La Cartera de Identidad Digital de la UE, cada vez más cerca

La Presidencia del Consejo y los representantes del Parlamento Europeo alcanzaron el pasado 8 de noviembre de 2023 un acuerdo provisional sobre la Propuesta de Reglamento para establecer un nuevo marco para una Identidad Digital Europea (Propuesta de Reglamento eIDAS 2), que busca garantizar una identidad digital fiable y segura para todos los europeos. El Reglamento (cuyo texto acordado provisionalmente puede consultarse aquí) permitirá la digitalización de los servicios públicos y privados, a la vez que mejorará la seguridad y la protección de datos personales de los ciudadanos europeos en la red.

Este proyecto legislativo arrancó en junio de 2021, cuando la Comisión propuso crear un marco para una identidad digital europea que estaría a disposición de todos los ciudadanos, residentes y empresas de la UE, por medio de una cartera europea de identidad digital. El nuevo marco propuesto modifica el Reglamento de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS), que sentó las bases para acceder de forma segura a los servicios y realizar transacciones en línea y transfronterizas en la UE.

Asimismo, la Propuesta de Reglamento eIDAS 2 se inscribe en el marco del programa político de la Década Digital para 2030 de la UE, la cual tiene por objetivo hacer que todos los servicios públicos clave sean accesibles en línea antes de 2030. De este modo, la Propuesta representa un avance importante hacia la digitalización en Europa y se complementa con la Propuesta de Reglamento sobre el Euro Digital, de la que ya hablamos en este post.

Cartera de Identidad Digital

La principal novedad de la Propuesta de Reglamento eIDAS 2 es la introducción de la Cartera de Identidad Digital: una alternativa de fácil uso a la identificación electrónica y cuya adopción será voluntaria por parte de los ciudadanos europeos. La Cartera de Identidad Digital consiste en un monedero digital personal en forma de aplicación que permite a los ciudadanos identificarse digitalmente, almacenar y gestionar en formato digital datos de identidad, credenciales y atributos vinculados a su identidad, así como documentos oficiales (e.g.; carné de conducir, billetes de viaje, recetas médicas o títulos académicos). En este sentido, guarda similitud con las carteras digitales que ya utilizan los ciudadanos para guardar en sus teléfonos móviles tarjetas bancarias virtuales que les permiten pagar cómodamente. A su vez, la Propuesta de Reglamento eIDAS 2 prevé que la Cartera de Identidad Digital contenga un panel con las transacciones realizadas por el titular, permita la interacción entre otras carteras digitales y, además, posibilite la denuncia de presuntas brechas de seguridad.

La diferencia principal entre las carteras digitales y la Cartera de Identidad Digital es que esta última pretende devolver al ciudadano el control sobre su identidad. De esta forma, estas nuevas carteras europeas de identidad digital permitirán a todos los europeos acceder a servicios en línea con su identificación digital nacional, que será reconocida en toda la Unión Europea, sin tener que utilizar métodos de identificación privados ni compartir innecesariamente datos personales. Este control por parte del usuario garantiza que únicamente se comparta la información que realmente sea necesaria. Así, los ciudadanos podrán acceder tanto a servicios públicos (e.g.; acceso a subvenciones, acceso a información de la Seguridad Social, declaraciones de impuestos), como privados (e.g.; acceso a hoteles o a casino, alquiler de vehículos, apertura de cuentas en bancos) y, en lugar de revelar su identidad completa u otros datos personales, podrán hacerlo compartiendo ciertos documentos digitales o simplemente demostrando un atributo personal específico (como la edad).

Como era de esperar, la Propuesta de Reglamento eIDAS 2 también conllevará cambios en el sector privado, puesto que la aceptación de la Cartera de Identidad Digital será obligatoria para algunos operadores, en particular cuando la identidad de sus clientes deba ser verificada con un nivel de seguridad alto. Este sería el caso, por ejemplo, de los pagos y la apertura de cuentas bancarias, así como determinados casos de uso en los sectores de transporte, energía, seguridad social, sanidad, agua potable, servicios postales, infraestructuras digitales, educación o telecomunicaciones. Asimismo, la Propuesta de Reglamento eIDAS 2 prevé que el requisito de reconocer el monedero para la autenticación también se aplique a las plataformas en línea muy grandes designadas en virtud del Reglamento de Servicios Digitales (DSA).

Preocupación de los expertos

La Cartera de Identidad Digital supone un cambio radical con respecto al sistema actual de interconexión de documentos nacionales de identidad electrónicos previsto en el Reglamento eIDAS, puesto que proporciona un marco totalmente armonizado que se aplica de la misma manera en todos los Estados miembros, siguiendo una serie de estándares, especificaciones técnicas y prácticas comunes, conocidos como la Arquitectura y Marco de Referencia de las Carteras. De esta forma, todas las características y requisitos clave de la Cartera de Identidad Digital se aplicarán siguiendo normas técnicas comunes, de forma que esta podrá utilizarse de la misma manera en todos los Estados miembros y ofrecer a los usuarios los mismos servicios y funcionalidades básicos con independencia del Estado miembro que lo expida.

A pesar de ello, esta iniciativa legislativa ha alertado a un grupo de 309 expertos en ciberseguridad de 31 países, que han expresado mediante una carta abierta sus preocupaciones al respecto. Estos expertos temen que, con la configuración técnica prevista para la Cartera, los gobiernos puedan verse tentados a interceptar comunicaciones en la red o realicen prácticas que puedan vulnerar el derecho a la privacidad de los ciudadanos.

Próximos pasos

La Propuesta de Reglamento eIDAS 2 debe ser adoptada formalmente por el Parlamento Europeo y del Consejo. Tras ello, entrará en vigor a los 20 días de su publicación en el Diario Oficial de la UE. En paralelo, los Estados miembros deberán facilitar la creación de Carteras a sus ciudadanos 24 meses después de la adopción de las especificaciones técnicas para certificación y de los actos de ejecución previstos en el futuro Reglamento eIDAS 2, que a su vez, se adoptarán en un plazo de entre seis y doce meses después de la adopción del Reglamento.