Carlos B Fernández. Por 335 votos a favor, 190 en contra y 31 abstenciones, el pasado día 29 de febrero el pleno del Parlamento Europeo aprobó definitivamente la propuesta de Reglamento del Parlamento Europeo y el Consejo, por el que se modifica el Reglamento (UE) n.º 910/2014 (LA LEY 13356/2014), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS), en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea (COM(2021)0281 – C9-0200/2021 – 2021/0136(COD)) o Reglamento eIDAS 2.
El texto, sobre el que Parlamento y Consejo habían alcanzado un acuerdo en julio de 2023, queda ahora pendiente de la aprobación por el Consejo de la UE y de su publicación en el DOUE para convertirse en norma europea.
El objetivo del consiste en proporcionar al usuario una cartera europea de identidad digital que sea completamente portátil, segura y fácil de utilizar.
Una identidad digital europea
La nueva versión del Reglamento parte de la premisa de que los ciudadanos de la Unión y los residentes en la Unión deben tener derecho a poseer una identidad digital que se mantenga bajo su control exclusivo y les permita ejercer sus derechos en el entorno digital y participar en la economía digital.
Para alcanzar este objetivo, debe establecerse un marco europeo de identidad digital que permita a los ciudadanos de la Unión y los residentes en la Unión acceder a servicios públicos y privados en línea y fuera de línea en toda la Unión.
En particular, todos los ciudadanos de la Unión, y los residentes en la misma, deben estar facultados para solicitar, seleccionar, combinar, almacenar, eliminar, compartir y presentar datos relacionados con su identidad y solicitar la supresión de sus datos personales de una manera sencilla y cómoda que esté bajo el control exclusivo del usuario y permita al mismo tiempo la divulgación selectiva de datos personales. Para ello, deben desarrollarse tecnologías que permitan lograr estos objetivos y que aspiren almáximo nivel de seguridad, privacidad, comodidad de uso y accesibilidad,garantizando asimismo una elevada facilidad de utilización y una interoperabilidadfluida
El objetivo del presente Reglamento consiste en proporcionar al usuario unacartera europea de identidad digital que sea completamente portátil, segura y fácilde utilizar. Como medida transitoria hasta que estén disponibles solucionescertificadas inalterables —por ejemplo, medidas de protección dentro de losdispositivos de los usuarios—, las carteras europeas de identidad digital debenpoder emplear bien medidas de protección externas certificadas para proteger elmaterial criptográfico y otros datos sensibles, bien medios de identificaciónelectrónica notificados con un nivel de seguridad alto para demostrar elcumplimiento de los requisitos pertinentes del presente Reglamento en lo querespecta al nivel de seguridad de la cartera europea de identidad digital. Elpresente Reglamento se entiende sin perjuicio de las condiciones nacionales por loque respecta a la expedición y utilización de una medida de protección externacertificada en caso de que esta medida transitoria las necesite
Para alcanzar este objetivo, debe establecerse un marco europeo de identidad digital que permita a los ciudadanos de la Unión y los residentes en la Unión acceder a servicios públicos y privados en línea y fuera de línea en toda la Unión.
Este marco europeo de identidad digital tiene por finalidad lograr un cambio que permita pasar de la utilización exclusiva de soluciones nacionales de identidad digital a la provisión de declaraciones electrónicas de atributos que sean válidas y estén legalmente reconocidas en toda la Unión.
El objetivo de este marco armonizado para una identidad digital es crear valor económico al facilitar el acceso a bienes y servicios y reducir considerablemente los costes de explotación asociados a los procedimientos de identificación y autenticación electrónicas, por ejemplo, durante la incorporación de nuevos clientes, así como las posibilidades de que se cometan ciberdelitos, como la usurpación de identidad, el robo de datos y el fraude en línea, y, así, propiciar una mayor eficiencia y una transformación digital segura de las pymes de la Unión.
Cartera o wallet europeo de identidad digital
El nuevo Reglamento introduce la figura de la "cartera europea de identidad digital", como un medio de identificación electrónica que permite al usuario almacenar, gestionar y validar de forma segura datos de identificación de la persona y declaraciones electrónicas de atributos con el fin de proporcionarlos a las partes usuarias y a otros usuarios de carteras europeas de identidad digital, así como firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados.
Es decir, la cartera europea de identidad digital proporciona a las personas físicas y jurídicas de la Unión un medio de identificación electrónica armonizado que permitirá a los ciudadanos identificarse y autenticarse en línea sin tener que recurrir a proveedores comerciales, una práctica que genera preocupaciones sobre la confianza, la seguridad y la privacidad. Además, las carteras europeas de identidad digital deben incluir una funcionalidad para generar seudónimos elegidos y gestionados por el usuario con fines de autenticación a la hora de acceder a servicios en línea.
