Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
El 29 de junio de 2023 he tenido el placer de participar en la mesa de debate incluida en la formación de los Asesores de las Oficinas Acelera Pyme de las Cámaras de Comercio Claves para ayudar y asesorar a las PYMES en su transformación digital, en la que hemos intercambiado ideas Héctor Benítez, Julián Inza, Jordi Masías y Raúl Rubio.
La Mesa redonda «Las claves de la digitalización que viene» forma parte del MÓDULO 07 – CIERRE DEL PROGRAMA FORMATIVO de la Formación de Asesores de las Oficinas Acelera Pyme de las Cámaras de Comercio.
Previamente hubo una interesante ponencia de Paloma Llaneza sobre el contexto legislativo del Reglamento EIDAS2 que ha evolucionado desde la propuesta de junio de 2021 hasta el anuncio de relevantes acuerdos en los trílogos que se realizaron en la madrugada del mismo día 29 de junio de 2023.
La ponencia de Paloma describió también la licitación para el desarrollo del código fuente del modelo de referencia de la Cartera IDUE y la licitación, adjudicación e inicio de los 4 Grandes Proyectos Piloto. Otro aspecto relevante citado fue la publicación del ARF (Architecture and Reference Framework) de la Cartera IDUE (o EUDI Wallet).
En la formación se trataron 7 módulos:
MÓDULO 01: Introducción a la transformación digital: se analizó la identidad digital, con qué han de contar las empresas y la importancia de los certificados electrónicos.
MÓDULO 02: Regulación & Compliance. Se realizó una introducción al reglamento eIDAS y a la Ley 6/2020, los distintos niveles de firma electrónica y pautas para saber si una empresa cumple con la normativa.
MÓDULO 03: Digitalización de procesos de aprobación. Se describió en qué consiste un proceso de aprobación y cómo mejorar la productividad en la empresa, cómo crear un flujo de firmas electrónicas y distintos casos de éxito.
MÓDULO 04: Otras garantías de procesos. Se trataron aspectos de transformación digital de la empresas: Facturación electrónica, comunicaciones certificadas y casos reales de sellado de tiempo y sellos electrónicos y validación de firmas y sellos electrónicos.
MÓDULO 05: El autónomo. Los expertos explicaron qué es la identidad digital del autónomo y su importancia, los requisitos para que el autónomo se relaciones con las AAPP y explicaron ejemplos que representan lo que puede considerarse un autónomo digitalizado.
MÓDULO 06: PYMES. Se trataron los fraudes, estafas y fuga de información y como evitarlos. Se vieron también distintas herramientas de onboarding digital y casos de uso de relación con las AAPP (certificados electrónicos, custodia cifrada, etc.)
MÓDULO 07: Cierre del programa formativo. Se trató de evento comentado, con la mesa redonda “Las claves de la digitalización que viene» y la prevista regulación europea sobre la identidad digital (y la EDIW «European Digital Identity Wallet»).
La formación dio comienzo en el mes de abril de 2023, organizada por la Cámara de Comercio de España, junto con AC Camerfirma SA y dentro de su acuerdo con Red.es.
Otros datos del curso en el que se enmarca el evento
Título: «El blockchain para municipios. ¿cómo podemos implantarlo en nuestro ayuntamiento?»
Duración del curso: 20 horas
Fechas: 7, 8, 14 y 15 de junio
Horario: de 9h a 14h
Número máximo de participantes: 50
Modalidad: A distancia
La UE está acelerando el desarrollo y la adopción de tecnologías avanzadas para que los ciudadanos, las administraciones y las empresas puedan disfrutar de todo el potencial del mundo digital, impulsando las tecnologías de registro cronológico, entre las que se podrían encontrar las de tipo Blockchain.
Este curso incluye un primer módulo general sobre la agenda política de la Década Digital, con objetivos concretos para 2030, y cómo las RJT (Replicated Journal Technologies) influirán en la transformación digital de Europa y, a continuación, tres módulos que tratarán la identidad, la sostenibilidad y las finanzas.
Profesorado:
En cada sesión una primera parte de contenido teórico de tres horas explicada por Carmen Pastor Sempere, seguida de otras dos horas de experiencia práctica explicada por otros ponentes («Guest Speakers»).
María del Carmen Pastor Sempere es profesora de Derecho Mercantil de la Universidad de Alicante. Desde el curso 2017-2018 es la Directora del Grupo BAES (laboratorio de blockchain del Instituto de Economía Internacional de la Universidad de Alicante).
Otros ponentes:
María José Vañó Vañó, PDI (Personal Docente e Investigador)-Titular de la Universidad de valencia. UV Directora del Instituto Universitario de Economía Social, Cooperativismo y Emprendimiento (IUDESCOOP)
Julián Inza, Presidente de EADTrust (European Agency of Digital Trust). Director del Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE.
Session 1: Enrique Aznar, miembro investigador de BAES Blockchain Lab.
Session 2: Carlos Alarcón Jefe de Sección de Ciudades Inteligentes en la Diputación Valencia y Manuel Gil Parres, Gerente en Street Pinball Vending Machine
Session 3: Ramón Martínez, senior developer de BlockchainFUE coop. V y Joaquín Mas, Director de Enercoop.
Session 4: José Antonio Amador, Director Técnico de ACCV-ISTEC y Ramón Martínez, senior developer de BlockchainFUE coop. V.
Sesiones:
Sessión 1 – UNIDAD DIDÁCTICA 1. Blockchain como soporte digital ODS. Década digital europea: objetivos digitales para 2030. La UE promoverá su agenda digital centrada en el ser humano en la escena mundial y fomentará la alineación o convergencia con las normas y estándares de la UE. También garantizará la seguridad y la resiliencia de sus cadenas de suministro digitales y ofrecerá soluciones globales. La tecnología Blockchain debe ser sostenible y eficiente desde el punto de vista energético. Le mostraremos cómo los municipios y las provincias lograrán estos objetivos y cómo la tecnología blockchain se alinea con los ODS.
