Archivo de la categoría: PKI

Se logra el acuerdo final sobre el texto del Reglamento de Identidad Digital (EIDAS2) que modificará el actual Reglamento EIDAS y que define entre otros aspectos la Cartera IDUE

La Comisión Europea hizo ayer, 8 de noviembre de 2023, un comunicado expresando su satisfacción sobre el acuerdo alcanzado el por el Parlamento Europeo y el Consejo de la UE en el trílogo (diálogo a tres bandas) final sobre el Reglamento EIDAS2 por el que, entre otros aspectos se regulan las nuevas Carteras de Identidad Digital de la Unión Europea. Ya el pasado 29 de junio se anunció un importante avance al concretar los aspectos más espinosos del texto legal EIDAS2. Como español, es para mí motivo de orgullo y satisfacción que el acuerdo se haya culminado bajo la Presidencia Española de turno de la Unión Europea.

Y gracias a la aclaración de Ángel Martín en el evento organizado el 19 de octubre de 2023 por el Observatorio Legaltech Garrigues-ICADE, a través del Laboratorio de Confianza Digital, que tengo el honor de dirigir, sabemos este acuerdo cuenta entre los logros de la Presidencia Española, aunque todavía hay que dar varios pasos hasta que la norma se publique en el Diario Oficial de la Unión Europea:

Votación en el comité ITRE del Parlamento Europeo el 28 de noviembre de 2023.
Votación en sesión plenaria del Parlamento Europeo entre el 15 y 18 de enero de 2024.
Adopción por el Consejo Europeo a finales de enero de 2024.
Traducción a los idiomas oficiales de los países miembros y publicación en el Diario Oficial de la Unión Europea, probablemente en marzo 2024.

Foto de grupo de los participantes en el último Trílogo que acordó el texto final de EIDAS2

Esta es la traducción del comunicado:

La Comisión acoge con satisfacción el acuerdo final alcanzado ayer por el Parlamento Europeo y el Consejo de la UE en el diálogo a tres bandas final sobre el Reglamento por el que se regulan las carteras de identidad digital de la Unión Europea. Con ello concluye el trabajo de los colegisladores para aplicar los resultados del acuerdo político provisional alcanzado el 29 de junio de 2023 sobre un marco jurídico para una identidad digital de la UE, el primer marco de identidad digital fiable y seguro para todos los europeos.

Esto supone un paso importante hacia los objetivos de la Década Digital 2030 sobre la digitalización de los servicios públicos.

Todos los ciudadanos de la UE podrán tener en su teléfono móvil una Cartera de Identidad Digital de la UE para acceder a servicios en línea públicos y privados, nuevos y preexistentes, con total seguridad y con énfasis en la protección de los datos personales, cualquiera que sea el país en el que los servicios estén disponibles, a disposición de cualquier ciudadano en cualquier lugar de Europa.

Además de los servicios públicos, las plataformas en línea muy grandes designadas con arreglo al Reglamento de Servicios Digitales (incluidos servicios como Amazon, Booking.com o Facebook) y los servicios privados que estén legalmente obligados a autenticar a sus usuarios deberán aceptar la Cartera de Identidad Digital de la UE para iniciar sesión en sus servicios en línea.

Además, las características y especificaciones comunes de las carteras harán atractiva su aceptación por parte de todos los proveedores de servicios privados, creando nuevas oportunidades de negocio. La cartera también facilitará que los proveedores de servicios puedan cumplir con otros requisitos normativos.

Además de custodiar de forma segura la identidad digital de su titular, la Cartera le permitirá nuevas funcionalidades como abrir cuentas bancarias, realizar pagos y conservar documentos digitales auténticos (testimonios cualificados y no cualificados) relacionados con esa identidad.

Por ejemplo, la Cartera albergará el carné de conducir, las recetas médicas, que se podrán leer por un farmacéutico en otro país con su propia aplicación de Cartera en el móvil, los certificados profesionales, como los que acreditan la profesión de abogado, procurador o ingeniero colegiado, la certificaciones de formación oficial o profesional o los billetes de avión o autobús. La Cartera ofrecerá una alternativa práctica y fácil de usar a la identificación digital que se definía en el Reglamento EIDAS de 2014 para que la pudieran desplegar los estados.

La Cartera facilitará los medios para que su usuario pueda decidir si cede o no sus datos a las entidades que se los solicitan (partes informadas), o incluso si retira el permiso de que una entidad tenga sus datos con posterioridad a haber aceptado que los cedía. La Cartera llevará la cuenta de todas las veces que el titular ha cedido datos y a qué entidades y los permisos que ha retirado.

