Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
He traducido el documento sobre ARF (Architecture and Reference Framework) de la EUDI Wallet (o Cartera IDUE) a euskera, galego y catalá. En concreto la versión 1.1. Como no domino estos idiomas tanto como el español, recurro a los amables lectores de este blog para que me ayuden en la revisión de los textos.
Fruto de la colaboración entre Garrigues y EADTrust tras la entrada en el capital del Prestador Cualificado de Servicios de Confianza por parte de la Firma de Abogados líder en España, hemos puesto a disposición de los ciudadanos una nueva App para teléfonos móviles denominada GoCertius.
Ayer se hicieron públicas algunas pinceladas respecto a la estrategia del bufete Garrigues que impulsa una factoría ‘legaltech’ y lanza con EADTrust la ‘app’ GoCertius de certificación digital de videos, audios y documentos.
La noticia cita algunas ideas de Eduardo Abad, socio responsable del Comité de Innovación y Digitalización, de Garrigues.
Como presidente de EADTust, es para mi un honor que formemos parte de esta vanguardista propuesta que busca transformar el panorama de la confianza digital en el nuevo contexto regulatorio basado en EIDAS2 y la propia evolución de la economía digital en los próximos años..
En estos momentos Garrigues muestra su oferta de servicios con «nuevos negocios digitales poco habituales en el ámbito legal».
En la que estamos contribuyendo desde EADTrust, creando conjuntamente una «factoría digital» ideada por Garrigues que diseña y desarrolla nuevos productos, servicios y herramientas. que permiten desplegar servicios o soluciones legaltech del ámbito de la confianza digital, contribuyendo a la adopción de la digitalización de los contratos y aportando un ecosistema de desarrollo alrededor de los activos digitales.
Un «gran laboratorio» que ya ofrece en los repositorios de aplicaciones de iPhone y Android su primera aplicación, GoCertius, dedicada a certificar digitalmente lo que se pueda captar con la cámara o el micrófono del teléfono móvil o los documentos que pasen por el.
Además, GoCertius permite ejemplificar la apariencia de las certificaciones de pruebas electrónicas de forma que se puedan presentar en juicio o en entornos de resolución de controversias, beneficiándose de que la certificación describe de forma entendible por no expertos las circunstancias en las que se han recogido las pruebas.
GoCertius es una aplicación que permite certificar vídeos, fotos y cualquier archivo digital, añadiendo a la captura un sello de tiempo cualificado que crea una prueba de máxima eficacia legal permitida por la regulación vigente. Además registra el rasttro de evidencias en una blockchain. Las certificaciones generadas por GoCertius se sellan electrónicamente con un sello electrónico cualificado y explican la vinculación de los elementos testimoniados con sellos de tiempo cualificados asociados a cada uno de ellos.
«Con este y los productos que le seguirán, Garrigues pretende dar un paso más en su contribución a la seguridad jurídica de las empresas y ciudadanos en una sociedad cada vez más digitalizada», en palabras de Eduardo Abad.
GoCertius es de uso abierto para cualquier persona que lo instale en su móvil y es de uso gratuito en la mayor parte de los casos. Para los usuarios que necesiten testimoniar de manera habitual un gran número de pruebas digitales existe un modelo de tarificación muy atractivo. Este modelo «freemium» permite probar la App sin coste y valorar si puede ser interesante adoptarlo como herramienta profesional.
Con los mismos principios, Garrigues y EADTrust promovemos una plataforma que se puede implantar en diferentes entornos profesionales (bancos, aseguradoras, empresas de telecomunicaciones, compañías eléctricas,…) para reforzar sus sistemas de contratación a distancia generando certificaciones disponibles para la entidad y para sus clientes que así pueden disponer de la misma posición probatoria, lo que yo llamo «simetría probatoria», y que coincide con la expresión acuñada de «igualdad de armas ante la ley».
Esta «factoría» se erige como un punto de convergencia entre la innovación y la legalidad, ofreciendo soluciones integrales que abordan las necesidades emergentes en seguridad jurídica digital y cumplimiento.
