Antecedentes
En junio de 2021, la Comisión propuso un marco para una identidad digital europea que estaría disponible para todos los ciudadanos, residentes y empresas de la UE a través de una billetera de identidad digital europea. El nuevo marco modifica el reglamento de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior (reglamento eIDAS), que sentó las bases para acceder de forma segura a los servicios públicos y realizar transacciones en línea y a través de fronteras en la UE.
Objeto
El presente Reglamento tiene por objeto garantizar el correcto funcionamiento del mercado interior y la existencia de un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza utilizados en toda la Unión, a fin de permitir y facilitar que las personas físicas y jurídicas ejerzan el derecho a participar en la sociedad digital de forma segura y a acceder a los servicios públicos y privados en línea en toda la Unión.
Para ello exige que los Estados miembros emitan una billetera digital bajo un esquema de identificación electrónica notificado, basado en estándares técnicos comunes, luego de una certificación obligatoria.
I. Características generales
El presente Reglamento define las condiciones armonizadas de cara al establecimiento de un marco para las carteras europeas de identidad digital que deben proporcionar los Estados miembros. Todos los ciudadanos de la Unión, y los residentes en la Unión tal como se definen en el Derecho nacional, deben estar facultados para solicitar, seleccionar, combinar, almacenar, eliminar, compartir y presentar datos relacionados con su identidad y solicitar la supresión de sus datos personales de una manera sencilla y cómoda que esté bajo el control exclusivo del usuario y permita al mismo tiempo la divulgación selectiva de datos personales.
Deben desarrollarse tecnologías que permitan lograr estos objetivos y que aspiren al máximo nivel de seguridad, privacidad, comodidad de uso y accesibilidad, garantizando asimismo una elevada facilidad de utilización y una interoperabilidad fluida. Para ello, los Estados miembros:
- — deben garantizar la igualdad de acceso a la identificación electrónica para todos sus ciudadanos y residentes;
- — no deben limitar, directa o indirectamente, el acceso a los servicios públicos o privados a personas físicas o jurídicas que no opten por utilizar carteras europeas de identidad digital y deben facilitar otras soluciones adecuadas;
- — deben aprovechar las posibilidades que ofrece el presente Reglamento para proporcionar, bajo su responsabilidad, carteras europeas de identidad digital, para su uso, a las personas físicas y jurídicas que residan en su territorio.
A fin de ofrecer flexibilidad a los Estados miembros y aprovechar las tecnologías más avanzadas, el presente Reglamento permite el suministro de carteras europeas de identidad digital directamente por un Estado miembro, en virtud de un mandato de un Estado miembro, o independientemente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.
Registro
A efectos del registro, las partes usuarias deben facilitar la información necesaria para permitir su identificación y autenticación electrónicas en las carteras europeas de identidad digital. Este registro facilita las verificaciones por parte de los Estados miembros por lo que respecta a la legalidad de las actividades de las partes usuarias de conformidad con el Derecho de la Unión.
El registro de las partes usuarias tiene por objeto aumentar la transparencia y la confianza en el uso de las carteras europeas de identidad digital. El registro debe tener un coste razonable y proporcionado a los riesgos conexos, a fin de garantizar la aceptación por parte de los prestadores de servicios. En este contexto, el registro ofrece la posibilidad de utilizar procedimientos automáticos, en particular de que los Estados miembros recurran a registros existentes y los utilicen, y no conlleva un proceso de autorización previa.
Carteras europeas de identidad digital
Las Carteras europeas de identidad digital son carteras digitales personales en forma de aplicaciones para móviles que permite a los ciudadanos identificarse digitalmente, almacenar y gestionar datos de identidad y documentos oficiales en forma digital. Pueden incluir el permiso de conducción, recetas médicas o títulos académicos. Muchos ciudadanos ya están utilizando las carteras digitales en sus teléfonos móviles a fin de almacenar sus tarjetas de embarque cuando viajan o conservar sus tarjetas bancarias virtuales para facilitar los pagos.