Sessión 2 – UNIDAD DIDÁCTICA 2. Economía local y desarrollo. La UE quiere ser líder en Blockchain (tecnología de cadena de bloques), y acoger importantes plataformas, aplicaciones y empresas. Esto implica un entorno local que proyecte e impulse hacia un mercado único digital interconectado, interoperable y seguro.
Sessión 3 – UNIDAD DIDÁCTICA 3. Sostenibilidad y trazabilidad. Comunidades energéticas. El uso de la tecnología Blockchain para liberar el potencial del Internet de las Cosas en toda Europa podría ser una de las mejores opciones para combatir el cambio climático y los retos medioambientales. La UE reconoce el potencial de blockchain y apoya el uso de la tecnología blockchain para promover el desarrollo económico sostenible, hacer frente al cambio climático y apoyar el Nuevo Pacto Verde Europeo. Comunidades energéticas.
Sessión 4 – UNIDAD DIDÁCTICA 4. La Identidad Digital de la UE estará disponible para los ciudadanos, los residentes y las empresas de la UE que deseen identificarse o confirmar determinada información personal. Puede utilizarse para acceder a servicios, tanto públicos como privados, en línea o fuera de línea, en toda la UE y permitirá realizar firmas electrónicas cualificadas. La cartera de identidad digital de la UE se está probando en cuatro proyectos a gran escala que se lanzaron el 1 de abril de 2023
En el contexto del desarrollo de la Cartera IDUE de la que ya he hablado en este Blog hay varias iniciativas en marcha que contribuyen a elevar las expectativas y a acelerar el proyecto. Un gran reto para un proyecto complejo, especialmente considerando su carácter transfronterizo.
Uno de los aspectos de los que se esperan avances es el de la estandarización.
El organismo ETSI ha desarrollado diferentes normas técnicas en el contexto del Reglamento (UE) 910/2014 (EIDAS) y también está activo preparando las normas técnicas que se aplicarán una vez que se apruebe el Reglamento EIDAS 2, lo cual puede suceder antes de que se acabe el primer semestre de 2023.
Las normas orientadas a EIDAS 2 (y a la Cartera IDUE) son, entre otras, la ETSI TS 119 462, la ETSI TS 119 471 y la ETSI TS 119 472 de las que incluyo una breve explicación.
ETSI TS 119 462 Cartera IDUE – Interfaces de cartera para servicios de confianza y firma electrónica (EUDI Wallet -Wallet interfaces for trust services and electonic signature)
El objetivo de esta norma es especificar las interfaces que permiten la interacción de los servicios de cartera y los de confianza digital, incluida la firma electrónica. Más concretamente, esta norma especificará:
Una interfaz de cartera para prestadores de servicios de confianza con el fin de emitir testimonios de atributos y certificados en la cartera ;
Una interfaz del cartera para los prestadores de servicios de confianza cuando actúen como parte informante en la prestación de sus servicios;
Una interfaz para la creación de firma electrónica cuando el QSCD (dispositivo cualificado de creación de firma) sea gestionado por el Prestador de servicios de Confianza;
Otros casos de uso para la creación de firmas electrónicas y otros servicios de confianza y posibles requisitos para las interfaces;
Este elemento de trabajo tendrá en cuenta el trabajo concurrente sobre las políticas de testimonio de atributos y los perfiles de los testimonios de atributos que se recogen en otras normas, como la TS 119 471 y la TS 119 472.
TS 119 471Policy and Security requirements for Attribute Attestation Services (Política y requisitos de seguridad para los servicios de testimonio de atributos)
Imagen de la Cartera de Identidad, cortesía de Michał Tabor
El objetivo de esta futura norma de ETSI es especificar los requisitos de política y seguridad de los prestadores de servicios de confianza de testimonio de atributos y los servicios de testimonio de atributos que proporcionan.
Contendrá:
Los requisitos de política y seguridad sobre la verificación de atributos y la generación de testimonios por parte del prestador de servicios de confianza;
Los requisitos de política y seguridad sobre los servicios de validación del estado de los Testimonios de Atributos;
Los requisitos para evaluar la fiabilidad de los Testimonios de Atributos; y
Los requisitos sobre el tratamiento de datos personales.
TS 119 472Profiles for Attribute Attestations (Perfiles para los Testimonios de atributos)
El objetivo de esta norma es especificar los perfiles para los testimonios de atributos.
Más concretamente, especificará:
La Semántica para los componentes de los Testimonios de Atributos. Esto incluirá, entre otros, la información enumerada en el anexo V del Reglamento eIDAS 2.0 (pendiente de aprobación).
Vinculación de la semántica a una o más sintaxis.
La norma evaluará una serie de sintaxis tales como credenciales verificables de W3C, SAML, JWT (JSON Web Tokens), certificados de atributos X.509 (X.520) y otras.
La norma no limitará los tipos de atributos incluidos en una declaración de atributos (en relación con la identidad alegada).
Puede ser necesaria una normalización separada para definir interfaces para la gestión y el uso de Testimonios de Atributos.
La Comisión adoptó la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) el 3 de junio de 2021. La iniciativa modifica el Reglamento eIDAS de 2014, que sentó las bases necesarias para acceder de forma segura a los servicios y realizar transacciones en línea y a través de las fronteras en la UE.