La plataforma está disponible en entornos Cloud respetuosos con las legislaciones europeas y como «armario digital» desplegable «on premise».
Tanto Eduardo Abad como yo pensamos que «la factoría» es, probablemente, el elemento más disruptivo y diferenciador en materia de innovación puesto en marcha por nuestras organizaciones recientemente.
Gracias a «la factoría» de Garrigues, estamos iniciando una etapa crucial en la que transformamos la experiencia y conocimiento acumulados a lo largo de los años en este blog, en un catálogo completo de soluciones digitales. Este catálogo abarca diversos formatos y está diseñado para facilitar la seguridad jurídica digital y el cumplimiento normativo, adaptándose a las necesidades actuales y futuras del sector.
Un aspecto que diferencia esta iniciativa es el papel activo de Garrigues en el pensamiento y diseño de estos productos y servicios. Al estar ideados desde un despacho legal, adquieren un carácter único y están intrínsecamente alineados con las normativas y los estándares de seguridad jurídica digital. Este enfoque no solo garantiza la legalidad de las soluciones propuestas, sino que también las enriquece con una perspectiva legal integral.
La factoría es un paso más en la senda iniciada por Garrigues que anunció el pasado mes de marzo de 2023 la compra de un 51% de EADTrust.
Aquel anuncio reflejaba un posicionamiento estratégico en un mercado «clave» en el nuevo marco regulatorio definido por el reglamento elDAS 2 (en inglés, electronic identification, authentication and trust services 2), que impulsa nuevos servicios cualificados prestados por los proveedores de servicios de confianza en el marco de la economía digital, y les permite ofrecer productos y servicios «críticos» para la seguridad jurídica.
Desde EADTrust también colaboramos con Garrigues en temas como la Inteligencia Artificial (IA) generativa.
Garrigues cuenta con un equipo de más de 150 profesionales de diversas áreas que está desarrollando «una arquitectura integrada por modelos propios» para resolver tareas específicas, de momento, al servicio de sus propios abogados, pero que «en poco tiempo se podría ofrecer también a clientes» para trabajos concretos.
En EADtrust estamos completando un modelo de verificación de cumplimiento que permitirá certificar que los datos con que se entrenan ciertos sistemas de LLM (Large Language Model) son propios y no sufren sesgos derivados de fuentes externas de datos.
«En Garrigues, consideramos que la innovación es fundamental para el desarrollo de nuestro negocio«, en palabras de Eduardo Abad. Un planteamiento que va más allá de una reflexión táctica ya que la clave del proceso de transformación digital del bufete se configura como un planteamiento estratégico.
Y en EADTrust estamos muy orgullosos se ser una pieza clave de esa estrategia.
Conclusión
La factoría ‘legaltech’ de Garrigues, apoyada por EADTrust, representa un paso significativo hacia la innovación en el campo de la confianza digital. Con proyectos como GoCertius, estamos no solo proporcionando herramientas útiles, sino también educando al mercado sobre la importancia de la seguridad jurídica en el entorno digital. Esta iniciativa marca el comienzo de una nueva era en la que la tecnología y la ley se fusionan para crear un entorno digital más sencillo, seguro y confiable.
Today has been published the final text adopted for EIDAS2 Regulation in the last Triloge meeting, last week.
This is the text of Article 45
Article 45 – Requirements for qualified certificates for website authentication
Qualified certificates for website authentication shall meet the requirements laid down in Annex IV. Evaluation of compliance with those requirements shall be carried out in accordance with the standards and the specifications referred to in paragraph 3.
Qualified certificates for website authentication issued in accordance with paragraph 1 shall be recognised by web-browsers. ▌Web-browsers shall ensure that the identity data attested in the certificate and additional attested attributes are displayed in a user-friendly manner. Web-browsers shall ensure support and interoperability with qualified certificates for website authentication referred to in paragraph 1, with the exception of enterprises ▌ considered to be microenterprises and small enterprises in accordance with Commission Recommendation 2003/361/EC during the first 5 years of operating as providers of web-browsing services. ▌ 2b. Qualified certificates for website authentication shall not be subject to any mandatory requirements other than the requirements laid down in paragraph 1
By … [12 months after the date of the entering into force of this amending Regulation], the Commission shall, by means of implementing acts, establish a listof reference standards and when necessary, establish specifications and procedures for qualified certificates for website authentication, referred to in paragraph 1. ▌ Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).”