Estas carteras, que las plataformas en línea suelen ofrecer, permiten a sus usuarios conectarse a diversos servicios en línea, desde hacer compras a leer noticias, pero estas conexiones no dan a los usuarios el pleno control de los datos que facilitan para identificarse ante los servicios en línea. Además, los Estados miembros no proporcionan carteras de identidad electrónica armonizadas. Con arreglo a las nuevas normas, las carteras de identidad digital de la UE expedidas por los Estados miembros estarán a disposición de todos. Con ellas, los ciudadanos podrán demostrar su identidad en todo el territorio de la UE cuando sea necesario para acceder a servicios en línea, facilitar documentos digitales o simplemente demostrar un atributo personal específico, como la edad, sin revelar su identidad u otros datos personales. Los ciudadanos controlarán plenamente en todo momento los datos que faciliten y con quién se comparten esos datos.
De acuerdo con el presente Reglamento, todas las carteras europeas de identidad digital deben permitir a los usuarios identificarse y autenticarse electrónicamente de forma transfronteriza, tanto en línea como en modo fuera de línea, para acceder a una amplia gama de servicios públicos y privados.
Sin perjuicio de las prerrogativas de los Estados miembros en lo que respecta a la identificación de sus ciudadanos y residentes, las carteras europeas de identidad digital también pueden dar respuesta a las necesidades institucionales de las administraciones públicas, las organizaciones internacionales y las instituciones, órganos y organismos de la Unión.
La autenticación en modo fuera de línea será importante en numerosos sectores, especialmente el sanitario, en el que los servicios se prestan a menudo mediante una interacción presencial, y las recetas electrónicas deben poder utilizar códigos QR o tecnologías similares para verificar su autenticidad.
Basándose en el nivel de seguridad alto por lo que respecta a los sistemas de identificación electrónica, las carteras europeas de identidad digital deben beneficiarse del potencial que ofrecen las soluciones inalterables, como las medidas de protección, para cumplir los requisitos de seguridad previstos en el presente Reglamento.
Derechos de los usuarios
Las carteras europeas de identidad digital deben permitir a los usuarios crear y utilizar firmas y sellos electrónicos cualificados que se acepten en toda la Unión. Una vez incorporadas a una cartera europea de identidad digital, las personas físicas deben poder utilizarla para firmar con firmas electrónicas cualificadas, por defecto y de forma gratuita, sin tener que seguir ningún otro procedimiento administrativo.
Los usuarios deben poder firmar o sellar declaraciones personales o atributos autodeclarados. En aras de la simplificación y la reducción de costes en beneficio de las personas y empresas de toda la Unión, en particular mediante la posibilidad de otorgar poderes de representación y mandatos electrónicos, los Estados miembros deben proporcionar carteras europeas de identidad digital que utilicen normas y especificaciones técnicas comunes para garantizar una interoperabilidad fluida y elevar adecuadamente el nivel de seguridad informática, reforzar la solidez frente a los ciberataques y, de este modo, reducir considerablemente los riesgos que entraña la digitalización en curso para los ciudadanos de la Unión, los residentes en la Unión y las empresas.
Firma electrónica
El uso de una firma electrónica cualificada debe ser gratuito para todas las personas físicas con fines no profesionales. Los Estados miembros deben tener la posibilidad de establecer medidas para impedir el uso gratuito de firmas electrónicas cualificadas con fines profesionales por parte de personas físicas, garantizando al mismo tiempo que tales medidas sean proporcionadas a los riesgos detectados y estén justificadas.
Se considera beneficioso facilitar la implantación y la utilización de carteras europeas de identidad digital mediante su integración sin dificultades en el ecosistema de servicios públicos y privados ya vigente a escala nacional, local o regional.
