a saber siquiera c\u00f3mo se llama.<\/p>\n\n\n\n

Pese a lo anterior, las t\u00e9cnicas de prueba de conocimiento nulo no se desarrollan normativamente en el eIDAS 2.0 y se deja su implementaci\u00f3n a los Estados miembro, derivando en una potencial fragmentaci\u00f3n del mercado \u00fanico digital, la falta de interoperabilidad con otros sistemas y la ausencia de efectos transfronterizos. As\u00ed pues, este tipo de mecanismos son los que se tendr\u00e1n que abordar en la pr\u00f3xima revisi\u00f3n prevista en el art\u00edculo 49 del eIDAS 2.0 a m\u00e1s tardar el 21 de mayo de 2026.<\/p>\n\n\n\n

6.      Conclusiones<\/h2>\n\n\n\n

El Reglamento eIDAS 2.0 introduce la confianza para usar los nuevos servicios que se crean, que son la Cartera de Identidad Digital Europea, las declaraciones electr\u00f3nicas de atributos y los libros mayores electr\u00f3nicos. Asimismo, se crean dos nuevos derechos: el derecho a la identidad digital y el derecho al pseud\u00f3nimo.<\/p>\n\n\n\n

El nuevo marco de la identidad digital de la Uni\u00f3n Europea est\u00e1 llamado a reforzar el mercado \u00fanico digital y a compatibilizar innovaciones digitales que se encuentran presentes en la sociedad, pero que carecen del sustento normativo b\u00e1sico para su desarrollo.<\/p>\n\n\n\n

Pese a los grandes avances en materia de privacidad, evidenciados por el derecho al pseud\u00f3nimo y el uso de t\u00e9cnicas de divulgaci\u00f3n selectiva, hace falta poner en conexi\u00f3n el cat\u00e1logo actualizado de servicios de confianza y la Cartera con las pruebas de conocimiento nulo, para que v\u00eda interpretativa y de normalizaci\u00f3n t\u00e9cnica, este tipo de herramientas tengan validez legal en todo el territorio de la Uni\u00f3n.<\/p>\n\n\n\n

La tensi\u00f3n entre privacidad y seguridad es un falso debate, causado por la ausencia de un r\u00e9gimen que permita conciliar privacidad y seguridad, liberalizaci\u00f3n del mercado y seguridad p\u00fablica con tecnolog\u00edas que se encuentran ya en la sociedad. A su vez, un r\u00e9gimen adecuado de las pruebas de conocimiento nulo permitir\u00eda dar respuesta a problem\u00e1ticas como la aparente contradicci\u00f3n entre el RGPD y las cadenas de bloques<\/a> que permitan consolidar la transici\u00f3n de un modelo en que no se comparten datos sino pruebas de su existencia.<\/p>\n\n\n\n

Ra\u00fcl Ramos Fern\u00e1ndez<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

El pasado 30 de abril se public\u00f3 en el Diario Oficial de la Uni\u00f3n Europea el Reglamento (UE) 2024\/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.\u00b0 910\/2014 en lo que respecta al establecimiento del marco europeo de identidad digital, el Reglamento […]<\/p>\n","protected":false},"author":651,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-599","post","type-post","status-publish","format-standard","hentry","category-general"],"_links":{"self":[{"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/posts\/599","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/users\/651"}],"replies":[{"embeddable":true,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/comments?post=599"}],"version-history":[{"count":1,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/posts\/599\/revisions"}],"predecessor-version":[{"id":600,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/posts\/599\/revisions\/600"}],"wp:attachment":[{"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/media?parent=599"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/categories?post=599"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webs.uab.cat\/derecho-y-digitalizacion-empresarial\/wp-json\/wp\/v2\/tags?post=599"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}