Web-browsers shall not take any measures contrary to their obligations set out in Article 45, notably the requirement to recognise Qualified Certificates for Website Authentication, and to display the identity data provided in a user friendly manner.
By way of derogation to paragraph 1 and only in case of substantiated concerns related to breaches of security or loss of integrity of an identified certificate or set of certificates, web-browsers may take precautionary measures in relation to that certificate or set of certificates.
Where measures are taken, web-browsers shall notify their concerns in writing without undue delay, jointly with a description of the measures taken to mitigate those concerns, to the Commission, the competent supervisory authority, the entity to whom the certificate was issued and to the qualified trust service provider that issued that certificate or set of certificates. Upon receipt of such a notification, the competent supervisory authority shall issue an acknowledgement of receipt to the web-browser in question.
The competent supervisory authority shall consider the issues raised in the notification in accordance with Article 17(3)(c). When the outcome of that investigation does not result in the withdrawal of the qualified status of the certificate(s), the supervisory authority shall inform the web-browser accordingly and request it to put an end to the precautionary measures referred to in paragraph 2.
La Comisión Europea hizo ayer, 8 de noviembre de 2023, un comunicado expresando su satisfacción sobre el acuerdo alcanzado el por el Parlamento Europeo y el Consejo de la UE en el trílogo (diálogo a tres bandas) final sobre el Reglamento EIDAS2 por el que, entre otros aspectos se regulan las nuevas Carteras de Identidad Digital de la Unión Europea. Ya el pasado 29 de junio se anunció un importante avance al concretar los aspectos más espinosos del texto legal EIDAS2. Como español, es para mí motivo de orgullo y satisfacción que el acuerdo se haya culminado bajo la Presidencia Española de turno de la Unión Europea.
Y gracias a la aclaración de Ángel Martín en el evento organizado el 19 de octubre de 2023 por el Observatorio Legaltech Garrigues-ICADE, a través del Laboratorio de Confianza Digital, que tengo el honor de dirigir, sabemos este acuerdo cuenta entre los logros de la Presidencia Española, aunque todavía hay que dar varios pasos hasta que la norma se publique en el Diario Oficial de la Unión Europea:
Votación en el comité ITRE del Parlamento Europeo el 28 de noviembre de 2023.
Votación en sesión plenaria del Parlamento Europeo entre el 15 y 18 de enero de 2024.
Adopción por el Consejo Europeo a finales de enero de 2024.
Traducción a los idiomas oficiales de los países miembros y publicación en el Diario Oficial de la Unión Europea, probablemente en marzo 2024.
Foto de grupo de los participantes en el último Trílogo que acordó el texto final de EIDAS2
Esta es la traducción del comunicado:
La Comisión acoge con satisfacción el acuerdo final alcanzado ayer por el Parlamento Europeo y el Consejo de la UE en el diálogo a tres bandas final sobre el Reglamento por el que se regulan las carteras de identidad digital de la Unión Europea. Con ello concluye el trabajo de los colegisladores para aplicar los resultados del acuerdo político provisional alcanzado el 29 de junio de 2023 sobre un marco jurídico para una identidad digital de la UE, el primer marco de identidad digital fiable y seguro para todos los europeos.
Esto supone un paso importante hacia los objetivos de la Década Digital 2030 sobre la digitalización de los servicios públicos.
Todos los ciudadanos de la UE podrán tener en su teléfono móvil una Cartera de Identidad Digital de la UE para acceder a servicios en línea públicos y privados, nuevos y preexistentes, con total seguridad y con énfasis en la protección de los datos personales, cualquiera que sea el país en el que los servicios estén disponibles, a disposición de cualquier ciudadano en cualquier lugar de Europa.
