Carlos B Fernández. El pasado 6 de diciembre, el Consejo de la UE adoptó su posición final (general approach), sobre la propuesta de Reglamento para el establecimiento de un Marco para una Identidad Digital Europea, presentada por la Comisión en junio de 2021 y conocida como Reglamento eIDAS 2.
Esta propuesta no significa realmente la aprobación de una nueva norma, sino la introducción de una profunda modificación del Reglamento 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS).
La nueva redacción de este Reglamento pretende garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y fiables, mediante una cartera o monedero digital que cada ciudadano podrá llevar en su teléfono móvil (cartera europea de identidad digital o European digital identity wallet), que les permitirá identificarse, con plena validez, ante el sector público de la UE, los proveedores de servicios privados que requieran una autenticación sólida de los usuarios y las grandes plataformas en línea.
La propuesta también crea un marco jurídico para el intercambio de atributos de identificación e información vinculada a esta identidad digital, prevé el control de los usuarios y la protección de datos, así como el intercambio selectivo de datos limitado a las necesidades del servicio específico solicitado.
Los Ministros participantes en la sesión expresaron su apoyo unánime a los objetivos y al planteamiento de la propuesta de la Presidencia checa, como una solución transaccional equilibrada que tiene en cuenta las preocupaciones clave de los Estados miembros al tiempo que preserva el delicado equilibrio entre la necesidad de transacciones seguras y la posibilidad de que los ciudadanos mantengan el control sobre sus propios datos.
La adopción de esta posición permitirá ahora al Consejo entablar negociaciones con el Parlamento Europeo ("trílogos") una vez que éste adopte su propia posición con vistas a alcanzar un acuerdo sobre la propuesta de Reglamento.
PRINCIPALES ELEMENTOS DE LA PROPUESTA DE COMPROMISO
1. La cartera europea de identidad digital
El principal objetivo de la Cartera Europea de Identidad Digital es proporcionar a los ciudadanos y a otros residentes en la Unión, un medio de identidad digital europeo armonizado basado en el concepto de Cartera Europea de Identidad Digital.
Según el nuevo apartado 42 introducido en el artículo 3 de la propuesta (Definiciones), la “cartera de identidad digital europea” se define como:
“un producto y servicio que permite al usuario almacenar datos de identidad, credenciales y atributos vinculados a su identidad, con el fin de proporcionarlos a las partes usuarias a petición de estas y de utilizarlos con fines de autenticación, en línea y fuera de línea, para un servicio de conformidad con lo dispuesto en el artículo 6 bis, así como para crear firmas y sellos electrónicos cualificados”.
Como medio de identificación electrónica dotada de un nivel de garantía "alto", la cartera sería un medio de identificación electrónica por derecho propio, en función de los datos de identificación de la persona y de la cartera asignados por los Estados miembros.
2. Nivel de garantía de la Cartera Europea de Identidad Digital
Los niveles de garantía de la Cartera Europea de Identidad Digital (Assurance levels o "LoA") deben definir el grado de confianza en los medios de identificación electrónica a la hora de establecer la identidad de una persona, proporcionando así la seguridad de que la persona que reivindica una identidad concreta es de hecho la persona a la que se asignó dicha identidad.
Sobre la base del amplio apoyo registrado en las reuniones del Grupo de Trabajo y en el debate del Comité de representantes permanente (Coreper) del 14 de octubre, la Cartera debe expedirse en el marco de un sistema de identificación electrónica que cumpla un nivel de garantía (LoA) "alta".
Además, se ha añadido al artículo 6 bis (Carteras de identidad digital europea) una disposición específica sobre la identificación de los usuarios. Este cambio pretende responder a las preocupaciones de los Estados miembros en los que ya se ha expedido un número significativo de medios nacionales de identificación electrónica con un nivel de servicio "sustancial". La disposición permite a un usuario utilizar sus medios nacionales de identificación electrónica junto con procedimientos adicionales de identificación a distancia para hacer posible la comprobación de la identidad con un nivel de seguridad "alto" y, en última instancia, obtener la cartera europea.
Dado que el proyecto de Reglamento sobre la identificación electrónica se basa en sistemas de certificación de ciberseguridad que deberían aportar un nivel armonizado de confianza en la seguridad de las carteras europeas de identidad digital, también se espera que el almacenamiento seguro de material criptográfico esté sujeto a certificación de ciberseguridad. Por consiguiente, la Presidencia ha propuesto un nuevo considerando (10 ter) que aborda estas condiciones técnicas previas para alcanzar un nivel de confianza "alto" y permita un proceso de seguimiento en la aplicación de los Billeteros Digitales de Identidad Europeos.
3. Notificación de las partes usuarias de las carteras de identidad digital europea
3.1 Se ha reformulado el nuevo artículo 6b (Partes usuarias de las carteras de identidad digital europea) en relación con la notificación que las partes usuarias que tengan previsto utilizar carteras de identidad digital europea emitidas con arreglo al presente Reglamento, deberán realizar al Estado miembro en el que esté establecida la parte usuaria.
Como norma general, el proceso de notificación mediante el cual la parte usuaria comunica su intención de confiar en la Cartera debe ser eficiente en términos de coste, proporcionado al riesgo y garantizar que la parte usuaria proporciona al menos la información necesaria para autenticarse en la Cartera. Por defecto, sólo se requerirá una información mínima, y la notificación debería permitir el uso de procedimientos automatizados o simples de auto notificación.