La propuesta, basada en el artículo 114 del TFUE, exige a los Estados miembros que emitan una cartera europea de identidad digital con arreglo a un sistema de identificación electrónica notificado, basado en normas técnicas comunes, tras la certificación obligatoria. Con el fin de establecer la arquitectura técnica necesaria, acelerar la aplicación del Reglamento revisado, proporcionar directrices a los Estados miembros y evitar la fragmentación, la propuesta iba acompañada de una Recomendación para el desarrollo de un conjunto de instrumentos de la Unión (Toolbox).
El Reglamento propuesto tiene por objeto garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y fiables mediante una cartera digital personal en un teléfono móvil.
II. TRABAJO EN LAS DEMÁS INSTITUCIONES
En el Parlamento Europeo, la propuesta se remitió a la Comisión de Industria, Investigación y Energía (ITRE), y se solicitó opinión a tres comisiones, a saber, la Comisión de Mercado Interior y Protección del Consumidor (IMCO), la Comisión de Asuntos Jurídicos (JURI) y la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE). La ponente del expediente es Romana Jerković (S&D, Croacia). La Comisión ITRE aún no ha aprobado su informe.
El 15 de julio de 2021, se invitó al Comité Económico y Social Europeo a emitir su dictamen sobre la propuesta, que se presentó posteriormente el 20 de octubre de 2021. El Comité Europeo de las Regiones emitió espontáneamente un dictamen sobre la propuesta el 12 de octubre de 2021.
El Supervisor Europeo de Protección de Datos (SEPD) publicó observaciones formales sobre la propuesta el 28 de julio de 2021.
III. SITUACIÓN EN EL CONSEJO
En el Consejo, la propuesta ha sido examinada en el Grupo «Telecomunicaciones y Sociedad de la Información» (WP TELECOM), que inició los debates bajo la Presidencia portuguesa en junio de 2021. El análisis de la propuesta continuó en WP TELECOM bajo la Presidencia eslovena, y la primera lectura concluyó con éxito el 15 de noviembre de 2021.
La Presidencia francesa presentó su primera propuesta transaccional los días 15 de febrero y 5 de abril de 2022, y la segunda se debatió los días 23 de mayo y 9 de junio de 2022. En relación con un debate de orientación celebrado en WP TELECOM el 19 de julio de 2022, la Presidencia checa, basándose en el trabajo de la Presidencia francesa, destacó las principales cuestiones pendientes de alto nivel y pidió a las delegaciones que expresaran sus opciones preferidas, con vistas a volver a redactar las partes pertinentes de la segunda propuesta transaccional en consecuencia. La versión revisada dio lugar a una tercera propuesta de compromiso que fue presentada por la Presidencia checa en el WP TELECOM de los días 5 y 8 de septiembre de 2022. Las iteraciones adicionales y los ajustes conexos fomentaron con éxito un nivel más profundo de convergencia en la mayoría de las cuestiones pendientes.
Sin embargo, la cuarta propuesta transaccional, presentada a las delegaciones en el WP TELECOM de 28 de septiembre de 2022, reveló una divergencia persistente entre los Estados miembros en torno a una cuestión de alto nivel en particular, a saber, el nivel de aseguramiento («LoA») elegido para la cartera de identidad digital europea. Algunos de los Estados miembros que ya cuentan con un sistema nacional de identificación electrónica adoptaron inicialmente, y posteriormente invirtieron, en un Nivel de Aseguramiento (LoA – Level of Assurance) «sustancial», mientras que en la propuesta actual de identificación electrónica se requiere un LOA de nivel «alto». Consciente de que ya existe un elevado número de medios de identificación electrónica de LoA «sustanciales» emitidos en algunos Estados miembros, la Presidencia checa ha propuesto además un mecanismo para facilitar el registro de usuarios, contribuyendo así a la adopción de las carteras de identidad digital europeas. La disposición permite a los usuarios inscribirse en la cartera de identidad digital europeo utilizando los medios nacionales de identificación electrónica existentes en base a LoA «sustanciales» junto con procedimientos adicionales de obtención remota de la identidad digital que conjuntamente permiten cumplir los requisitos de LoA «alto». Las especificaciones técnicas y operativas requerida están sujetas al desarrollo de legislación de aplicación para ello y deberá ser posible la certificación de la conformidad con los requisitos, llevada a cabo por un Organismo de Evaluación.
La quinta propuesta de compromiso se discutió durante la reunión de WP TELECOM del 25 de octubre de 2022. Durante la reunión de WP TELECOM del 8 de noviembre de 2022, la Presidencia checa presentó los limitados cambios introducidos y, además de los comentarios adicionales y las sugerencias de redacción recibidas de las Delegaciones, preparó la versión final del texto transaccional con vistas a presentarlo al Coreper.
El 18 de noviembre de 2022, el Coreper examinó esta propuesta transaccional y acordó por unanimidad presentarla al Consejo TTE (Telecomunicaciones), sin ningún cambio, con vistas a una orientación general en su reunión del 6 de diciembre de 2022.
IV. PRINCIPALES ELEMENTOS DE LA PROPUESTA TRANSACCIONAL
1. La cartera europea de identidad digital
Uno de los principales objetivos políticos de la propuesta de la Comisión de una cartera de identidad digital europea («cartera») es el de proporcionar a los ciudadanos y otros residentes, tal como se definen en la legislación nacional, un medio europeo armonizado de identidad digital basado en el concepto de una cartera europea de identidad digital. Como medio de identificación electrónica («medio de identificación electrónica») emitido en virtud de sistemas nacionales con nivel de aseguramiento «alto», la cartera sería un medio de identificación electrónica por derecho propio basado en la emisión de datos de identificación personal y de la propia cartera por parte de los Estados miembros.
