eIDAS2, la cartera europea de identidad digital y el RGPD (I)
El control sobre la propia identidad es uno de los aspectos más importantes de la protección de datos en la actualidad. La introducción de eIDAS2 supone una evolución significativa en el enfoque de la Unión Europea (UE) hacia la identidad digital.
La cartera europea de identidad digital es un elemento central de esta iniciativa, una herramienta fácil de usar en forma de aplicación móvil diseñada para almacenar, gestionar y presentar credenciales digitales. Al integrar esta cartera con servicios públicos y privados, la UE busca empoderar a la ciudadanía con una identificación y autenticación más seguras, y con un mayor control sobre sus datos personales. El alineamiento de la iniciativa con los principios y requisitos del RGPD es esencial para fomentar la confianza en el nuevo enfoque y, en términos generales, en las transacciones digitales.
El considerando 7 del RGPD establece que “Las personas físicas deben tener el control de sus propios datos personales”. La identidad es el aspecto más importante que define los datos personales (artículo 4(1) del RGPD) y es un derecho fundamental como queda recogido en el artículo 6 de la Declaración Universal de los Derechos Humanos que establece que "Todo ser humano tiene derecho, en todas partes, al reconocimiento de su personalidad jurídica". Además, la identidad está garantizada en España en la Ley Orgánica de Protección de la Seguridad Ciudadana.
La transformación digital de Europa se está acelerando, y en el centro de esta transformación se encuentra la necesidad de una identificación electrónica pública y segura, que incluya la firma digital interoperable, para proporcionar a las personas control sobre su identidad y sus datos en línea, así como para permitir el acceso a los servicios digitales públicos, privados y transfronterizos.
La Unión Europea (UE) ha estado a la vanguardia de este movimiento con la introducción del Reglamento eIDAS en 2014 (Reglamento UE n.º 910/2014), que estableció un marco para la identificación electrónica y los servicios de confianza. Sin embargo, a medida que la tecnología y las necesidades de los ciudadanos han evolucionado, también lo ha hecho el panorama regulatorio. Esto ha llevado al desarrollo de eIDAS2.
El Reglamento (UE) 2024/1183 de Parlamento Europeo y del Consejo de 11 de abril de 2024 por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (eIDAS2), entró en vigor el 20 de mayo de 2024 como una actualización significativa del reglamento eIDAS original. El objetivo principal de eIDAS2 es mejorar la seguridad, la usabilidad y la interoperabilidad de los servicios de identificación electrónica y confianza en toda la UE. Este reglamento actualizado tiene por objeto abordar las limitaciones del marco original mediante la introducción de un sistema de identificación digital fiable y fácil de usar. Una de las características más importantes de eIDAS2 es la aceptación obligatoria de los medios de identificación electrónica emitidos en un Estado miembro por todos los demás Estados miembros, fomentando así una mayor interacción digital transfronteriza.
La European Digital Identity (EUDI) Wallet (la cartera europea de identidad digital) es una piedra angular del marco eIDAS2. Esta cartera digital permitirá a los ciudadanos, residentes y empresas de la UE almacenar y administrar de forma segura sus identidades digitales (en forma de credenciales o declaraciones electrónicas de atributos, electronic attestations of attributes). La cartera permitirá a los usuarios autenticar su identidad, almacenar credenciales digitales y acceder fácilmente a una amplia gama de proveedores de servicios (Relying Parties), basándose en una aplicación móvil. Cada Estado miembro proporcionará, al menos, una versión de la cartera para finales de 2026, lo que garantizará la interoperabilidad y una experiencia de usuario coherente en toda la UE.
La cartera está diseñada para preservar la privacidad, dando a los usuarios control sobre sus datos personales y asegurando que sólo se comparta la información necesaria en cada transacción. Se pretende que la cartera sea adecuada para transacciones tanto con el sector público como con el privado, y su uso será voluntario y gratuito para los ciudadanos.
El Architecture and Reference Framework (ARF) es un componente fundamental en el desarrollo y la implementación de la cartera digital. El ARF proporciona un conjunto de normas comunes, especificaciones técnicas y mejores prácticas que los Estados miembros deben seguir para garantizar la interoperabilidad y la seguridad de las soluciones de identidad digital. Al adherirse al ARF, los Estados miembros pueden desarrollar soluciones de cartera que sean compatibles entre sí, lo que facilita las interacciones digitales transfronterizas sin fricciones. El ARF está diseñado para ser flexible y adaptable, lo que permite futuros avances e innovaciones tecnológicas. El actual es la versión 1.4.1, aunque se espera al menos una actualización este año.