Además de los servicios públicos, las plataformas en línea muy grandes designadas con arreglo al Reglamento de Servicios Digitales (incluidos servicios como Amazon, Booking.com o Facebook) y los servicios privados que estén legalmente obligados a autenticar a sus usuarios deberán aceptar la Cartera de Identidad Digital de la UE para iniciar sesión en sus servicios en línea.
Además, las características y especificaciones comunes de las carteras harán atractiva su aceptación por parte de todos los proveedores de servicios privados, creando nuevas oportunidades de negocio. La cartera también facilitará que los proveedores de servicios puedan cumplir con otros requisitos normativos.
Además de custodiar de forma segura la identidad digital de su titular, la Cartera le permitirá nuevas funcionalidades como abrir cuentas bancarias, realizar pagos y conservar documentos digitales auténticos (testimonios cualificados y no cualificados) relacionados con esa identidad.
Por ejemplo, la Cartera albergará el carné de conducir, las recetas médicas, que se podrán leer por un farmacéutico en otro país con su propia aplicación de Cartera en el móvil, los certificados profesionales, como los que acreditan la profesión de abogado, procurador o ingeniero colegiado, la certificaciones de formación oficial o profesional o los billetes de avión o autobús. La Cartera ofrecerá una alternativa práctica y fácil de usar a la identificación digital que se definía en el Reglamento EIDAS de 2014 para que la pudieran desplegar los estados.
La Cartera facilitará los medios para que su usuario pueda decidir si cede o no sus datos a las entidades que se los solicitan (partes informadas), o incluso si retira el permiso de que una entidad tenga sus datos con posterioridad a haber aceptado que los cedía. La Cartera llevará la cuenta de todas las veces que el titular ha cedido datos y a qué entidades y los permisos que ha retirado.
La Cartera deberá superar un proceso de evaluación de conformidad por un organismo independiente con arreglo a normas de evaluación que granizarán el mayor nivel de exigencia en cuanto a su seguridad. Y partes sustanciales de su código fuente se publicarán de forma abierta para permitir su escrutinio por terceros y excluir cualquier posibilidad de uso indebido, seguimiento ilegal, rastreo o interceptación gubernamental o de otros tipo.
Los debates legislativos han reforzado la ambición del Reglamento en una serie de ámbitos importantes para los ciudadanos. La Cartera contendrá un cuadro de mando de todas las transacciones accesible a su titular, ofrecerá la posibilidad de denunciar posibles violaciones de la protección de datos y permitirá la interacción entre Carteras. Además, los ciudadanos podrán usar la Cartera junto con los sistemas nacionales de identificación electrónica existentes y podrán realizar desde la Cartera de firmas electrónicas que serán sin coste en determinadas circunstancias.
El acuerdo alcanzado por los colegisladores está pasar por una fase de aprobación formal del Parlamento Europeo y el Consejo. Una vez adoptado formalmente, el marco europeo de identidad digital entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea.
Cada Estado miembro debe proporcionar a sus ciudadanos su Cartera de identidad digital de la UE a los 24 meses desde publicación de ciertas normas complementarias: (actos de ejecución) que concreten las especificaciones técnicas de la cartera de identidad digital de la UE (trabajo ya en curso y que ha dado lugar a los documentos de «Arquitectura y Marco de Referencia» (en inglés «Architecture and Reference Framework») y las especificaciones técnicas para la evaluación de conformidad.
Estos actos de ejecución, que deberían publicarse en el DOUE entre 6 y 12 meses después de la adopción del Reglamento EIDAS2, se basarán en las especificaciones desarrolladas en el marco de la caja de herramientas de identidad digital de la UE (Toolboox consensuado por el Grupo de Expertos EIDAS – E03032), estableciendo condiciones armonizadas para la implantación de las carteras en toda Europa.