2. Nivel de aseguramiento de la cartera europea de identidad digital
Los niveles de aseguramiento («LoA») deben determinar el grado de confianza en los medios de identificación electrónica para establecer la identidad de una persona, proporcionando así garantías de que la persona que reivindica una identidad determinada es, de hecho, la persona a la que se asignó dicha identidad.
Sobre la base del amplio apoyo registrado en las reuniones del Grupo de Trabajo y en el debate del Coreper del 14 de octubre de 2022, la cartera deberá expedirse dentro de un sistema de identificación electrónica que cumpla con el nivel de aseguramiento «alto». Además, se ha añadido al artículo 6 bis una disposición específica sobre el registro de usuarios. Este cambio tiene por objeto abordar las preocupaciones de los Estados miembros en los que ya se ha emitido un número significativo de medios nacionales de identificación electrónica en base a niveles de aseguramiento «sustanciales». La disposición permite a un usuario utilizar sus medios nacionales de identificación electrónica junto con procedimientos adicionales para darse de alta de forma remota y hacer posible la prueba de identidad en base a un nivel de aseguramiento «alto» y, en última instancia, a obtener una cartera. Dado que el proyecto de Reglamento sobre identificación electrónica se basa en esquemas de certificación de ciberseguridad que deben aportar un nivel armonizado de confianza en la seguridad de las carteras de identidad digitales europeas, también se espera que el almacenamiento seguro de material criptográfico esté sujeto a certificación de ciberseguridad tras un proceso de evaluación. Por consiguiente, la Presidencia ha propuesto un nuevo considerando 10 ter que aborde estas condiciones técnicas previas para lograr un nivel de aseguramiento «alto» y permita un proceso de seguimiento dentro de la aplicación de las carteras de identidad digitales europeas.
3. Notificación a las partes informadas
3.1 Se ha reformulado el artículo 6ter, relativo a la notificación a las partes informadas (las que reciben algún tipo de testimonio o información de la cartera, denominadas a veces «partes que confían»). Como norma general, el proceso de notificación mediante el cual la parte informada comunica su intención de confiar en la cartera debe ser rentable, proporcional al riesgo y debe garantizar que la parte informada proporciona al menos la información necesaria para autenticarse frente a la cartera. De forma predeterminada, solo se requiere mínima información, y la notificación debe permitir el uso de procedimientos automatizados o simples de autonotificación.
3.2 Sin embargo, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición para ello que tiene por objeto cubrir los casos en que se requiere un procedimiento de registro o autorización más estricto. A la inversa, cuando el Derecho de la Unión o nacional no establezca requisitos específicos para acceder a la información facilitada a través de la cartera, los Estados miembros podrán eximir a dichas partes informadas de la obligación de notificar su intención de confiar en las carteras.
4. Certificación
4.1 El Reglamento debe aprovechar, basarse y exigir el uso de esquemas de certificación de la normativa de Ciberseguridad pertinentes y existentes, o partes de los mismos, para certificar el cumplimiento de las Carteras, o partes de los mismos, con los requisitos de ciberseguridad aplicables, por ejemplo, la de ser considerado un dispositivo cualificado de gestión de claves privadas. En consecuencia, se aplica plenamente el marco de la normativa europea de Ciberseguridad, incluido el mecanismo de revisión inter pares entre las autoridades nacionales de certificación de la ciberseguridad previsto en la normativa europea de Ciberseguridad. Con el fin de armonizar en la medida de lo posible el Reglamento sobre identificación electrónica y la normativa europea de ciberseguridad, los Estados miembros designarán organismos públicos y privados acreditados para evaluar certificar las carteras según lo dispuesto en el Reglamento de ciberseguridad.
4.2 Además, se anima a la Comisión a encargar a ENISA que emprenda el desarrollo y la adopción de un esquema específico de la normativa europea de Ciberseguridad para la certificación de la ciberseguridad de la Cartera. Hasta que se desarrolle dicho esquema, el esquema EUCC (esquema europeo de certificación de ciberseguridad basado en criterios «Common Criteria») publicado en virtud de la normativa europea de Ciberseguridad se utilizará como metodología de referencia para la certificación de la cartera. Para los requisitos no relacionados con la ciberseguridad, en particular los que cubren otros aspectos funcionales y operativos de la Cartera, debe establecerse una lista de especificaciones, procedimientos y normas de referencia. Estos requisitos están sujetos a certificación.
5. Plazo para la provisión de la Cartera
Sobre la base de las orientaciones de los Estados miembros, se ha propuesto que el período de ejecución de 24 meses que determina la obligación de que los estados miembros ofrezcan su Cartera, se empiece a contar a partir de la adopción de los actos de ejecución a los que se refieren el artículo 6 bis, apartado11, y el artículo 6 quater, apartado 4.
6. Tarifas
En el artículo 6 bis, apartado 6 bis, y en el considerando correspondiente se ha aclarado que la expedición, el uso para la autenticación y la revocación de carteras deben ser gratuitos para las personas físicas. Excepto cuando se utilizan Carteras para la autenticación, los servicios que dependen del uso de la Cartera pueden incurrir en costes, por ejemplo, la emisión de los certificados electrónicos de atributos para su gestión por una Cartera.
