Avanza la creación de la cartera digital europea

Recomendados.... Administración Pública Digital: progreso y vanguardia.  Acceso  Digitalización y sostenibilidad como impulsores del PIB Informe

El reglamento revisado tiene como objetivo garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y confiables por medio de una cartera digital personal en un teléfono móvil.

En junio de 2021, la Comisión propuso un marco para una identidad digital Europea que estaría disponible para todos los ciudadanos, residentes y empresas de la UE a través de una cartera de identidad digital europea.

El nuevo marco propuesto modifica el reglamento de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior (reglamento eIDAS), que sentó las bases para acceder de forma segura a los servicios públicos y realizar transacciones en línea y transfronterizas en la UE.

La propuesta requiere que los estados miembros emitan una cartera digital bajo un esquema de identificación electrónica notificado, basado en estándares técnicos comunes, y tras una certificación obligatoria. Para establecer la arquitectura técnica necesaria, acelerar la implementación de la regulación revisada, proporcionar pautas a los estados miembros y evitar la fragmentación, la propuesta está acompañada de una recomendación para el desarrollo de una caja de herramientas de la Unión que define las especificaciones técnicas de la cartera.

La cartera Europea de identidad digital
Uno de los principales objetivos políticos de la propuesta es proporcionar a los ciudadanos y otros residentes, tal como los define la legislación nacional, un medio de identidad digital europeo normalizado basado en el concepto de cartera Europea de identidad digital.

Como medio de identificación electrónica («eID medio») emitido en el marco de los sistemas nacionales con un nivel de garantía «alto», la Cartera sería un medio de identidad electrónicda (eID) por derecho propio basado en la emisión de datos de identificación personal y la cartera por parte de los estados miembros. Por tanto, el texto de la orientación general del Consejo desarrolla aún más el concepto de la cartera y su interacción con los medios de identificación electrónica nacionales.

Niveles de seguridad
Los niveles de garantía deberían caracterizar el grado de confianza en los medios de identificación electrónica, proporcionando así seguridad de que la persona que reclama una identidad particular es de hecho la persona a la que se le asigna esa identidad. En este sentido, la cartera debe emitirse dentro de un sistema de identificación electrónica que cumpla con el nivel de garantía "alto".

Además, se ha agregado una disposición específica sobre la incorporación de registro de usuarios para abordar las preocupaciones de los estados miembros donde ya se ha emitido una cantidad significativa de medios nacionales de identificación electrónica en el nivel de garantía "sustancial".

La disposición permite a un usuario utilizar sus medios nacionales de identificación electrónica junto con procedimientos adicionales de incorporación remota para hacer posible la prueba de identidad con un nivel de seguridad "alto" y, en última instancia, para obtener una cartera.

Dado que el borrador del reglamento de identificación electrónica se basa en esquemas de certificación de ciberseguridad que deberían generar un nivel armonizado de confianza en la seguridad de las carteras, se espera que el almacenamiento seguro de material criptográfico también esté sujeto a la certificación de ciberseguridad.

Por lo tanto, el texto contiene un nuevo considerando que aborda estas condiciones técnicas previas para lograr un nivel de garantía "alto" y permitir un proceso de seguimiento dentro de la implementación de carteras de identidad digital europeas.

Notificación de las partes usuarias
Se ha reformulado la parte de la propuesta sobre la notificación de las partes usuarias. Como regla general, el proceso de notificación por medio del cual la parte usuaria comunica su intención de confiar en la cartera debe ser rentable, proporcional al riesgo y garantizar que la parte usuaria proporciona al menos la información necesaria para identificarse en la cartera.

De manera predeterminada, solo se requiere información mínima y la notificación debe permitir el uso de procedimientos de autoinforme simples o automatizados.

No obstante, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición destinada a cubrir los casos en los que se requiere un procedimiento de registro o autorización más estricto.

Por el contrario, cuando la legislación nacional o de la Unión Europea no establezca requisitos específicos para acceder a la información proporcionada por medio de la cartera, los estados miembros pueden eximir a dichas partes usuarias de la obligación de notificar su intención de confiar en las carteras.

Certificación
La regulación debe aprovechar, depender y exigir el uso de esquemas de certificación de la Ley de Ciberseguridad relevantes y existentes, o partes de los mismos, para certificar el cumplimiento de las carteras, o partes de las mismas, con los requisitos de ciberseguridad aplicables.

En consecuencia, el marco del Reglamento sobre la Ciberseguridad se aplica plenamente, incluido el mecanismo de revisión por pares entre las autoridades nacionales de certificación de ciberseguridad previsto en el Reglamento.

Para alinear la regulación de eID y la Ley de Ciberseguridad en la medida de lo posible, los estados miembros designarán organismos públicos y privados acreditados para certificar la cartera según lo dispuesto en el Reglamento sobre la Ciberseguridad.

Período de aplicación 
Basado en la orientación de los estados miembros, el texto del Consejo propone que el período de aplicación de 24 meses se cuente a partir de la adopción de los actos de ejecución.

El texto también aclara que la emisión, el uso para la autenticación y la revocación de las carteras deben ser gratuita para las personas físicas.

Sin embargo, cuando se utilizan carteras para la identificación, o los servicios que dependen del uso de la cartera pueden incurrir en costos, por ejemplo, la emisión de certificaciones electrónicas de atributos de la cartera digital.

Acceso a funciones de hardware y software
El texto establece una articulación explícita con la legislación existente, lo que garantiza el acceso a las funciones de equipos informáticos (hardware) y de los programas informáticos (software) como parte de los servicios de la plataforma central proporcionados por los porteros.

Una disposición recién agregada aclara que los proveedores de carteras y los emisores de medios de identificación electrónica notificados que actúan en capacidad comercial o profesional son usuarios comerciales de porteros dentro del significado de la definición en Reglamento de Mercados Digitales (DMA).

También se ha agregado texto para delinear la implicación de la interconexión con el Reglamento de Mercados Digitales (DMA), a saber, que se debe exigir a los porteros que garanticen, de forma gratuita, la interoperabilidad efectiva y el acceso con fines de interoperabilidad al mismo sistema operativo, hardware o software, características que están disponibles o se utilizan en la prestación de sus propios servicios complementarios y de apoyo.

Alternativas para la expedición 
Se ha mantenido la emisión de certificados electrónicos calificados de atributos por parte de proveedores cualificados, incluida la obligación de los estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público.

Además, se ha introducido la posibilidad de que el organismo del sector público responsable de la fuente auténtica o el organismo del sector público designado en nombre de un organismo del sector público responsable de una fuente auténtica puedan expedir en la cartera directamente las declaraciones electrónicas de atributos con los mismos efectos jurídicos que las declaraciones electrónicas de atributos cualificadas, siempre que se cumplan los requisitos necesarios.

Correspondencia entre registros
Con respecto a la coincidencia de registros, se ha mantenido el concepto de identificador único y persistente para las Carteras Digitales. La definición pertinente aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales si cumple su propósito.

Se establece explícitamente que el cotejo de registros puede ser facilitado por atestación electrónica calificada de atributos. Además, se ha añadido una disposición de salvaguardia, en virtud de la cual los estados miembros deben garantizar la protección de los datos personales y evitar la elaboración de perfiles de los usuarios. Por último, los estados miembros, en su calidad de partes interesadas, deben garantizar la coincidencia de registros.

Próximos pasos
La adopción del enfoque general permitirá al Consejo entablar negociaciones con el Parlamento Europeo (“diálogos tripartitos”) una vez que este último adopte su propia posición con vistas a llegar a un acuerdo sobre el reglamento propuesto.