El programa político de la Década Digital 2030 establece la ambición de Europa para liderar la transformación digital en 2030. De acuerdo con los objetivos de la Década Digital, para 2030 todos los servicios públicos clave deberán estar disponibles en línea, todos los ciudadanos deberán poder acceder a sus historiales médicos en línea y todos deberán tener acceso a su herramienta segura de gestión de la Identidad Digital de forma que mejore la privacidad.
La cartera de identidad digital de la UE parte del marco jurídico transfronterizo existente para la gestión de identidades digitales de confianza, a partir de las iniciativas de cada estado, según se recogía en el Reglamento eIDAS adoptado en 2014 y que ya incluía la previsión de requisitos para la emisión de certificados de sitios web (denominados QWAC).
La propuesta de la Comisión de un nuevo Reglamento que modifique y actualice el citado Reglamento eIDAS, sobre cuyo texto los colegisladores han alcanzado ayer un acuerdo definitivo, mejorará la eficacia y ampliará las ventajas de una identidad digital segura y cómoda orientada a su uso en dispositivos móviles antes las administraciones públicas y ante el sector privado.
Además, a lo largo de los últimos 2 años se han licitado, adjudicado e iniciado cuatro proyectos piloto a gran escala, en los que se están invirtiendo más de 90 millones de euros, de los cuales 46 millones están cofinanciados por la Comisión con cargo al Programa Europa Digital, y que han empezado a probar versiones preliminares de carteras de identidad digital de la UE en una serie de casos de uso cotidiano, como el carné de conducir móvil, la sanidad electrónica, los pagos digitales, la educación y las cualificaciones profesionales. Los proyectos piloto se iniciaron el 1 de abril de 2023 y contribuirán a mejorar las especificaciones técnicas de la cartera y el desarrollo del prototipo «oficial» disponible en código fuente.
«Me complace ver que estas negociaciones tan técnicas han llegado a buen puerto, convirtiendo nuestra propuesta en legislación. La cartera de identidad digital de la UE marcará el comienzo de una nueva era de la Década Digital, como forma cómoda y segura de gestionar los documentos digitales personales y de acceder diariamente a los servicios en línea públicos y privados. Los europeos tendrán control sobre sus datos personales y podrán compartirlos fácilmente, si lo desean, desde una aplicación en su teléfono.» Vicepresidenta Věra Jourová – 08/11/2023
«El acuerdo de hoy es un paso importante hacia el objetivo de la UE para 2030 de dar a todos los ciudadanos europeos la posibilidad de utilizar una identidad digital segura y que preserve su intimidad. La Cartera de Identidad Digital de la UE dará a los ciudadanos el control sobre sus datos y mejorará la seguridad cuando utilicen servicios en línea. Reforzará la soberanía tecnológica de Europa y nos ayudará a afrontar los retos actuales y futuros de la digitalización.» Thierry Breton, Comisario de Mercado Interior – 08/11/2023
Perdonad el poco margen de aviso de la celebración de este evento el próximo martes 7 de noviembre a las 18:00 con posibilidad de acudir telemáticamente o presencialmente al Instituto de Ingeniería de España (Madrid, Calle del General Arrando, 38, 28010). Este es el enlace de inscripción. También se puede llamar para la inscripción al 91 319 74 17.
ORGANIZADO POR:
El Comité de Sociedad Digital del Instituto de Ingeniería de España.
07 de noviembre 18:00 horas
Es posible Inscribirse a la jornada en esta página o en el 91 319 74 17
El pasado 3 de junio de 2021 la Comisión Europea propuso un marco para una identidad digital europea que estará a disposición de todos los ciudadanos, residentes y empresas en la UE. A través de sus carteras de identidad digital europea, los ciudadanos podrán demostrar su identidad y compartir documentos electrónicos, para lo cual bastará pulsar un botón en el teléfono. Su identificación digital nacional, que estará reconocida en toda Europa, les permitirá acceder a servicios online. El uso de la cartera de identidad digital europea quedará siempre a discreción del usuario. La Comisión Europea está invirtiendo 46 MEUR para probar y mejorar la billetera de identidad digital europea (EUDI) mediante el desarrollo de 4 proyectos piloto paneuropeos que probarán el uso de la billetera EUDI para individuos y empresas en una amplia gama de casos de uso cotidiano.
