eIDAS: Innovación legislativa... compitiendo con gigantes
Hace ya un año que recomendé en esta columna (Revista SIC nº 141: ”Espejito, espejito: ¿Quién accede a qué en mi compañía?”) la implementación de soluciones de “identidad autosoberana”, posiblemente basadas en tecnologías distribuidas como blockchain.
Hay escasos modelos de negocio que no requieran una comprobación de la identidad (autenticación) y de las posibilidades de acceso (autorización) de sus clientes. La ausencia de una infraestructura digital que permita comprobar la identidad de los clientes obliga a que cada compañía despliegue su propia solución. Como los datos que generan estos procesos de identificación tienen un gran valor comercial, pronto aparecieron alianzas de grandes compañías que proporcionan estos servicios a través de APIs programáticas. Actualmente, la mayoría de las necesidades de comprobación de identidad de modo digital y remoto residen en el sector privado. Una parte importante de ese sector privado digital que utilizamos en Europa no está localizado en suelo europeo.
El 3 de junio de 2021 la Comisión Europea publicaba un nuevo reglamento para la Identidad Digital Europea (eIDAS2), modificando el de 2014 y constataba cómo sólo 14 Estados Miembros habían desarrollado hasta la fecha un sistema de identidad electrónica. Este nuevo marco introduce elementos muy innovadores en la gestión digital de la identidad como es la posibilidad para el ciudadano de decidir qué elementos de su identidad comparte con cada uno de sus interlocutores: la identidad basada en atributos. Un concepto alineado con el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales de 2016 (RGPD en español, GDPR en inglés).
El presupuesto inicial de la infraestructura requerida para este proyecto alcanza los 30 billones de euros en su primer plan quinquenal (2022- 2027). El objetivo es que cada ciudadano pueda disponer de una cartera digital de identidad europea y que ésta sea válida para una multitud de casos de uso en todos los Estados Miembros de la Unión. El papel que ya juegan los servicios electrónicos prestadores de confianza en PSD2 (Directiva sobre servicios de pago en el mercado interior de 2015) aumenta en eIDA2 con la posibilidad de garantizar no sólo la identificación personal sino también las declaraciones electrónicas de atributos. La adopción de este reglamento junto a la implementación de la infraestructura será el primer paso. Es preciso que el sector privado europeo vea en el uso de este sistema paneuropeo de identidad digital una oportunidad real para proporcionar valor a los ciudadanos y, al mismo tiempo, no depender de iniciativas privadas no europeas.
El reconocimiento transfronterizo de identidades en toda Europa es esencial. Este proyecto es un claro ejemplo del valor añadido que Europa proporciona al unir esfuerzos más allá de los proyectos nacionales: una verdadera puerta a la creación de las bases para un mercado único digital. Así, cada emprendedor que requiera autenticar identidades no necesitará comenzar desde cero.
Evidentemente, quedan abiertos aún muchos interrogantes en este apuesta de futuro: cómo tratar de modo eficiente un incidente de ciberseguridad, cómo enlazar de modo eficaz con la directiva de ciberseguridad NIS2, cómo tratar los grandes desafíos de compatibilidad entre las distintas implementaciones nacionales, cómo desarrollar todo un cuerpo legal que cubra nuevos casos de uso y, si cabe, aún más importante, qué tecnología usaremos para implementar este esquema, en especial ahora que la Comisión Europea ha seleccionado a los siete proveedores de cadena de bloques encargados de implementar la infraestructura europea de servicios de blockchain (“European Blockchain Services Infrastructure”, EBSI).
Como anécdota, cabe comentar que la palabra “blockchain” sólo aparece en el texto legislativo una única vez: en un pie de página como parte del título de una referencia bibliográfica. Finalmente, me gustaría concluir este viaje a través de la innovación legislativa europea con una última pregunta: ¿qué relación tendrá nuestra cartera digital de identidad europea con el futuro “euro digital”?