7. Acceso a las funciones de hardware y software, incluido el «elemento seguro»
La Presidencia ha sugerido establecer una articulación explícita con el Reglamento (UE) 2022/1925, que garantiza el acceso a las funciones de hardware y software como parte de los servicios básicos de plataforma proporcionados por los guardianes de acceso a los servicios en Internet. El artículo 12 ter, recientemente añadido, aclara que los proveedores de carteras y los emisores de medios de identificación electrónica notificados que actúen a título comercial o profesional son usuarios profesionales de los guardianes de acceso a los servicios en Internet en el sentido de la definición respectiva de la DMA (Digital Markets Act). Se ha añadido una redacción del considerando para esbozar las implicaciones de la interconexión con la DMA, a saber, que debe exigirse a los guardianes de acceso a los servicios en Internet que garanticen, de forma gratuita, la interoperabilidad efectiva con las mismas características del sistema operativo, hardware o software que estén disponibles o se utilicen a efectos de interoperabilidad en la prestación de sus propios servicios complementarios y de apoyo.
8. Posibilidades alternativas para emitir los testimonios electrónicos de atributos por parte de los organismos públicos
Se ha mantenido la posibilidad de emitir testimonios electrónicos cualificados de atributos por parte de prestadores cualificados, incluida la obligación de los Estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público. Además, se ha introducido la posibilidad de que los testimonios electrónicos de atributos no cualificados puedan tener los mismos efectos jurídicos que los testimonios electrónicos cualificados de atributos cuando sean expedidos a una Cartera directamente por el organismo del sector público responsable de la fuente auténtica o por un organismo designado del sector público en nombre de un organismo del sector público responsable de una fuente auténtica, siempre que se cumplan los requisitos necesarios. La propuesta se refleja en los nuevos artículos 45 bis y 45 quinquies y en el anexo VII.
9. Verificación de registros
El artículo 11 bis original ha pasado a llamarse «Record Matching» (Comprobación de anotaciones registrales) ya que refleja mejor el objetivo de la disposición. Sobre la base de la discusión, el concepto de identificador único y persistente se ha mantenido para las carteras. La definición respectiva aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales, siempre que sirva a su propósito. Se establece explícitamente que la verificación de registros puede facilitarse mediante los testimonios electrónicos cualificados de atributos. Además, se ha incorporado al artículo 11 bis una disposición de salvaguardia según la cual los Estados miembros garantizarán la protección de los datos personales y evitarán la elaboración de perfiles de los usuarios. Por último, los Estados miembros, en su calidad de partes informadas, garantizarán la verificación de anotaciones registrales.
VI. CONCLUSIÓN
1. A la luz de lo anterior, se invita al Consejo a:
que confirme una orientación general sobre la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) en la reunión del Consejo de TTE (Telecomunicaciones) que se va a celebrar el 6 de diciembre de 2022.
La versión anterior (llamémosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022 y de ella hice una traducción al español hace unos meses.
A lo largo del fin de semana he realizado la traducción al español de la nueva versión y la pongo a disposición de los interesados en el desarrollo del Juego Herramientas de la Identidad Digital europea.
El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.
La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.
De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).
Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»
Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.
Uno de los problemas por el que las entidades públicas españolas no están cumpliendo la normativa EIDAS (y permitiendo a ciudadanos europeos con certificados cualificados acceder a los servicios de la administración electrónica) es porque no son capaces de reconocer los números de documento de identidad de los ciudadanos de otros países.
Está bastante claro el formato de los números del DNI y del NIE y casi todas las administraciones púbicas los entienden en los servicios activados por certificado que prestan vía web, pero no son capaces de identificar los números de pasaporte y los números de documentos de identidad de otros países.
En primer lugar hay que aclarar que en los certificados cualificados de persona física el campo «serial number» se estructura de la siguiente manera:
Prefijo de 3 caracteres que identifica el tipo de documento de identificación ;
Código de país según la norma ISO 3166-1 en su variante de 2 caracteres;
Un guión menos «-» (que se corresponde con el valor hexadecimal 0x2D en ASCII),
El número de identidad de la persona física según lo indicado en el prefijo inicial de 3 caracteres.
Los prefijos pueden ser:
«PAS» para la identificación basada en el número de pasaporte.
«IDC» para la identificación basada en el número del documento nacional de identidad.
«PNO» para la identificación basada en el número personal (nacional) (número de registro civil nacional).
«TAX» para la identificación basada en un número de referencia fiscal personal emitido por una autoridad fiscal nacional. Este valor valor está obsoleto. En su lugar debe utilizarse el valor «TIN»
Dos caracteres según la definición local dentro del país especificado y la autoridad de registro del nombre, que identifiquen un régimen nacional que se considere apropiado a nivel nacional y europeo, seguidos del carácter «:» (dos puntos).
Los dos prefijos más habituales son IDC y PNO.
Esta información se define en la norma técnica EN 319 412-1.
Por paises, así se construye el número de identidad:
Alemania
Número de tarjeta de identificación personal Tarjetas emitidas después de noviembre de 2010- ldddddddd Emisiones de tarjetas desde abril de 1987 hasta octubre de 2010- ddddddddddn
Austria
No tengo identificada la tarjeta de identidad.
Número de pasaporte: l ddddddd (el espacio entre la letra y los siete dígitos es opcional)
Bélgica
No tengo identificada la tarjeta de identidad.
Número de licencia de conducir: 10 dígitos dddddddddddd
Número de pasaporte: Dos letras y seis dígitos lldddddd
Bulgaria
Número Civil Uniforme (EGN) (utilizado como Número de Identificación Fiscal) Fecha de nacimiento (seis dígitos) + número de serie (tres dígitos) + número de suma de comprobación de 1 dígito dddddddddd
Croacia
11 dígitos aleatorizados con el último número como número de control y el HR no distingue entre mayúsculas y minúsculas ni es obligatorio. HRddddddddddd
Chipre
No tengo identificada la tarjeta de identidad.