PROGRAMA
18:00 Bienvenida a los asistentes y presentación de la Jornada.
D. José Trigueros. Presidente del Instituto de la Ingeniería de España.
D. Víctor Izquierdo Loyola. Presidente del Comité de Sociedad Digital del IIE.
18:10 La identidad digital en las relaciones ciudadano – Administración.
D. Miguel Solano Gadea. Experto en Administración Digital. Canal ViCoTAE.
18:40 El Reglamento eIDAS2 y la Wallet de Identidad EUDI.
D. Julián Inza. Presidente de EAD Trust. Director del Laboratorio de Confianza Digital del Observatorio Legaltech & Newlaw Garrigues-ICADE.
19:10 D. Selva Orejón, CEO de onBranding, empresa especializada en la protección de la identidad de marcas y organizaciones.
19:40 Coloquio moderado por: D. Víctor Izquierdo Loyola. Presidente del Comité de Sociedad Digital del IIE.
Hoy, 12 de octubre de 2023, ha tenido lugar el decimoquinto «Dia de los Servicios de Certificación» (15TH CA-DAY). Este evento está asociado con el que se celebró ayer: el noveno Foro de los Servicios de Confianza e Identidad Digital (9th Trust Services and eId Forum).
El principal objetivo de estas jornadas es abordar los últimos avances en el marco de eIDAS2, los servicios de confianza en virtud de la Directiva NIS2, la próxima implementación de la Cartera Digital de la UE, así como la solución tecnológica con el fin de proporcionar servicios en línea seguros a los ciudadanos de la UE.
08:00 – 09:00
Registrations and breakfast
09:00 – 09:15
Welcome by D-Trust and TÜVIT
Kim Nguyen Dirk Kretzschmar
09:15 – 09:30
Keynote
Andrea Valle, Adobe
09:30 – 09:50
eIDAS 2.0 – What is new for TSP?
Viky Manaila, Intesi Group
09:50 – 10:10
NIS II and eIDAS II: How to audit Trust Services in 2025?
Paloma Llaneza González, CerteIDAS
10:10 – 10:30
QWACs and QSeals Identifying Reliable Sources
Enrico Entschew, D-Trust Andreas Wand, D-Trust
10:50 – 11:10
Auditing TSP Services in the Cloud
Matthias Wiedenhorst, TÜVIT
11:10 – 11:30
European Cyber regulations at a glance
Slawomir Gorniak, ENISA
11:30 – 11:50
Remote identification under eIDAS
Jon Olnes, Signicat
11:50 – 12:10
Wallet use cases for TSPs
Michal Tabor, Obserwatorium.biz
12:30 – 12:50
SSI and PKI – enabling attribute attestations
Christian Seegebarth, IDunion
12:50 – 13:10
eIDAS 2.0 Toolbox: Selective Disclosure for EAA
Sebastian Elfors, IDNow
13:10 – 13:30
Post Quantum Cryptography
Jan Klaußner, Bundesdruckerei
14:30 – 14:50
CAB-Forum Updates andS/MIME Baseline Requirements
Dimitris Zacharopoulos, CA/Browser-Forum
14:50 – 15:10
International market for trust services
Dean Coclin, DigiCert
15:10 – 15:50
Panel Discussion +Q&A: TSP governance – European vs. Root stores
Dennis Jackson, Mozilla Jochen Eisinger, GoogleArno Fiedler, Nimbus Technologieberatung Paul van Brouwershaven, Entrust Kim Nguyen, D-Trust
15:50 – 16:00
Closing remarks
Kim Nguyen, Arno Fiedler
Al finalizar estos dos días quedan muchas inquietudes por resolver y algunas ideas:
El 4 de noviembre comenzará el debate final de los Trílogos sobre Identidad Digital con previsión de que el nuevo Reglamento (EIDAS2) se publique en Diciembre de 2023.