A fin de alcanzar este objetivo, los Estados miembros deben tener la posibilidad de establecer medidas jurídicas y organizativas que mejoren la flexibilidad para los proveedores de carteras europeas de identidad digital y que hagan posibles otras funcionalidades de las carteras europeas de identidad digital aparte de las establecidas en el presente Reglamento, en particular mediante un refuerzo de la interoperabilidad con los medios nacionales de identificación electrónica existentes. Tales funcionalidades adicionales no deben en ningún caso ir en detrimento de la prestación de las funciones esenciales de las carteras europeas de identidad digital establecidas en el presente Reglamento, ni promover soluciones nacionales existentes en lugar de las carteras europeas de identidad digital.
Listado de normas de referencia
A fin de evitar enfoques divergentes y armonizar la aplicación de los requisitos establecidos en el presente Reglamento, la Comisión debe, a fin de certificar las carteras europeas de identidad digital, adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos con el fin de establecer especificaciones técnicas detalladas para dichos requisitos.
En la medida en que la certificación de la conformidad de las carteras europeas de identidad digital con los requisitos de ciberseguridad pertinentes no está cubierta por los esquemas de certificación de la ciberseguridad existentes a que se refiere el presente Reglamento, y en lo que respecta a los requisitos no relacionados con la ciberseguridad pertinentes para las carteras europeas de identidad digital, los Estados miembros deben establecer esquemas nacionales de certificación con arreglo a los requisitos armonizados establecidos en el presente Reglamento y adoptados en virtud de este.
II. Objetivos
El objetivo del presente Reglamento consiste en proporcionar al usuario una cartera europea de identidad digital que sea completamente portátil, segura y fácil de utilizar.
Como medida transitoria hasta que estén disponibles soluciones certificadas inalterables — por ejemplo, medidas de protección dentro de los dispositivos de los usuarios—, las carteras europeas de identidad digital deben poder emplear bien medidas de protección externas certificadas para proteger el material criptográfico y otros datos sensibles, bien medios de identificación electrónica notificados con un nivel de seguridad alto para demostrar el cumplimiento de los requisitos pertinentes del presente Reglamento en lo que respecta al nivel de seguridad de la cartera europea de identidad digital.
III. Garantías de protección de datos y de seguridad
Las carteras europeas de identidad digital deben garantizar el máximo nivel de protección de datos y de seguridad a efectos de identificación y autenticación electrónicas para facilitar el acceso a los servicios públicos y privados, con independencia de que dichos datos se almacenen de forma local o mediante soluciones en la nube, teniendo debidamente en cuenta los diferentes niveles de riesgo.
A este efecto, las carteras europeas de identidad digital deben ser seguras desde el diseño y deben aplicar características de seguridad avanzadas para proteger contra la usurpación de identidad, el robo de datos, la denegación de servicio y cualquier otra ciberamenaza.
Dichas medidas de seguridad deben incluir métodos de cifrado y almacenamiento de última generación que solo sean accesibles al usuario y descifrables por este, y basados en una comunicación cifrada de extremo a extremo con otras carteras europeas de identidad digital y las partes usuarias.
Además, las carteras europeas de identidad digital deben requerir la confirmación segura, explícita y activa del usuario para las operaciones realizadas a través de dichas carteras.
Para garantizar la privacidad, los proveedores de carteras europeas de identidad digital deben garantizar la falta de observabilidad no recopilando datos y no pudiendo ver la información de las transacciones de los usuarios de la cartera europea de identidad digital. Dicha falta de observabilidad significa que los proveedores no pueden ver los detalles de las transacciones realizadas por el usuario.
No obstante, en casos específicos, sobre la base del consentimiento explícito previo del usuario para cada uno de dichos casos específicos, y de plena conformidad con el Reglamento (UE) 2016/679 (LA LEY 6637/2016), se puede conceder acceso a los proveedores de carteras europeas de identidad digital a la información necesaria para la prestación de un servicio concreto relacionado con las carteras europeas de identidad digital.