3.2 No obstante, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición destinada a cubrir los casos en que se requiera un procedimiento de registro o autorización más estricto. A la inversa, cuando el Derecho de la Unión o nacional no establezca requisitos específicos para acceder a la información facilitada por medio de las carteras de identidad digital, los Estados miembros podrán eximir a dichas partes usuarias de la obligación de notificar su intención de recurrir a los wallets.
4. Certificación de las carteras de identidad digital europea
4.1 El Reglamento debe aprovechar, basarse y ordenar el uso de los sistemas de certificación pertinentes y existentes de la Ley de Ciberseguridad, o partes de los mismos, para certificar el cumplimiento por parte de las carteras, o partes de las mismas, de los requisitos de ciberseguridad aplicables. En consecuencia, el marco de la Directiva de Ciberseguridad se aplica plenamente, incluido el mecanismo de revisión por pares entre las autoridades nacionales de certificación de ciberseguridad previsto en la misma. Con el fin de alinear en la mayor medida posible el Reglamento eID y la Directiva, los Estados miembros designarán organismos públicos y privados acreditados para certificar la cartera de identidad digital, según lo dispuesto en la Directiva.
4.2 Además, se anima a la Comisión a que encargue a la Agencia Europea de Ciberseguridad, ENISA, el desarrollo y la adopción de un esquema específico de la Ley de Ciberseguridad para la certificación de ciberseguridad de la Cartera. Hasta que se desarrolle dicho esquema, el esquema EUCC (esquema de certificación de ciberseguridad europeo basado en Criterios Comunes) publicado en virtud de la Ley de Ciberseguridad se utilizará como metodología de referencia para la certificación de la Cartera. Para los requisitos no relacionados con la ciberseguridad, en particular los relativos a otros aspectos funcionales y operativos de la Cartera, se establecerá una lista de especificaciones, procedimientos y normas de referencia. Estos requisitos estarán sujetos a certificación.
5. Período para la emisión de la Cartera por los Estado miembros
Basándose en las orientaciones de los Estados miembros, se ha propuesto que el plazo de ejecución de 24 meses para que los Estados emitan una cartera de identidad digital europea tras la entrada en vigor del Reglamento se cuente a partir de la adopción de los actos de ejecución a que se refieren el artículo 6 bis, apartado 11, y el artículo 6 quater, apartado 4.
6. Tasas
Se ha aclarado en el artículo 6 bis, y en el considerando correspondiente que la expedición, utilización para autenticación y revocación de las carteras o wallets debe ser gratuita para las personas físicas. Excepto cuando las Carteras se utilicen para la autenticación, los servicios que se basen en el uso de la Cartera pueden incurrir en costes, por ejemplo, la emisión de las certificaciones electrónicas de atributos a la Cartera.
7. Acceso a las funciones de hardware y software, incluido el Elemento Seguro
La Presidencia ha sugerido que se prevea una articulación explícita de la nueva norma con el Reglamento de Mercados Digitales (Reglamento (UE) 2022/1925 (LA LEY 21630/2022)), que garantiza el acceso a las características de hardware y software como parte de los servicios básicos de plataforma prestados por los guardianes. En este sentido, un nuevo artículo 12 ter recién añadido aclara que los proveedores de las carteras y los emisores de medios de identificación electrónica notificados que actúen a título comercial o profesional son usuarios comerciales de los guardianes en el sentido de la definición respectiva de la DMA. Se ha añadido un considerando para esbozar la implicación de la interrelación con la DMA, a saber, que debe exigirse a los guardianes de acceso o gatekeepers que garanticen, de forma gratuita, la interoperabilidad efectiva con, y el acceso a efectos de interoperabilidad a, las mismas características de sistema operativo, hardware o software que estén disponibles o se utilicen en la prestación de sus propios servicios complementarios y de apoyo.
8. Posibilidades alternativas de emisión de certificación electrónica de atributos por parte de los organismos públicos
Se ha mantenido la emisión de atestados electrónicos cualificados de atributos por parte de proveedores cualificados, incluida la obligación de los Estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público. Además, se ha introducido la posibilidad de que la certificación electrónica de atributos con los mismos efectos jurídicos que la certificación electrónica cualificada de atributos pueda ser expedida a la Cartera directamente por el organismo del sector público responsable de la fuente auténtica o por un organismo del sector público designado en nombre de un organismo del sector público responsable de una fuente auténtica, siempre que se cumplan los requisitos necesarios. La propuesta se refleja en los nuevos artículos 45 bis (Legal effects of electronic attestation of attributes), 45 quinquies bis (Requirements for electronic attestation of attributes issued by or on behalf of a public sector body responsible for an authentic source) y en el anexo VII.
9. Cotejo de registros
El artículo 11 bis original ha pasado a denominarse Cotejo de registros, ya que refleja mejor el objetivo de la disposición. Basándose en el debate, se ha mantenido el concepto de identificador único y persistente para las carteras. La definición correspondiente aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales siempre que sirva a su propósito. Se establece explícitamente que la correspondencia de registros puede facilitarse mediante la atestación electrónica cualificada de atributos. Además, en el artículo 11 bis se ha incorporado una disposición de salvaguardia según la cual los Estados miembros garantizarán la protección de los datos personales e impedirán la elaboración de perfiles de los usuarios. Por último, los Estados miembros, en su calidad de partes usuarias, garantizarán el cotejo de los registros.