La Cartera Digital enfrenta como mayor reto la adopción.
La estructura de Prestadores de Servicios de expedición de testimonios cualificados presenta muchos retos e incertidumbres
No está claro aun como se evaluará la seguridad de la Cartera Digital ni los Servicios de expedición de testimonios cualificados.
En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).
Formando parte del Observatorio se han definido ya varios laboratorios:
Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.
Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.
Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.
Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.
Los últimos meses han sido muy activos en lo que tiene que ver con el desarrollo de la Cartera IDUE de la que ya he hablado en este Blog, y la revisión del marco regulatorio para modificar el Reglamento EIDAS, que. de momento, se denomina EIDAS2.
Las normas actuales sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (es decir, el Reglamento eIDAS) que datan de 2014 tienen por objeto hacer que los sistemas nacionales de identificación electrónica sean interoperables en toda Europa para facilitar el acceso a los servicios en línea. En la Estrategia digital de la UE «Configurar el futuro digital de Europa», la Comisión anunció que iba a revisar el Reglamento eIDAS para mejorar su eficacia, ampliar su aplicación al sector privado y promoverlo. El artículo 49 del Reglamento EIDAS ya preveía esta revisión:
La Comisión revisará la aplicación del presente Reglamento e informará al Parlamento Europeo y al Consejo a más tardar el 1 de julio de 2020. La Comisión evaluará en particular si es apropiado modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluidos el artículo 6, la letra f) del artículo 7 y los artículos 34, 43, 44 y 45, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica.
El informe mencionado en el párrafo primero irá acompañado, en caso necesario, de propuestas legislativas.
Asimismo, la Comisión presentará un informe al Parlamento Europeo y al Consejo cada cuatro años tras el informe mencionado en el párrafo primero sobre la marcha hacia el logro de los objetivos del presente Reglamento.
El 3 de junio de 2021, la Comisión publicó su propuesta de emiendas al Reglamento EIDAS. Con la propuesta, la Comisión esperaba cumplir los objetivos de su brújula digital (Brújula Digital 2030: El enfoque de Europa para el Decenio Digital), que dice que para 2030 todos los servicios públicos clave estarán disponibles en línea, todos los ciudadanos tendrán acceso a sus historiales médicos digitales y el 80 % de los ciudadanos deberían utilizar una identificación digital.
Además, la Comisión espera que la seguridad y el control que ofrece el marco europeo actualizado de identidad digital ofrezcan a todos los medios para controlar quién tiene acceso a su ID digital y a qué datos exactamente. Ya no se impulsarían soluciones nacionales de identidad digital y se crearía un nuevo enfoque para prestar servicios de testimonios electrónicos de atributos válidos a nivel europeo.
En el Parlamento, el expediente ha sido asignado a la Comisión de Industria, Investigación y Energía (ITRE). La ponente es Romana Jerković (S&D, Croacia). Publicó su proyecto de informe el 31 de mayo de 2022, en el que proponía una serie de cambios en la estructura, la ciberseguridad y la privacidad de la cartera europeo de identidad digital. También propuso un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital.
Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 1 a 139,
Informe de 05.07.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 140 a 368,
Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 369 a 653.
La Comisión ITRE adoptó su posición el 9 de febrero de 2023, que fue confirmada en el Pleno del 16 de marzo de 2023 (418 votos a favor, 103 en contra y 24 abstenciones).
Los principales cambios propuestos en el informe son los siguientes:
Estructura de la cartera europea de identidad digital: el informe ampliaría el uso de la cartera, permitiendo a los ciudadanos no solo demostrar su identidad y compartir documentos, sino también verificar las identidades y documentos de las empresas y de otros ciudadanos. También hace hincapié en que la cartera debe seguir siendo voluntaria, gratuita para los particulares, así como para las empresas Y los usuarios deben poder realizar un seguimiento de todas las transacciones ejecutadas a través de la cartera. Los Estados miembros dispondrían de 18 meses (la Comisión propuso inicialmente 12 meses) tras la entrada en vigor del Reglamento eIDAS para emitir la cartera.