Las carteras europeas de identidad digital deben ser seguras desde el diseño y deben aplicar características de seguridad avanzadas para proteger contra la usurpación de identidad, el robo de datos, la denegación de servicio y cualquier otra ciberamenaza. Dichas medidas de seguridad deben incluir métodos de cifrado y almacenamiento de última generación que solo sean accesibles al usuario y descifrables por este, y basados en una comunicación cifrada de extremo a extremo con otras carteras europeas de identidad digital y las partes usuarias. Además, las carteras europeas de identidad digital deben requerir la confirmación segura, explícita y activa del usuario para las operaciones realizadas a través dedichas carteras.
Una vez incorporadas a una cartera europea de identidad digital, las personas físicas deben poder utilizarla para firmar con firmas electrónicas cualificadas, por defecto y de forma gratuita, sin tener que seguir ningún otro procedimiento administrativo. Los usuarios deben poder firmar o sellar declaraciones personales o atributos autodeclarados.
Este wallet se utilizará de forma voluntaria, sin que quepa discriminación contra las personas que optan por no utilizar la billetera digital. Es decir, los Estados miembros no deben limitar, directa o indirectamente, el acceso a los servicios públicos o privados a personas físicas o jurídicas que no opten por utilizar carteras europeas de identidad digital y deben facilitar otras soluciones adecuadas.
En su virtud, toda persona debe poder acceder de forma segura a servicios públicos y privados apoyándose en un ecosistema reforzado de servicios de confianza y en pruebas de identidad y declaraciones electrónicas de atributos verificadas, como cualificaciones académicas, por ejemplo, títulos universitarios u otros títulos profesionales o académicos.
Las carteras europeas de identidad digital deben facilitar la aplicación del principio de «solo una vez» y, de esta manera, reducir la carga administrativa que recae sobre los ciudadanos de la Unión y los residentes en la Unión, así como sobre las empresas de toda la Unión, y apoyar su movilidad transfronteriza, además de fomentar el desarrollo de servicios de administración electrónica interoperables en toda la Unión
A estos efectos, cada Estado miembro proporcionará al menos una cartera europea de identidad digital en los veinticuatro meses siguientes a la entrada en vigor de los actos de ejecución de este Reglamento que se establecen.
Los Estados miembros deben integrar en la cartera europea de identidad digital distintas tecnologías de protección de la privacidad, como la prueba de conocimiento cero. Estos métodos criptográficos deben permitir que una parte usuaria valide si una declaración dada basada en los datos de identificación y la declaración de atributos de la persona es verdadera sin revelar ningún dato en que se base dicha declaración, preservando así la privacidad del usuario. A la vez, el funcionamiento de las carteras europeas de identidad digital debe ser transparente y, en concreto, permitir un tratamiento verificable de los datos personales. Para lograrlo, los Estados miembros deben revelar el código fuente de los componentes de programas informáticos de las aplicaciones de usuario de las carteras europeas de identidad digital, incluidos los relacionados con el tratamiento de los datos personales y los datos de personas jurídicas.
Las carteras europeas de identidad digital se proporcionarán de una o varias de las maneras siguientes:
a) directamente por un Estado miembro;
b) con arreglo a un mandato de un Estado miembro;
c) de manera independiente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.
El código fuente de los componentes de programas informáticos de las carteras europeas de identidad digital tendrá licencia de código abierto.
Por medio de este nuevo sistema de identidad digital proporcionará a los ciudadanos de la UE acceso digital transfronterizo a servicios públicos clave.
El Reglamento prevé la incorporación de “firmas electrónicas cualificadas” gratuitas para los usuarios de billeteras de la UE, que son las más confiables y tienen el mismo estatus legal que una firma manuscrita, así como interacciones de billetera a billetera, para mejorar la fluidez de los intercambios digitales.
A fin de que se confíe en las carteras europeas de identidad digital y de que estas carteras se adopten ampliamente, se considera muy importante proteger a los ciudadanos dela Unión y los residentes en la Unión frente al uso no autorizado o fraudulento de las carteras europeas de identidad digital. En concreto, debe ofrecerse a los usuarios una protección eficaz contra este uso indebido. En particular, cuando una autoridad judicial nacional establezca, en el contexto de otro procedimiento, hechos que constituyan la base de un uso fraudulento o ilegal de una cartera europea de identidad digital, los organismos de supervisión responsables de los emisores de carteras europeas de identidad digital deben adoptar, tras la notificación, las medidas necesarias para garantizar la retirada o la suspensión del registro de la parte usuaria y de la inclusión de las partes usuarias en el mecanismo de autenticación hasta que la autoridad notificante confirme que las irregularidades detectadas se han subsanado.
Como medida transitoria hasta que estén disponibles soluciones certificadas inalterables —por ejemplo, medidas de protección dentro de los dispositivos de los usuarios—, las carteras europeas de identidad digital deben poder emplear bien medidas de protección externas certificadas para proteger el material criptográfico y otros datos sensibles, bien medios de identificación electrónica notificados con un nivel de seguridad alto para demostrar el cumplimiento de los requisitos pertinentes del presente Reglamento en lo que respecta al nivel de seguridad de la cartera europea de identidad digital. En este sentido, el Reglamento se entiende sin perjuicio de las condiciones nacionales por lo que respecta a la expedición y utilización de una medida de protección externa certificada en caso de que esta medida transitoria las necesite