Pasaportes emitidos después del 13/12/2010- K + ocho dígitos Kdddddddd
República Checa
Número de nacimiento (utilizado como número de identificación fiscal) En general, el formato es una fecha de nacimiento + número de serie + número de suma de comprobación con algunas especificaciones:
Para los hombres: dddddd/dddd (donde el tercer y cuarto dígitos = el mes de nacimiento 1-12)
Para las mujeres: dddddd/dddd (donde tercer y cuarto dígito = al mes de nacimiento 1-12 + 50)
Las personas nacidas antes de 1954 no tienen dígito de suma de comprobación
Dinamarca
Número de identificación personal (CPR o número de identificación fiscal)
Fecha de nacimiento + un número de serie secuencial donde el primer dígito denota el siglo de nacimiento. Los dos pueden estar separados por un guión, espacio o nada. dddddd-dddd
Eslovaquia
Número de nacimiento (RC) o número personal: se usa para el número de identificación fiscal dddddddddd (fecha de nacimiento + número de identificación de cuatro dígitos, siendo el último una suma de comprobación que no siempre está presente)
Para los hombres: dddddd/dddd (donde mm = el mes de nacimiento 1-12) Para las mujeres: dddddd/dddd (donde mm = al mes de nacimiento 1-12 + 50)
Eslovenia
Número de identificación personal (EMSO) 13 dígitos ddddddd50dddd cumpleaños + 50 + serie de tres dígitos para género y suma de comprobación
España Número de Identificación Fiscal (NIF)
Se expide un DNI a los nacionales españoles y se requiere después de los 14 años de edad y en el se detalla el nombre y apellidos del titular, fecha de nacimiento, dirección, padres, sexo, dirección residencial, ciudad y provincia de nacimiento y un número de identificación conocido como Número de identificación fiscal (NIF) o Número DNI. Este es el mismo número de identificación utilizado para el TIN. Formato: ddddddddla.
Las siguientes palabras clave deben estar dentro de los 10 términos del Nombre de la persona y 10 términos del identificador:
Número de identificación fiscal (TIN) Para los ciudadanos españoles, el NIF es el número proporcionado en el Documento Nacional de Identidad (DNI). Los TIN también se pueden proporcionar a aquellos sin DNI si lo solicitan. Los no residentes reciben un Número de Identificación Extranjera (NIE) que sirve como su TIN a menos que no se emita un NIE
Explicación del formato Tipo de residente:
Nacional español con DNI: ddddddddl
8 dígitos + 1 letra
Españoles no residentes sin DNI: Ldddddddl
L + 7 dígitos + 1 letra
Españoles residentes menores de 14 años sin DNI: X o Y o Z: Kdddddddddl
K + 7 dígitos + 1 letra
Extranjeros con NIE: dddddddl
X/Y/Z + 7 dígitos + 1 letra
Extranjeros sin NIE: Mdddddddl
M + 7 dígitos + 1 letra
Estonia
Código de identificación personal (IK) (utilizado para el número de identificación fiscal)
11 dígitos que indican la fecha de nacimiento y el sexo del individuo
Formato: ddddddddddd
El primer dígito muestra el sexo y el siglo de nacimiento (número impar masculino, número par femenino, 1-2 siglo 19, 3-4 siglo 20, 5-6 siglo 21),
Finlandia
Código de identidad personal (HETU) o número de seguro social o número de identificación fiscal
Fecha de nacimiento + símbolo del siglo (7º chracter) + número de serie de 3 dígitos + carácter de suma de comprobación
Formato: dddddd+dddd
Símbolos del siglo (7º carácter): + (1800–1899), – (1900–1999), o A (2000–2099).
Los números de serie son impares para los hombres y pares para las mujeres
Emitido a ciudadanos naturales, residentes permanentes (1+ año)
Se puede imprimir en licencia de conducir, pasaporte, documento nacional de identidad o documento de identidad electrónico
Francia
Documento Nacional de Identidad (CNI) 12 dígitos: dddddddddddd Las siguientes palabras clave deben estar dentro de los 10 términos del Nombre de la persona y 10 términos del identificador:
Grecia
Número de Seguro Social (AMKA)
11 dígitos donde los primeros seis dígitos son la fecha de nacimiento dddddddddddddd
Hungría
Número de identificación personal 11 dígitos: dígito de código de género + fecha de nacimiento + número de serie de tres dígitos + suma de comprobación dddddddddd
El dígito del código de género es un número del 1 al 8 que denota el género, si el residente es un ciudadano natural o extranjero, y si nació antes / después de 1900 o antes / después de 1999
Irlanda
Número Personal de Servicio Público (Número PPS) o Número de Identificación Fiscal
Siete dígitos + un carácter de suma de comprobación + a veces un segundo carácter dddddddl
Italia
Código Fiscal: documento nacional de identidad emitido a los ciudadanos al nacer (también utilizado como número de identificación fiscal) Formato: ll dd l dd l ddd l donde los espacios son opcionales 16 caracteres separados en grupos de:
6 letras- Las tres primeras representan las 3 primeras consonantes del apellido y las segundas 3 son la primera, tercera y cuarta consonantes del primer nombre 2 dígitos- año de nacimiento 1 letra: letra del mes de nacimiento (las letras de la A a E, H, L, M, P, R a T se usan alfabéticamente en orden de los meses) 2 dígitos: día de nacimiento y sexo (+40 para mujeres) 1 letra + 3 dígitos: código de área de nacimiento o código de país para países extranjeros 1 letra- suma de comprobación
Letonia
Código Personal (Personas kods o PIC) o número de identificación fiscal 11 dígitos en el formulario dddddd-ddddd donde el guión es opcional Fecha de nacimiento + siglo de nacimiento (0 para XIX, 1 para XX y 2 para XXI) + número de serie de nacimiento de tres dígitos + dígito de suma de verificación.
