Cabe recordar que en junio de 2021, la Comisión había propuesto un marco para una identidad digital europea que estaría disponible para todos los ciudadanos, residentes y empresas de la UE a través de una cartera de identidad digital europea .
El nuevo marco propuesto modifica el reglamento de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior ( reglamento eIDAS ), que sentó las bases para acceder de forma segura a los servicios públicos y realizar transacciones en línea y transfronterizas en la UE.
La propuesta requiere que los estados miembros emitan una billetera digital bajo un esquema de eID notificado, basado en estándares técnicos comunes , luego de la certificación obligatoria . Para establecer la arquitectura técnica necesaria, acelerar la implementación de la regulación revisada, proporcionar pautas a los estados miembros y evitar la fragmentación, la propuesta estuvo acompañada de una recomendación para el desarrollo de una caja de herramientas de la Unión que define las especificaciones técnicas de la billetera.
La cartera de identidad digital europea
Uno de los principales objetivos políticos de la propuesta es proporcionar a los ciudadanos y otros residentes, tal como los define la legislación nacional, un medio europeo de identidad digital armonizado basado en el concepto de cartera europea de identidad digital.
Como un medio de identificación electrónica («eID») emitido bajo esquemas nacionales con un nivel de garantía «alto», Wallet sería un eID por derecho propio basado en la emisión de datos de identificación personal y la billetera por parte de los estados miembros. Por tanto, el texto de la orientación general del Consejo desarrolla aún más el concepto de monedero y su interacción con los medios de identificación electrónica nacionales.
Niveles de garantía
Los niveles de seguridad deberían caracterizar el grado de confianza en los medios de identificación electrónica, proporcionando así seguridad de que la persona que reclama una identidad particular es de hecho la persona a la que se le asigna esa identidad. En este sentido, la billetera debe emitirse dentro de un sistema de identificación electrónica que cumpla con el nivel de garantía «alto».
Además, se ha agregado una disposición específica sobre la incorporación de usuarios para abordar las preocupaciones de los estados miembros donde ya se ha emitido un número significativo de medios de identificación electrónica nacionales en el nivel de garantía «sustancial».
La disposición permite a un usuario utilizar sus medios de identificación electrónica nacional junto con procedimientos adicionales de incorporación remota para hacer posible la prueba de identidad con un nivel de seguridad «alto» y, en última instancia, para obtener una billetera.
Dado que el borrador del reglamento de identificación electrónica se basa en esquemas de certificación de ciberseguridad que deberían generar un nivel armonizado de confianza en la seguridad de las billeteras, se espera que el almacenamiento seguro de material criptográfico también esté sujeto a la certificación de ciberseguridad.
Por lo tanto, el texto contiene un nuevo considerando que aborda estas condiciones técnicas previas para lograr un nivel de garantía «alto» y permitir un proceso de seguimiento dentro de la implementación de billeteras de identidad digital europeas.
Notificación de las partes que confían
Se ha reformulado la parte de la propuesta sobre la notificación de las partes que confían. Como regla general, el proceso de notificación por medio del cual la parte que confía comunica su intención de confiar en la billetera debe ser rentable, proporcional al riesgo y garantizar que la parte que confía proporciona al menos la información necesaria para autenticarse en la billetera..
De manera predeterminada, solo se requiere información mínima y la notificación debe permitir el uso de procedimientos de autoinforme simples o automatizados.
No obstante, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición destinada a cubrir los casos en los que se requiere un procedimiento de registro o autorización más estricto.
Por el contrario, cuando la legislación nacional o de la Unión no establezca requisitos específicos para acceder a la información proporcionada por medio de la billetera, los estados miembros pueden eximir a dichas partes de confianza de la obligación de notificar su intención de confiar en las billeteras.
Certificación
La regulación debe aprovechar, depender y exigir el uso de esquemas de certificación de la Ley de Ciberseguridad relevantes y existentes , o partes de los mismos, para certificar el cumplimiento de las billeteras, o partes de las mismas, con los requisitos de ciberseguridad aplicables.
En consecuencia, el marco de la Ley de Ciberseguridad se aplica plenamente, incluido el mecanismo de revisión por pares entre las autoridades nacionales de certificación de ciberseguridad previsto en la Ley de Ciberseguridad.
Para alinear la regulación de eID y la Ley de Ciberseguridad en la medida de lo posible, los estados miembros designarán organismos públicos y privados acreditados para certificar la billetera según lo dispuesto en la Ley de Ciberseguridad.
Período de implementación para la provisión de la billetera y tarifas
Basado en la orientación de los estados miembros, el texto del Consejo propone que el período de implementación de 24 meses se cuente a partir de la adopción de los actos de implementación.
El texto también aclara que la emisión, el uso para la autenticación y la revocación de monederos deben ser gratuitos para las personas físicas.
Sin embargo, cuando se utilizan billeteras para la autenticación , los servicios que dependen del uso de la billetera pueden incurrir en costos, por ejemplo, la emisión de certificaciones electrónicas de atributos de la billetera.
Acceso a funciones de hardware y software
El texto establece una articulación explícita con la legislación existente, lo que garantiza el acceso a las funciones de hardware y software como parte de los servicios de la plataforma central proporcionados por los guardianes.
Una disposición recién agregada aclara que los proveedores de billeteras y los emisores de medios de identificación electrónica notificados que actúan en capacidad comercial o profesional son usuarios comerciales de guardianes dentro del significado de la definición en la Ley de Mercados Digitales (DMA).
También se ha agregado texto para delinear la implicación de la interconexión con el DMA , a saber, que se debe exigir a los guardianes que garanticen, de forma gratuita, la interoperabilidad efectiva y el acceso con fines de interoperabilidad al mismo sistema operativo, hardware o software. características que están disponibles o se utilizan en la prestación de sus propios servicios complementarios y de apoyo.
Posibilidades alternativas de emisión de atestación electrónica de atributos por parte de organismos públicos
Se ha mantenido la emisión de certificados electrónicos calificados de atributos por parte de proveedores calificados , incluida la obligación de los estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público.
Además, se ha introducido la posibilidad de que el organismo del sector público responsable de la fuente auténtica o el organismo del sector público designado en nombre de un organismo del sector público responsable de una fuente auténtica, siempre que se cumplan los requisitos necesarios.
Coincidencia de registros
Con respecto a la coincidencia de registros, se ha mantenido el concepto de identificador único y persistente para Wallets. La definición pertinente aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales si cumple su propósito.
Se establece explícitamente que el cotejo de registros puede ser facilitado por atestación electrónica calificada de atributos. Además, se ha añadido una disposición de salvaguardia, en virtud de la cual los estados miembros deben garantizar la protección de los datos personales y evitar la elaboración de perfiles de los usuarios. Por último, los estados miembros, en su calidad de partes confiantes, deben garantizar la coincidencia de registros.
Actuaciones futuras
La adopción del enfoque general permitirá al Consejo entablar negociaciones con el Parlamento Europeo («diálogos tripartitos») una vez que este último adopte su propia posición con vistas a llegar a un acuerdo sobre el reglamento propuesto.