Nacho Alamillo es doctor en derecho con una tesis sobre identidad digital (ID) y servicios de confianza, es uno de los mayores expertos españoles en ello, reconocido por contratos de la Comisión Europea y otros organismos cuando se aborda el tema. Colabora en el proyecto de la ID soberana de la Generalitat de Catalunya basada en la tecnología blockchain, destinada a los ciudadanos de la comunidad autónoma.
Pregunta: La presentación de la Generalitat de Cataluña sobre la realización de la ID soberana, con el anuncio de la licitación para hacerla ha levantado polvareda. En medios públicos se dice que esta ID soberana está pensada para dar a las autoridades catalanas un censo de los habitantes de la comunidad, de cara a formar el nuevo Estado independiente. ¿Usted qué opina?
Respuesta: La ID soberana basada en blockchain sería, precisamente, el anticenso. Su principal característica es convertir al ciudadano en propietario, gestor y custodio exclusivo de su identidad y de sus datos. Con ella, los dueños de los datos son los únicos que pueden utilizarlos para darlos a terceros. En este sentido, blockchain empodera a los ciudadanos. La Generalitat se limitará a dar las herramientas para hacerlo, pero en ningún caso tendrá la custodia de los datos. La ID soberana de la Generalitat no sirve para hacer un censo.
Conozco esta iniciativa desde hace cuatro años, y me consta que se han hecho movimientos para evitar su politización. Se enmarca dentro de la estrategia blockchain desarrollada por las autoridades catalanas.
P: Existe un DNI electrónico de España, y una clave pública reconocida por las autoridades para interactuar con las administraciones. ¿No es suficiente?
R: Ambos sistemas plantean problemas de privacidad. El DNI electrónico es un certificado cualificado, es muy bueno, pero ha dado problemas técnicos con algunos navegadores. Por encima de ello, su principal problema es que un ciudadano debe entregar todos los datos que contiene el DNI electrónico para identificarse con él, es una identificación excesiva. Si queremos certificar solo nuestro nombre, por ejemplo, ¿por qué debemos mostrar nuestra edad, lugar de nacimiento, dirección y el nombre de nuestros padres con ello? Esto no sucede con la ID soberana porque quien la tiene elige los datos que quiere mostrar.
El problema de la información de la clave pública es que se guarda en un dispositivo central que podría ser atacado. Sin embargo, la ID soberana se guarda en el dispositivo elegido por su dueño, que puede ser un wallet.
P: ¿Existen otras formas de identificarse ante las administraciones?
R: Sí. Varias comunidades autónomas y empresas tienen sistemas de identificación basados en criptografía de clave pública. Valencia y el País Vasco tienen sistemas propios, y Cataluña tiene el IDCat desde 2003. La Ley de Procedimiento Administrativo Común reconoce otros sistemas para ser usados solo en las respectivas administraciones autonómicas que los emiten, y se cumple.
P: ¿Qué debe suceder para que una identidad pueda ser utilizada para hacer trámites online en las administraciones de los países de la Unión Europea?
R: El reglamento EIDAS de la UE es un marco de cooperación entre Estados, basado en la autenticación online delegada. Dice que todas las entidades del sector publico deben admitir los sistemas de identificación notificados por los Estados miembros, si cada Estado lo avala con su responsabilidad patrimonial y se notifica a la Comisión Europea. En este caso, la notificación es un complejo proceso de reconocimiento multilateral de la UE, y debe hacerlo la administración de cada Estado. El proceso tiene un coste, implica una evaluación entre los estados miembros, elevar informes….
El Estado español solo ha notificado el DNI electrónico, y es el único documento español con validez legal en toda la UE. Ni siquiera ha notificado Cl@ve, que tiene validez para pagar impuestos en la administración central. Cada Estado es libre de notificar o no. O sea, el reconocimiento transfronterizo de un sistema de identificación electrónico va unido a que el Estado donde se ha desarrollado lo notifique.
P: ¿Es el proceso que deberá seguir la ID soberana impulsada por la Generalitat de Cataluña para que sea reconocida a todos los efectos entre los países miembros de la UE?
R: Sí. El Estado español deberá realizar el trámite de notificarla para que tenga plena validez en todos los estados miembros de la UE, aunque para ello se deberá antes adecuar el marco técnico del Reglamento eIDAS. Pero la ID soberana puede ser útil para muchas más cosas que para realizar trámites administrativos en los Estados de la UE. Por otra parte, los organismos europeos de normalización trabajan en la ID soberana permitida por la tecnología blockchain, yo estoy contratado en este grupo de trabajo para ayudar en la parte jurídica. Para mí, la gran pregunta es ¿los estados miembros de la UE van a permitir una tecnología que dará el pleno poder de los datos al ciudadano?