Ignacio Alamillo Domingo, socio director de Astrea, es la autoridad europea en Identidad Digital por excelencia. Ha introducido las tecnologías DLT/blockchain en el nuevo marco regulatorio de la Identidad Digital Europea. Resume los cambios.
La propuesta de regulación sobre Identidad Digital Europea dará validez jurídica a la tecnología blockchain y al resto de las DLTs. Máximos ejecutivos del gobierno europeo acaban de presentar la última versión del “Reglamento eIDAS” para regular la Identidad Digital europea de forma autosoberana (basada en tecnología descentralizada DLT y blockchain). Es la Identidad Digital descentralizada.
El nuevo marco puede ayudar a superar problemas que impiden el despliegue de las soluciones de SSI (self sovereign identity) y DLT/Blockchain. En especial, desde la óptica de la responsabilidad legal. Esperemos que llegue a buen término, y sitúe a la Unión Europea en la vanguardia de uso de estas tecnologías, con las suficientes garantías para toda la sociedad.
Bruselas apoya
Margrethe Vestager, Vicepresidenta Ejecutiva de la Comisión Europea, y Thierry Breton, Comisario de Mercado Interior, presentaron la propuesta de modificación del “Reglamento Eidas” (Rg 910/2014, UE) en Bruselas. La propuesta establece un marco de Identidad Digital Europea, que impulsa y da validez jurídica a la SSI y las DLTs.
La propuesta supera los frenos del Reglamento eIDAS (sistema europeo de reconocimiento de identidades electrónicas) para lograr una identidad legal útil para el Mercado Único Digital. No solo eso. El concepto de identidad digital ahora propuesto es mucho más amplio que el sistema de identificación electrónica del antiguo reglamento. La Identidad Digital se refiere a todos los atributos vinculados a una persona, e incluye las titulaciones académicas, las situaciones profesionales, los datos bancarios y las informaciones en registros jurídicos y administrativos.
ID blockchain
La reforma del Reglamento eIDAS para realizar la Identidad Digital Europea resuelve las carencias y limitaciones del actual Reglamento. Apuesta por el modelo de identidad digital autosoberana (SSI), vinculada o derivada de la identidad legal.
La identidad digital descentralizada irá en el móvil. La reforma crea la obligación de los Estados Miembros de emitir un European Digital Identity Wallet (Cartera de Identidad Digital Europea) a las personas físicas y jurídicas. Los usuarios podrán obtener, almacenar e intercambiar sus datos de identidad legal y las credenciales de atributos de identidad, y crear firmas electrónicas cualificadas con esta Cartera.
La Cartera ID
La Cartera debe ser emitida con nivel de seguridad alto, y tendrá interfaces que permitan su interoperabilidad. Será gratuita para las personas físicas. La propuesta incluye una prolija regulación para su funcionamiento correcto y seguro, y el uso de terceros (públicos y privados).
El Estado podrá emitir directamente la Cartera, mandar su emisión, o reconocer a entidades públicas o privadas para que lo hagan. Esta posibilidad permitiría desarrollar un mercado con operadores privados que ejercieran potestades administrativas en régimen de competencia, podría ser una fórmula de política industrial muy conveniente.
El servicio de confianza de certificación electrónica de atributos queda regulado. Se define su efecto jurídico, su uso en las relaciones con entidades del sector público, los requisitos exigibles, la verificación de atributos frente a fuentes auténticas, su emisión a la Cartera de Identidad Digital Europea y las reglas adicionales.
La eCertificación
La propuesta establece que una certificación electrónica de atributos tendrá el mismo efecto jurídico que la certificación expedida en papel (según el principio de equivalencia funcional). El profesor Valero Torrijos y yo realizamos esta propuesta en 2017 (proyecto H2020 ARIES) , y la enfaticé en el gran confinamiento de 2020, en el SSI eIDAS Legal Report de EBSI V1.0 (proyecto eIDAS Bridge). Puede dotar de eficacia jurídica a las pruebas de conocimiento cero o nulo (ZKP).
El Reglamento eIDAS recoge la identidad digital autosoberana (SSI) completa, y es una oportunidad para la industria de nuestro país. Debería permitir la superación del RD-Ley 14/2019, al menos desde la óptica de la prohibición de uso de estos sistemas.
Regular Blockchain
Los cambios del Reglamento eIDAS incluyen una regulación del libro mayor electrónico DLT/blockchain, que he tenido el honor de realizar. Es la primera vez que se propone una visión completa, con un enfoque neutral que incluye soluciones centralizadas. Se define el concepto, se establecen los requisitos, y se indica el efecto jurídico. El marco definido es pan-Europeo para prevenir la fragmentación, y permitir el reconocimiento transfronterizo de los servicios de confianza que ofrezcan soporte a la operación de los libros mayores electrónicos. Es relevante cuando el enfoque técnico sea el de una DLT o Blockchain.
La propuesta indica que la tecnología DLT/blockchain aporta prueba inmutable de auditoría para seguir las transacciones y el registro de datos, protegiendo su integridad. Esto es útil para compartir los datos de fuentes descentralizadas, para las soluciones de identidad autosoberana o para dar titularidad a los activos digitales.
Todo libro mayor electrónico se beneficiará del principio de no discriminación. Gozará de una presunción de unicidad y autenticidad de los datos que contiene, de su fecha y hora, y de su ordenación secuencial cronológica dentro del libro, cuando sea cualificado.
La Comisión Europea podrá adoptar normas técnicas apropiadas para facilitar la adopción. Un ejemplo. El trabajo de la delegación española de UNE CTN71/SC307 dentro y fuera de España, y de los expertos de Alastria que colaboran con ella.
No es la primera vez que se intenta regular la tecnología de registro distribuido. El profesor Bernal Blay lo ha hecho en la normativa aragonesa de forma pionera. Italia y Andorra han regulado.
Los frenos
Tres frenos han impedido el reconocimiento de una dentidad electrónica pan-europeo hasta ahora. Los Estados Miembros no están obligados a introducir sistemas de identificación electrónica en sus territorios. Los Estados que lo han hecho no están obligados a notificarlo, no pueden emplearlo en transacciones transfronterizas. Un ejemplo. España ha notificado el DNIe. Al contrario, no ha notificado Cl@ve (sistema más usado por ciudadanos), ni sistemas basados en certificado electrónico cualificado que la Administración obliga a usar a los profesionales y las empresas para relacionarse con ella.
Los Estados Miembros que han introducido y notificado sistemas de identificación electrónica no tienen obligación de permitir su uso a entidades del sector privado. Se pierde la oportunidad de facilitar los procesos de negocio transfronterizos en sectores regulados, como el financiero.
Completar eIDAS
No han sido los únicos problemas. El Reglamento eIDAS no reguló los atributos personales, y el uso e intercambio de estos atributos no se desarrolló adecuadamente. Ha sido un freno a su utilización, a pesar de la madurez de la tecnología, como demuestra el modelo de referencia Alastria ID.
En paralelo, las grandes plataformas digitales (redes sociales y servicios gratuitos en Nube para usuarios finales) han desarrollado modelos de negocio basados en ofrecer perfiles a los usuarios, que captan y estructuran la máxima cantidad de datos personales para monetizar la información de forma indirecta.
Los usuarios han perdido el control sobre sus datos (economía de la vigilancia), y tienen una dependencia excesiva de estos proveedores (feudalismo digital). Los Estados han perdido soberanía digital.