Comentamos hoy el segundo borrador de Reglamento de Ejecución relativo a los protocolos e interfaces que deben soportar el European Digital Identity Wallet (EUDIW). Este reglamento forma parte de un conjunto de cinco actos de ejecución destinados a definir los aspectos técnicos y operativos del EUDIW en desarrollo del Reglamento eIDAS2.
El objetivo principal de este acto es garantizar la interoperabilidad y seguridad de las carteras de identidad digital emitidas bajo el paraguas de los distintos Estados Miembros en toda la Unión Europea. Al establecer estándares comunes para los protocolos e interfaces, se busca facilitar de manera interoperable la emisión de datos de identificación personal y atestaciones electrónicas de atributos, la presentación segura de estos datos a las reliying parties en las carteras, la protección de los datos de los usuarios, y la capacidad de los usuarios para gestionar sus datos y reportar problemas a las autoridades competentes.
El reglamento introduce varias definiciones clave para entender el ecosistema de la EUDIW. Entre ellas, se define al usuario de la cartera como la persona física o jurídica titular de los datos de identificación personal asociados a un wallet o “unidad de cartera” entendida esta como una configuración única de una solución de cartera proporcionada a un usuario individual. La solución de cartera, por su parte, es una combinación de software, hardware y servicios gestionados por un proveedor de EUDIW. También se define a la parte que confía en la cartera como la entidad que utiliza las unidades de cartera para proporcionar servicios.
Un aspecto crucial del reglamento son las funcionalidades requeridas que los proveedores de EUDIW deben implementar en sus soluciones. En primer lugar, deben soportar protocolos para la emisión segura de datos de identificación personal y atestaciones electrónicas de atributos. Esto implica que las carteras deben poder recibir y almacenar de manera segura información como nombres, fechas de nacimiento, números de identificación y otros atributos relevantes para la identidad digital del usuario. En segundo lugar, las soluciones deben incluir mecanismos para presentar atributos a las reliying parties, tanto de forma remota como en proximidad. Así, un usuario debe poder, por ejemplo, demostrar su edad a un proveedor de servicios en línea o presentar su identificación en una tienda física, todo a través de su cartera digital. El reglamento especifica que esta presentación de atributos debe realizarse de acuerdo con el estándar ISO/IEC 18013-5:2021, que originalmente se desarrolló para licencias de conducir digitales, pero que ahora se aplica de manera más amplia a las carteras de identidad digital.
Otra funcionalidad clave es la capacidad de los usuarios para solicitar el borrado de sus datos personales. Los proveedores de EUDIW deben implementar interfaces que permitan a los usuarios ejercer su derecho al olvido, tal como se establece en el Reglamento General de Protección de Datos (RGPD). Esto incluye la capacidad de enviar solicitudes de borrado a las reliying parties con las que el usuario ha interactuado previamente a través de la cartera.
Además, el reglamento requiere que las soluciones de cartera incluyan herramientas para que los usuarios puedan reportar reliying parties sospechosas a las autoridades de protección de datos. Será la manera de mantener la integridad del ecosistema de identidad digital y proteger a los usuarios contra posibles fraudes o abusos.
En cuanto a la seguridad, el reglamento establece requisitos estrictos. Las unidades de cartera deben autenticar y validar los certificados de acceso de las reliying parties antes de cualquier interacción. Deberán verificar que la parte que solicita información está autorizada para hacerlo y que su certificado es válido y no ha sido revocado. Además, se requiere la autenticación mutua entre unidades de cartera cuando interactúan entre sí, lo que añade una capa adicional de seguridad en las transacciones peer-to-peer.
Un punto importante es que los usuarios deben aprobar explícitamente la presentación de sus atributos. Esto significa que cada vez que una parte que confía solicite información de la cartera, el usuario debe ser notificado y dar su consentimiento antes de que se comparta cualquier dato. Esta medida refuerza el control del usuario sobre sus datos personales y está en línea con los principios de privacidad por diseño.
El estándar técnico especificado en el anexo del reglamento, ISO/IEC 18013-5:2021, juega un papel esencial en la implementación de estas funcionalidades, ya que proporciona una base técnica común para la presentación de credenciales digitales, asegurando que las carteras de diferentes proveedores puedan interoperar de manera efectiva. Además, define protocolos de comunicación seguros y métodos de cifrado que protegen la privacidad del usuario durante las transacciones. La adopción de este estándar tiene implicaciones significativas para el desarrollo del ecosistema EUDIW. Por un lado, facilita la interoperabilidad entre diferentes soluciones de cartera, lo que es esencial para el éxito del proyecto a nivel europeo. Por otro lado, plantea desafíos para los proveedores de EUDIW, que deben asegurarse de que sus soluciones cumplan con las especificaciones técnicas detalladas del estándar.
Este reglamento de ejecución es crucial para garantizar que las carteras de identidad digital europea funcionen de manera consistente y segura en todos los Estados miembros. Al establecer protocolos e interfaces comunes, se facilita la interoperabilidad entre diferentes soluciones de cartera, se fomenta la confianza en el ecosistema de identidad digital europea y se refuerza la protección de los datos personales de los ciudadanos.
El borrador ha estado abierto a comentarios públicos hasta el 9 de septiembre de 2024, lo que ha permitido a las partes interesadas contribuir al desarrollo final del reglamento. Este período de consulta ha supuesto una oportunidad importante para que expertos en tecnología, defensores de la privacidad y otros actores relevantes aportaran sus perspectivas y ayudaran a refinar las especificaciones técnicas.
En conclusión, este reglamento de ejecución sobre protocolos e interfaces representa un paso significativo hacia la realización de un ecosistema de identidad digital interoperable y seguro en la Unión Europea. Establece un marco técnico detallado que equilibra la necesidad de interoperabilidad con los requisitos de seguridad y privacidad. Junto con los otros actos de ejecución relacionados, sienta las bases para el despliegue exitoso de la Cartera de Identidad Digital Europea, un elemento clave en la estrategia digital de la UE.
Este artículo forma parte de una serie de cinco que exploran en detalle los diferentes aspectos del marco técnico y operativo de la EUDIW, siendo el segundo después del artículo que abordó el Trust Framework. Los próximos artículos de la serie abordarán otros aspectos relevantes del EUDIW, proporcionando una visión completa de esta iniciativa transformadora en el ámbito de la identidad digital europea.