Lituania
Código personal (Asmens kodas) (utilizado para el número de identificación fiscal) 11 dígitos ddddddddddd Género y siglo de nacimiento y cumpleaños y número de serie de tres dígitos y dígito de suma de comprobación El primer dígito muestra tanto el género de la persona (impar si es hombre, incluso si es mujer) como el siglo de nacimiento calculado
Luxemburgo
Número de registro nacional (estructura similar al TIN) Residentes naturales: 11 dígitos y suma de comprobación ddddddddddd
Malta
Número de identificación fiscal (TIN) – utilizado como número de documento de identidad para ciudadanos malteses Nacionales malteses: ddddddd de siete dígitos + una letra (M, G, A, P, L, H, B o Z) Ciudadanos no malteses: ddddddddd de nueve dígitos Impreso en pasaportes y tarjetas de identidad
Países Bajos
Número de identificación fiscal (TIN) Los TIN se informan como una identificación en documentos oficiales como pasaportes, licencias de conducir y tarjetas de identificación.
Nueve dígitos ddddddddd y separados en grupos de 3 por guiones, puntos, espacios o sin separación.
Polonia
Número de identificación nacional PESEL-Polonia Identificador numérico de 11 dígitos inscrito en el Sistema Electrónico Común de Registro de Población Se aplica a residentes permanentes o temporales o aquellos que solicitan identificación o pasaporte que no realizan actividades comerciales y, por lo tanto, no están registrados para impuestos. Se puede encontrar en pasaportes y tarjetas de identificación
Portugal Tarjeta de ciudadano (CC) – emitida a todos los ciudadanos 12 dígitos ddddddddddxxd o dddddddd-dxxd
Rumania
Código numérico personal (CNP) (utilizado como número de identificación fiscal) Número de 13 dígitos que comprendía de: sexo y siglo de nacimiento (1-7 impares para hombres, 2-8 pares para mujeres y 9 representa ciudadanos extranjeros) y fecha de nacimiento y zona del país (dos dígitos, 01 a 52 o 99) y número de serie de tres dígitos y un número de suma de comprobación Formato: ddddddddddddd
Suecia
Número de identidad personal (PIN, Personnummer): se utiliza para el número de identificación fiscal 10 o 12 dígitos AAMMDD-NNGC o CCYYMMDD-nngc: fecha de nacimiento (puede incluir el siglo como primeros 2 dígitos) + dos números únicos + género (par para las mujeres, impar para los hombres) + dígito de suma de comprobación
La fecha de nacimiento y los dígitos están delineados por un «-» si es menor de 100 años, o «+» si es mayor de 100 años de edad.
Disclaimer:
A pesar de que en el trabajo de investigción he tratado de identificar los documentos nacionales de identidad y cuando no me ha sido posible, otros documentos como el carné de conducir y el pasaporte, no se puede descartar que esta relación contenga algún error.
Por ello agradeceré cualquier comentario a quienes conozcan mejor los documentos de un determinado pais , tanto en el sentido de confirmar la información como de corregirla
Podéis contactar en la sección de comentarios de los artículos de este blog, por twitter o por email (ver «Acerca de Julián Inza«).
El nuevo ecosistema que hay que desplegar para acoger el futuro mecanismo de Identidad Digital de la Unión Europea tendrá entre sus principales componentes una Cartera Digital (Cartera IDUE. Identidad Digital de la Unión Europea) desde la que se gestionarán certificados de firma electrónica, testimonios digitales de atributos (que podrán ser cualificados y no cualificados) y datos personales.
Los datos que se ceden estarán bajo el control de su titular que en un momento dado podrá retirar el permiso de acceso a sus datos que hubiera otorgado con anterioridad.
En la cartera (o más bien en el ecosistema creado alrededor de la cartera) quedará registrada cada cesión de datos y ¡por fin! existirá un mecanismos para tener constancia de todas las veces en las que se formula el consentimiento para que empresas y entidades hagan uso de nuestros datos, en un contexto en el que el Reglamento General de Protección de Datos da una pauta de nuestros derechos pero no aclara como ejercerlos de manera adecuada.
No necesitaremos una libreta para ir apuntando cada vez que nos piden permiso para tener nuestros datos y junto a la anotación la forma de ejercer frente a la entidad los derechos SOPLAR.
El documento que resume la funcionalidad de la Cartera IDUE y el futuro ecosistema lo ha elaborado el Grupo de Expertos EIDAS creado al efecto cuando se anunció la Propuesta de modificación del Reglamento EIDAS y la versión que existe ahora mismo es la de febrero de 2022. Se denomina «ARF» (European Digital Identity Architecture and Reference Framework – Outline).
Se anunció que el 30 de octubre de 2022 se publicaría una nueva versión, pero todavía no se ha publicado.
Ayer, 17 de agosto de 2022 se cerró la licitación para optar a desarrollar los proyectos piloto a gran escala (LSP, Large-Scale Pilots) para implantar los prototipos de carteras de identidad digital que son la base de uno de los mayores cambios previstos con la modificación del Reglamento UE 910/2014 (EIDAS) que se está preparando tras la publicación el año pasado de la propuesta inicial de modificación del Reglamento EIDAS y que, de momento, estamos denominando «EIDAS2«. Se trata de la Licitación de pilotos a gran escala para el Marco Europeo de Identidad Digital de la Comisión Europea (Tender for Large Scale Pilots for European Digital Identity Framework).
Joerg Lenz ha difundido en LinkedIn un interesante resumen sobre los consorcios identificados para desarrollar este tipo de proyectos, y merece la pena recogerlo aquí. en español, para general conocimiento.
Algunos consorcios de empresas y organizaciones gubernamentales que mostraron interés en participar en estos pilotos han creado páginas web para describir el enfoque de su participación.