Privacidad y seguridad: tanto la ciberseguridad como la privacidad de la cartera se refuerzan, pidiendo explícitamente que el diseño de la cartera garantice la ciberseguridad y la privacidad por diseño.
«Principio de una sola vez»: los ciudadanos y las empresas no deberían tener que facilitar los mismos datos a las autoridades públicas más de una vez.
Identificación transfronteriza del usuario: en lugar de «identificación única» (como proponía la Comisión), el informe propone la expresión «identificación transfronteriza del usuario» y propone que los Estados miembros que tengan al menos un identificador único emitan identificadores únicos y persistentes solo para uso transfronterizo.
Gobernanza: se añade un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital. El informe propone crear un Consejo Marco Europeo de Identidad Digital (EDIFB), compuesto por las autoridades nacionales competentes y la Comisión.
Certificados cualificados para la autenticación de sitios web: el informe añade que no se impediría a los navegadores web tomar las medidas necesarias y proporcionadas para hacer frente a los riesgos justificados de violaciones de la seguridad, la privacidad del usuario y la pérdida de integridad de los certificados, lo que aligera la obligación de aceptar certificados QWAC europeos.
En el Consejo Europeo, el Grupo «Telecomunicaciones y Sociedad de la Información» comenzó a examinar el expediente en junio de 2021. El 6 de diciembre de 2022, el Consejo adoptó su Posición Común (orientación general) sobre el expediente (Council´s general approach). Los Estados miembros introdujeron algunas modificaciones en el funcionamiento de la cartera para garantizar que la persona que reclama una identidad sea realmente su titular. También se aseguró de que el texto estuviera en consonancia con otras leyes de la UE, como la legislación sobre ciberseguridad. Según el texto del Consejo Europeo, los Estados miembros tendrían 24 meses después de la entrada en vigor de los actos de ejecución para proporcionar la Cartera. Finalmente, el Consejo cree que la billetera no debería costar nada para las personas, pero las empresas pueden incurrir en costos para la autenticación con la billetera.
Los colegisladores iniciaron negociaciones tripartitas (trílogos) sobre el expediente el 21 de marzo de 2023.
Información externa:
Resumen del proceso, elaborado por Maria Niestadt, sobre los trabajos impulsados por la ponente Romana Jerković
El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.
La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.
De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).
Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»
Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.
El nuevo ecosistema que hay que desplegar para acoger el futuro mecanismo de Identidad Digital de la Unión Europea tendrá entre sus principales componentes una Cartera Digital (Cartera IDUE. Identidad Digital de la Unión Europea) desde la que se gestionarán certificados de firma electrónica, testimonios digitales de atributos (que podrán ser cualificados y no cualificados) y datos personales.
Los datos que se ceden estarán bajo el control de su titular que en un momento dado podrá retirar el permiso de acceso a sus datos que hubiera otorgado con anterioridad.
En la cartera (o más bien en el ecosistema creado alrededor de la cartera) quedará registrada cada cesión de datos y ¡por fin! existirá un mecanismos para tener constancia de todas las veces en las que se formula el consentimiento para que empresas y entidades hagan uso de nuestros datos, en un contexto en el que el Reglamento General de Protección de Datos da una pauta de nuestros derechos pero no aclara como ejercerlos de manera adecuada.
No necesitaremos una libreta para ir apuntando cada vez que nos piden permiso para tener nuestros datos y junto a la anotación la forma de ejercer frente a la entidad los derechos SOPLAR.
El documento que resume la funcionalidad de la Cartera IDUE y el futuro ecosistema lo ha elaborado el Grupo de Expertos EIDAS creado al efecto cuando se anunció la Propuesta de modificación del Reglamento EIDAS y la versión que existe ahora mismo es la de febrero de 2022. Se denomina «ARF» (European Digital Identity Architecture and Reference Framework – Outline).
Se anunció que el 30 de octubre de 2022 se publicaría una nueva versión, pero todavía no se ha publicado.
Todo es electrónico 