La transparencia de las carteras europeas de identidad digital y la responsabilidad de sus proveedores son elementos clave para fomentar la confianza social y activar la aceptación del marco. Por tanto, el funcionamiento de las carteras europeas de identidad digital debe ser transparente y, en concreto, permitir un tratamiento verificable de los datos personales.
IV. Revelación del código fuente de los componentes de programas informáticos
Los Estados miembros deben de las aplicaciones de usuario de las carteras europeas de identidad digital, incluidos los relacionados con el tratamiento de los datos personales y los datos de personas jurídicas. La publicación de este código fuente con una licencia de código abierto debe permitir a la sociedad, incluidos los usuarios y desarrolladores, comprender su funcionamiento y auditar y revisar el código. Esto aumentará la confianza de los usuarios en el ecosistema y contribuirá a la seguridad de las carteras europeas de identidad digital, al permitir que cualquier persona denuncie vulnerabilidades y errores en el código.
En general, esto debe ser un incentivo para que los proveedores ofrezcan y mantengan un producto con un nivel de seguridad elevado. Sin embargo, en determinados casos, por razones debidamente justificadas, en especial con fines de seguridad pública, los Estados miembros pueden limitar la divulgación del código fuente de las librerías usadas, el canal de comunicación u otros elementos que no estén alojados en el dispositivo del usuario.
V. Derecho y opción exclusivos de los usuarios
El uso de las carteras europeas de identidad digital, así como la interrupción de su uso, debe ser un derecho y una opción exclusivos de los usuarios. Los Estados miembros deben desarrollar procedimientos sencillos y seguros para que los usuarios soliciten la revocación inmediata de la validez de las carteras europeas de identidad digital, también en el caso de pérdida o robo.
En caso de fallecimiento del usuario o de cese de la actividad de una persona jurídica, debe establecerse un mecanismo que permita a la autoridad responsable de liquidar la sucesión de la persona física o los bienes de la persona jurídica solicitar la revocación inmediata de las carteras europeas de identidad digital.
Con el fin de promover la adopción de las carteras europeas de identidad digital y un uso más extendido de las identidades digitales, los Estados miembros no solo deben promover los beneficios de los servicios pertinentes, sino también, en cooperación con el sector privado, los investigadores y el mundo académico, desarrollar programas de formación destinados a reforzar las capacidades digitales de sus ciudadanos y residentes, en particular en lo relativo a los grupos vulnerables, como las personas con discapacidad y las personas de edad avanzada.
Los Estados miembros deben sensibilizar acerca de las ventajas y los riesgos de las carteras europeas de identidad digital mediante campañas de comunicación.
VI. Apertura del marco europeo de identidad digital la innovación y al desarrollo tecnológico
Con el objetivo de garantizar que el marco europeo de identidad digital esté abierto a la innovación y al desarrollo tecnológico y ofrezca garantías ante el futuro, se alienta a los Estados miembros, conjuntamente, a que establezcan entornos de pruebas para experimentar con soluciones innovadoras en un entorno controlado y seguro, en particular para mejorar la funcionalidad, la protección de los datos personales, la seguridad y la interoperabilidad de las soluciones, así como para obtener información útil de cara a futuras actualizaciones de las referencias técnicas y los requisitos legales.
Este entorno debe fomentar la inclusión de las pymes, las empresas emergentes y los innovadores e investigadores individuales, así como de las partes interesadas industriales pertinentes. Dichas iniciativas deben apoyar y reforzar el cumplimiento normativo y la solidez técnica de las carteras europeas de identidad digital que se proporcionará a los ciudadanos de la Unión y los residentes en la Unión, evitando así el desarrollo de soluciones que no cumplan el Derecho de la Unión en materia de protección de datos o que estén abiertas a vulnerabilidades de seguridad.
VII. Actuaciones futuras
El reglamento revisado se publicará en el Diario Oficial de la UE en las próximas semanas y entrará en vigor 20 días después de su publicación y se implementará completamente en 2026.