Se espera que en octubre o noviembre de 2022 se comunique oficialmente la información sobre los consorcios que se han presentado a la convocatoria y los que se han seleccionado. Podría haber más que los aquí recogidos.
Los consorcios que se han identificado son los siguientes:
POTENTIAL aborda seis casos de uso: registro electrónico de una tarjeta SIM, apertura de cuentas, permiso de conducir electrónico, servicios de gobierno electrónico, firma electrónica y receta electrónica. El sitio web contiene breves declaraciones sobre los objetivos y visiones de cada caso de uso. El consorcio reúne a 148 participantes de 19 Estados miembros de la UE y Ucrania.
El consorcio NOBID se ocupa de la emisión de carteras, la emisión de medios de pago y la aceptación de pagos.
EL Consorcio DC4EU trata eID, VCs, Educational Credentials and professional qualifications, Social Security y contempla 23 países, incluida Ucrania.
El Consorcio «EUDI Wallet Consortium (EWC)» se centra especialmente en las credenciales digitales de viaje, la identificación organizativa y los pagos. Reúne a participantes de todos los Estados miembros de la UE más el Reino Unido y Ucrania. Desde el 17 de agosto, el sitio web actualizado también contiene información sobre casos de uso y experiencia de usuario (user journey).
El objetivo de la Comisión Europea es contar con al menos 4 proyectos piloto a gran escala para probar el despliegue de la Cartera Europea de Identidad Digital en casos de uso prioritarios y en relación con el principio de «una sola vez» bajo el reglamento de la Pasarela Digital Única (Single Digital Gateway). Estos proyectos piloto desplegarán la Cartera Europea de Identidad Digital (European Union Digital Identity Wallet o EUDI Wallet) en los ecosistemas nacionales de identificación electrónica de los Estados miembros, contando con la interoperabilidad transfronteriza de la identidad como elemento base de diseño, sin necesidad de modelos de reconocimiento muto que se consideara que no han funcionado en el despliegue del «EIDAS 1«.
Es interesante conocer igualmente el material difundido por la Comisión Europea para dar apoyo a la convocatoria: Material para la convocatoria de «Apoyo a la aplicación del Marco Digital Europeo» (Material for the call to provide «Support to the implementation of the European Digital Framework»). El material disponible incluye presentaciones, charlas e información recopilada en los dos seminarios web dedicados a la convocatoria. Adicionalmente hay una sección de preguntas frecuentes con información adicional y aclaraciones en la página web de la convocatoria.
El Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos se modificó por el Real Decreto 668/2015, de 17 de julio, por el que se modifica el Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
La modificación fue necesaria para incluir los «certificados electrónicos de empleado público con seudónimo» ya que…
El cumplimiento de las funciones legales atribuidas a estas instituciones y organismos públicos, así como la utilización, en su caso, de información clasificada para ese cumplimiento, hace necesario que en estos ámbitos la firma electrónica del personal al servicio de aquellas instituciones no esté basada en un certificado electrónico vinculado al nombre y apellidos del titular y a su número de documento nacional de identidad, requisitos que actualmente y sin excepción alguna exige el citado artículo 22 Real Decreto 1671/2009, de 6 de noviembre.
Por estas razones, se hace necesaria la modificación de este precepto añadiendo un nuevo apartado que permita el uso del certificado electrónico de empleado público mediante un seudónimo. Dicha reforma compatibiliza esta facultad de expedir certificado de empleado público con las obligaciones de revelar la verdadera identidad de los funcionarios y empleados públicos afectados en el caso de ser requerida por los órganos judiciales en el ejercicio de sus funciones o a tenor de lo previsto en el artículo 11.2 de la Ley Orgánica 15/1999, de 13 de diciembre.
En el mismo sentido, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Públic, en su artículo 43.2 indica
Cada Administración Pública determinará los sistemas de firma electrónica que debe utilizar su personal, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios. Por razones de seguridad pública los sistemas de firma electrónica podrán referirse sólo el número de identificación profesional del empleado público.
El artículo 43 de la Ley 40/2015 se ha desarrollado en el Real Decreto 203/2021 mediante el artículo 23:
1. Sin perjuicio de lo previsto en el artículo 22.3 de este Reglamento, de acuerdo con lo previsto en el artículo 43.2 de la Ley 40/2015, de 1 de octubre, los prestadores cualificados de servicios de confianza podrán consignar un número de identificación profesional en el certificado electrónico de empleado público, a petición de la Administración en la que presta servicios el empleado o empleada de que se trate, si dicho certificado se va a utilizar en actuaciones que afecten a información clasificada, a la seguridad pública, a la defensa nacional o a otras actuaciones para cuya realización esté legalmente justificado el anonimato. Estos certificados se denominarán «certificados electrónicos de empleado público con número de identificación profesional».
(…)
3. La Administración solicitante del certificado conservará la documentación acreditativa de la identidad del titular.
Nótese que la denominación indicada («Estos certificados se denominarán «certificados electrónicos de empleado público con número de identificación profesional».) contrasta con la utilizada en el artículo 22 del Real Decreto 1671/2009,tras la modificación del Real Decreto 668/2015 («Estos certificados se denominarán certificados electrónicos de empleado público con seudónimo».)
Por tanto, si se considerara que es obligatorio consignar el número de DNI (o CIF o NIE) en los certificados cualificados, no podrían expedirse «certificados electrónicos de empleado público con número de identificación profesional». Y para pode usar la alternativa prevista en la Ley 6/2020 (el pseudónimo), la norma (RD 203/2021) debería mencionar de forma expresa la posibilidad de seudónimo como ya lo hacía el Real Decreto 668/2015.
Todo es electrónico 