Los últimos meses han sido muy activos en lo que tiene que ver con el desarrollo de la Cartera IDUE de la que ya he hablado en este Blog, y la revisión del marco regulatorio para modificar el Reglamento EIDAS, que. de momento, se denomina EIDAS2.

En el siguiente esquema («Timeline«) se resumen algunos hitos y actividades que incluyen también los referidos a la licitación del desarrollo del código fuente de referencia de la Cartera IDUE y los Grandes Proyectos Piloto.

(algunos párrafos se describen con letra muy pequeña, por lo que puede ser interesante ver el gráfico en una ventana nueva)

Desde hace unas semanas hemos entrado ya en la fase de Trílogos (tras la votación del 16 de marzo de 2023), y hasta llegar ahí se han dado algunos pasos, entre otros, los que ya resumí en el post Situación actualizada a noviembre de 2022 del proceso legislativo para reformar el Reglamento EIDAS

Las normas actuales sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (es decir, el Reglamento eIDAS) que datan de 2014 tienen por objeto hacer que los sistemas nacionales de identificación electrónica sean interoperables en toda Europa para facilitar el acceso a los servicios en línea. En la Estrategia digital de la UE «Configurar el futuro digital de Europa», la Comisión anunció que iba a revisar el Reglamento eIDAS para mejorar su eficacia, ampliar su aplicación al sector privado y promoverlo. El artículo 49 del Reglamento EIDAS ya preveía esta revisión:

La Comisión revisará la aplicación del presente Reglamento e informará al Parlamento Europeo y al Consejo a más tardar el 1 de julio de 2020. La Comisión evaluará en particular si es apropiado modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluidos el artículo 6, la letra f) del artículo 7 y los artículos 34, 43, 44 y 45, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica.

El informe mencionado en el párrafo primero irá acompañado, en caso necesario, de propuestas legislativas.

Asimismo, la Comisión presentará un informe al Parlamento Europeo y al Consejo cada cuatro años tras el informe mencionado en el párrafo primero sobre la marcha hacia el logro de los objetivos del presente Reglamento.

El 3 de junio de 2021, la Comisión publicó su propuesta de emiendas al Reglamento EIDAS. Con la propuesta, la Comisión esperaba cumplir los objetivos de su brújula digital (Brújula Digital 2030: El enfoque de Europa para el Decenio Digital), que dice que para 2030 todos los servicios públicos clave estarán disponibles en línea, todos los ciudadanos tendrán acceso a sus historiales médicos digitales y el 80 % de los ciudadanos deberían utilizar una identificación digital. 

Además, la Comisión espera que la seguridad y el control que ofrece el marco europeo actualizado de identidad digital ofrezcan a todos los medios para controlar quién tiene acceso a su ID digital y a qué datos exactamente. Ya no se impulsarían soluciones nacionales de identidad digital y se crearía un nuevo enfoque para prestar servicios de testimonios electrónicos de atributos válidos a nivel europeo. 

En el Parlamento, el expediente ha sido asignado a la Comisión de Industria, Investigación y Energía (ITRE). La ponente es Romana Jerković (S&D, Croacia). Publicó su proyecto de informe el 31 de mayo de 2022, en el que proponía una serie de cambios en la estructura, la ciberseguridad y la privacidad de la cartera europeo de identidad digital. También propuso un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital.

A lo largo del proceso se presentaron tres informes con propuestas de enmiendas respecto al texto presentado por la comisión el 3 de junio de 2021:

• Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 1 a 139,
• Informe de 05.07.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 140 a 368,
• Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 369 a 653.

La Comisión ITRE adoptó su posición el 9 de febrero de 2023, que fue confirmada en el Pleno del 16 de marzo de 2023 (418 votos a favor, 103 en contra y 24 abstenciones).

