El ecosistema digital europeo está experimentando una transformación clave con la implementación del Reglamento eIDAS 2, un marco legal actualizado que regula la identificación y los servicios de confianza en el ámbito digital. Este tercer artículo se enfoca en el proyecto de Reglamento de Ejecución sobre datos de identificación personal y atestaciones electrónicas de atributos para la Cartera de Identidad Digital Europea (EUDIW), que establece las normas técnicas y operativas cruciales para la implementación de este sistema de identidad digital a nivel europeo.
Este reglamento introduce una serie de términos técnicos esenciales para comprender el funcionamiento de la EUDIW. Entre estos se encuentra el concepto de «wallet unit», que se refiere a una configuración única de una solución de cartera que incluye instancias, aplicaciones criptográficas seguras y dispositivos criptográficos seguros. La «wallet secure cryptographic application» es una aplicación que gestiona activos críticos utilizando funciones criptográficas proporcionadas por el dispositivo criptográfico seguro, mientras que el «wallet secure cryptographic device» es el entorno que aloja esta aplicación y proporciona las funciones criptográficas. Los «critical assets» son información que pondría en estado crítico a una unidad de cartera si se viera comprometida, requiriendo protección contra duplicación y manipulación. La «wallet cryptographic operation» es el mecanismo criptográfico necesario para la autenticación del usuario y la emisión o presentación de datos de identificación personal o atestaciones electrónicas de atributos. El «wallet relying party access certificate» es un certificado para sellos o firmas electrónicas que autentica y valida a la parte que confía en la cartera. La «wallet unit attestation» es un objeto de datos que describe los componentes de la unidad de cartera, permite su autenticación y validación, y está criptográficamente vinculado a los dispositivos criptográficos seguros. La «embedded disclosure policy» es un conjunto de reglas incorporadas en una atestación electrónica de atributos que indica las condiciones que una parte que confía debe cumplir para acceder a la atestación. Finalmente, el «cryptographic binding» es el método para vincular datos de identificación personal o atestaciones electrónicas de atributos a unidades de cartera mediante medios criptográficos.
El reglamento establece que los proveedores de carteras digitales deben garantizar que estas soporten protocolos y herramientas para manejar la emisión de datos personales y atestaciones electrónicas sobre atributos. Esto incluye mostrar esos atributos a las partes que confían en ellos, comunicarse con otras carteras, gestionar solicitudes para eliminar datos y notificar a las autoridades supervisores en caso necesario. Además, las carteras deben verificar y autenticar los certificados de las partes que confían, así como las atestaciones de otras carteras. También deben validar solicitudes que utilicen certificados de acceso o atestaciones, mostrar la información relevante a los usuarios, como los atributos solicitados, y ofrecer sus propias atestaciones a las partes o carteras que las requieran. Para proteger los datos y garantizar el consentimiento del usuario, las unidades de cartera no deben presentar ningún atributo solicitado hasta que la aplicación criptográfica segura haya autenticado la identidad del usuario, se hayan procesado las políticas de divulgación integradas, y los usuarios hayan aprobado la presentación.
En cuanto a la emisión de datos de identificación personal y atestaciones, el reglamento establece que las carteras deben solicitar datos y atestaciones solo de partes con certificados de acceso válidos y auténticos. Las unidades de cartera deben autenticar y validar los certificados utilizando la lista de confianza de proveedores de certificados de acceso, y verificar si el certificado de acceso se ha emitido a un proveedor de datos de identificación personal, de atestaciones cualificadas, de atestaciones emitidas por organismos públicos, o de atestaciones no cualificadas. Para la presentación de atributos, las soluciones de cartera deben soportar protocolos tanto para escenarios remotos como de proximidad, de acuerdo con el estándar ISO/IEC 18013-5:2021. Deben responder a solicitudes autenticadas y validadas de las partes que confían, soportar la prueba de posesión de claves privadas correspondientes a las claves públicas utilizadas en los vínculos criptográficos, y permitir la divulgación selectiva de atributos.
El reglamento también aborda la gestión de datos y los derechos del usuario, requiriendo que las soluciones de cartera permitan a los usuarios solicitar el borrado de sus datos personales a las partes que confían, muestren las solicitudes de borrado previamente enviadas, y faciliten la notificación de partes que confían sospechosas a las autoridades de protección de datos. El anexo del reglamento proporciona especificaciones detalladas para los datos de identificación personal, definiendo atributos obligatorios y opcionales. Los atributos obligatorios incluyen family_name, given_name, birth_date, family_name_birth, given_name_birth, birth_place, sex, nationality, issuance_date, expiry_date, issuing_authority, e issuing_country. Los atributos opcionales comprenden age_in_years, age_birth_year, birth_country, birth_state, birth_city, resident_address, resident_country, resident_state, resident_city, resident_postal_code, resident_street, resident_house_number, personal_administrative_number, age_over_18, age_over_13, portrait, y document_number.
En cuanto a la codificación de atributos, los datos de identificación personal deben emitirse en dos formatos: ISO/IEC 18013-5:2021, con atributos codificados en CBOR, y ‘Verifiable Credentials Data Model 1.1.’ de W3C, con atributos codificados en JSON. Además, los datos de identificación personal deben autenticarse contra la lista de confianza de proveedores de datos de identificación personal proporcionada por la Comisión Europea. La implementación de estas especificaciones técnicas y operativas presenta varios desafíos y oportunidades. La adopción de estándares comunes como ISO/IEC 18013-5:2021 y el modelo de Credenciales Verificables de W3C facilita la interoperabilidad entre diferentes implementaciones de carteras y sistemas de verificación. El énfasis en aplicaciones y dispositivos criptográficos seguros, así como en operaciones criptográficas para la autenticación y presentación de datos, establece un alto nivel de seguridad para la protección de la información sensible de los usuarios. La distinción entre atributos obligatorios y opcionales, junto con la capacidad de divulgación selectiva, permite un enfoque flexible y centrado en la privacidad para la gestión de la identidad digital. El uso de certificados de acceso y listas de confianza proporciona un mecanismo robusto para verificar la autenticidad de las partes que confían y los proveedores de datos. Los requisitos para el borrado de datos y la notificación de partes sospechosas refuerzan el control del usuario sobre sus datos personales y la capacidad de respuesta ante posibles abusos. La estandarización de los formatos de datos y los protocolos de comunicación sienta las bases para un sistema escalable que puede adaptarse a una amplia gama de casos de uso en toda la Unión Europea. La especificación de dos formatos de codificación (CBOR y JSON) refleja una consideración de diferentes enfoques tecnológicos y permite cierta flexibilidad en la implementación.
Este artículo forma parte de una serie de cinco que exploran los diferentes aspectos del marco técnico y operativo de la EUDIW, siendo este el tercero tras los anteriores: “Trust Framework del EUDIW. Las cinco implementing acts del eIDAS2” y “Protocolos e interfaces de la Cartera de Identidad Digital Europea: Un paso hacia la interoperabilidad”.