Para garantizar el éxito de la implementación de eIDAS2 y de la cartera digital, la Comisión Europea adoptará una serie de reglamentos de ejecución (Implementing Acts). El primer lote de ellos se ha aprobado en noviembre de 2024. Estos reglamentos proporcionan normas y directrices detalladas sobre diversos aspectos de la regulación, incluidas las especificaciones técnicas, los requisitos de seguridad y las normas de interoperabilidad. Los reglamentos de ejecución son esenciales para traducir los objetivos de alto nivel del eIDAS2 en medidas prácticas y viables. El contenido del ARF ha servido de base para el contenido de los reglamentos de ejecución que se adoptarán y serán de obligado cumplimiento para todos los Estados miembros.
La interacción entre el Reglamento eIDAS2 y el Reglamento General de Protección de Datos (RGPD) también debería ser crucial para garantizar reglamentos de ejecución que preserven la privacidad y permitan a los interesados el control real sobre sus propios datos personales.
eIDAS2 está diseñado para alinearse estrechamente con el RGPD. Esto garantiza que el tratamiento de datos personales en el contexto de la identificación electrónica y los servicios de confianza se adhiera a los principios y requisitos establecidos por el RGPD, como la transparencia, la minimización de datos, la limitación de la finalidad o los derechos de los interesados.
El Reglamento eIDAS2 exige a proveedores de servicios como partes usuarias (Relying Parties) que realicen evaluaciones de impacto relativas a la protección de datos (EIPD) y consulten a las autoridades de protección de datos competentes antes del tratamiento de datos cuando las EIPD indiquen que el tratamiento daría lugar a un alto riesgo (considerando 17).
El reglamento eIDAS2 también exige que los usuarios sean capaces de efectuar un seguimiento de todas las transacciones ejecutadas a través de la cartera con al menos los siguientes datos: la hora y la fecha de la transacción, la identificación de la contraparte, los datos personales solicitados y los datos compartidos (considerando 13). El Reglamento exige que la cartera permita el control total de los usuarios sobre sus datos, la divulgación selectiva de datos, el uso de seudónimos, el uso de políticas de divulgación integradas y el registro de todas las transacciones (artículos 5a.4 y 5a.5).
En lo que respecta al control total de sus datos, el Reglamento eIDAS2 exige que la cartera proporcione un panel común que permita al usuario ver una lista actualizada de los proveedores de servicios con los que ha establecido una conexión y, en su caso, todos los datos intercambiados; solicitar fácilmente a uno de estos proveedores que suprima los datos personales en virtud del artículo 17 del RGPD y notificar a la autoridad nacional de protección de datos en los casos en los que se reciba de un proveedor de servicios una solicitud de datos presuntamente ilícita o sospechosa (artículo 5 bis, apartado 4).
El reglamento eIDAS2 exige que los datos personales relacionados con la provisión de la cartera digital se mantengan separados lógicamente de cualquier otro dato que obre en poder del proveedor de la cartera (artículo 5a.14).
El reglamento eIDAS2 exige que la cartera no facilite información alguna a los prestadores de servicios de confianza de declaraciones electrónicas de atributos (a los proveedores que emiten distintos tipos de credenciales) sobre el uso de dichas declaraciones electrónicas (artículo 5a.5). Además, este Reglamento exige propiedades de no-vinculación (considerando 14, artículo 5 bis, 16) y mecanismos de revocación tanto para la cartera como para las credenciales (artículos 5 bis, 13, 45 quinquies y 45 septies).
Existe un alto consenso entre toda la comunidad (autoridades, investigadores y profesionales) en que la versión actual del ARF todavía tiene importantes lagunas en relación con la garantía de todos estos requisitos establecidos por la normativa. Las autoridades de protección de datos deben estar atentas para confirmar que las medidas enumeradas en los párrafos anteriores se incluyan en los reglamentos de ejecución y en la actualización del ARF, y que todo esto permita el desarrollo, e incluso la certificación, de productos de cartera que cumplan con el RGPD.
El próximo artículo de esta serie dedicada a la cartera de identidad digital estará dedicado a las implicaciones que las carteras pueden tener para la protección de datos en diferentes casos de uso.
Este artículo está relacionado con otros materiales publicados por la División de Innovación y Tecnología de la AEPD como, por ejemplo:
- La identidad como derecho [junio 2024]
- Los trílogos y su importancia en el proceso legislativo de la UE [febrero 2024]