Los principales cambios propuestos en el informe son los siguientes:

• Estructura de la cartera europea de identidad digital: el informe ampliaría el uso de la cartera, permitiendo a los ciudadanos no solo demostrar su identidad y compartir documentos, sino también verificar las identidades y documentos de las empresas y de otros ciudadanos. También hace hincapié en que la cartera debe seguir siendo voluntaria, gratuita para los particulares, así como para las empresas Y los usuarios deben poder realizar un seguimiento de todas las transacciones ejecutadas a través de la cartera. Los Estados miembros dispondrían de 18 meses (la Comisión propuso inicialmente 12 meses) tras la entrada en vigor del Reglamento eIDAS para emitir la cartera.
• Privacidad y seguridad: tanto la ciberseguridad como la privacidad de la cartera se refuerzan, pidiendo explícitamente que el diseño de la cartera garantice la ciberseguridad y la privacidad por diseño.
• «Principio de una sola vez»: los ciudadanos y las empresas no deberían tener que facilitar los mismos datos a las autoridades públicas más de una vez.
• Identificación transfronteriza del usuario: en lugar de «identificación única» (como proponía la Comisión), el informe propone la expresión «identificación transfronteriza del usuario» y propone que los Estados miembros que tengan al menos un identificador único emitan identificadores únicos y persistentes solo para uso transfronterizo.
• Gobernanza: se añade un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital. El informe propone crear un Consejo Marco Europeo de Identidad Digital (EDIFB), compuesto por las autoridades nacionales competentes y la Comisión.
• Certificados cualificados para la autenticación de sitios web: el informe añade que no se impediría a los navegadores web tomar las medidas necesarias y proporcionadas para hacer frente a los riesgos justificados de violaciones de la seguridad, la privacidad del usuario y la pérdida de integridad de los certificados, lo que aligera la obligación de aceptar certificados QWAC europeos.

En el Consejo Europeo, el Grupo «Telecomunicaciones y Sociedad de la Información» comenzó a examinar el expediente en junio de 2021. El 6 de diciembre de 2022, el Consejo adoptó su Posición Común (orientación general) sobre el expediente (Council´s general approach). Los Estados miembros introdujeron algunas modificaciones en el funcionamiento de la cartera para garantizar que la persona que reclama una identidad sea realmente su titular. También se aseguró de que el texto estuviera en consonancia con otras leyes de la UE, como la legislación sobre ciberseguridad. Según el texto del Consejo Europeo, los Estados miembros tendrían 24 meses después de la entrada en vigor de los actos de ejecución para proporcionar la Cartera.  Finalmente, el Consejo cree que la billetera no debería costar nada para las personas, pero las empresas pueden incurrir en costos para la autenticación con la billetera.

Los colegisladores iniciaron negociaciones tripartitas (trílogos) sobre el expediente el 21 de marzo de 2023.

Información externa:

• Resumen del proceso, elaborado por Maria Niestadt, sobre los trabajos impulsados por la ponente Romana Jerković
• Texto usado de base al inicio de los Trilogos tras las votaciones: 418 a favor, 103 en contra y 24 abstenciones.
• Ponencia de Dietmar Gattwinkel en el evento de ENISA «Cybersecurity Standardisation Conference 2023«

Referencias:

• Observatorio Legislativo del PE, Marco Europeo de Identidad Digital, 2021/0136(COD)
• Comisión Europea, Propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un marco para una identidad digital europea, COM(2021) 281
• Comisión Europea, Reglamento (UE) n.º 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE
• Comité Europeo de las Regiones, Dictamen sobre la identidad digital europea, CDR 3686/2021
• Comité Económico y Social Europeo, Dictamen sobre la identidad digital europea, CESE 2021/02756
• Parlamento Europeo, Comisión de Industria, Investigación y Energía proyecto de informe sobre un marco para una identidad digital europea, 2021/0136(COD)
• Consejo, orientación general sobre una propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un marco para la identidad digital europea, 14959/22
• Parlamento Europeo y el Parlamento están dispuestos a negociar con el Consejo una cartera digital a escala de la UE, comunicado de prensa, 16 de marzo de 2023

Otras documentos de interés:

• Parlamento Europeo, EPRS, Actualización del marco europeo de identidad digital, informe legislativo, septiembre de 2022
• Parlamento Europeo, EPRS, Revisión del Reglamento eIDAS: conclusiones sobre su ejecución y aplicación, informe, marzo de 2022
• Parlamento Europeo, EPRS, Firmas electrónicas, de un vistazo, diciembre de 2022
• Parlamento Europeo, EPRS, Certificados cualificados para la autenticación de sitios web, enero de 2023