La Cartera deberá superar un proceso de evaluación de conformidad por un organismo independiente con arreglo a normas de evaluación que granizarán el mayor nivel de exigencia en cuanto a su seguridad. Y partes sustanciales de su código fuente se publicarán de forma abierta para permitir su escrutinio por terceros y excluir cualquier posibilidad de uso indebido, seguimiento ilegal, rastreo o interceptación gubernamental o de otros tipo.

Los debates legislativos han reforzado la ambición del Reglamento en una serie de ámbitos importantes para los ciudadanos. La Cartera contendrá un cuadro de mando de todas las transacciones accesible a su titular, ofrecerá la posibilidad de denunciar posibles violaciones de la protección de datos y permitirá la interacción entre Carteras. Además, los ciudadanos podrán usar la Cartera junto con los sistemas nacionales de identificación electrónica existentes y podrán realizar desde la Cartera de firmas electrónicas que serán sin coste en determinadas circunstancias.

El acuerdo alcanzado por los colegisladores está pasar por una fase de aprobación formal del Parlamento Europeo y el Consejo. Una vez adoptado formalmente, el marco europeo de identidad digital entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea.

Cada Estado miembro debe proporcionar a sus ciudadanos su Cartera de identidad digital de la UE a los 24 meses desde publicación de ciertas normas complementarias: (actos de ejecución) que concreten las especificaciones técnicas de la cartera de identidad digital de la UE (trabajo ya en curso y que ha dado lugar a los documentos de «Arquitectura y Marco de Referencia» (en inglés «Architecture and Reference Framework») y las especificaciones técnicas para la evaluación de conformidad.

Estos actos de ejecución, que deberían publicarse en el DOUE entre 6 y 12 meses después de la adopción del Reglamento EIDAS2, se basarán en las especificaciones desarrolladas en el marco de la caja de herramientas de identidad digital de la UE (Toolboox consensuado por el Grupo de Expertos EIDAS – E03032), estableciendo condiciones armonizadas para la implantación de las carteras en toda Europa.

El programa político de la Década Digital 2030 establece la ambición de Europa para liderar la transformación digital en 2030. De acuerdo con los objetivos de la Década Digital, para 2030 todos los servicios públicos clave deberán estar disponibles en línea, todos los ciudadanos deberán poder acceder a sus historiales médicos en línea y todos deberán tener acceso a su herramienta segura de gestión de la Identidad Digital de forma que mejore la privacidad.

La cartera de identidad digital de la UE parte del marco jurídico transfronterizo existente para la gestión de identidades digitales de confianza, a partir de las iniciativas de cada estado, según se recogía en el Reglamento eIDAS adoptado en 2014 y que ya incluía la previsión de requisitos para la emisión de certificados de sitios web (denominados QWAC).

La propuesta de la Comisión de un nuevo Reglamento que modifique y actualice el citado Reglamento eIDAS, sobre cuyo texto los colegisladores han alcanzado ayer un acuerdo definitivo, mejorará la eficacia y ampliará las ventajas de una identidad digital segura y cómoda orientada a su uso en dispositivos móviles antes las administraciones públicas y ante el sector privado.

Además, a lo largo de los últimos 2 años se han licitado, adjudicado e iniciado cuatro proyectos piloto a gran escala, en los que se están invirtiendo más de 90 millones de euros, de los cuales 46 millones están cofinanciados por la Comisión con cargo al Programa Europa Digital, y que han empezado a probar versiones preliminares de carteras de identidad digital de la UE en una serie de casos de uso cotidiano, como el carné de conducir móvil, la sanidad electrónica, los pagos digitales, la educación y las cualificaciones profesionales. Los proyectos piloto se iniciaron el 1 de abril de 2023 y contribuirán a mejorar las especificaciones técnicas de la cartera y el desarrollo del prototipo «oficial» disponible en código fuente.

Para más información

Identidad digital europea – Preguntas y respuestas

Acuerdo político provisional sobre el monedero europeo de identidad digital

Propuesta de Reglamento sobre la identidad digital europea

Recomendación sobre la identidad digital europea

Página web de eIDAS

Informe sobre la evaluación del Reglamento eIDAS

Arquitectura y marco de referencia (Github)

Citas:

«Me complace ver que estas negociaciones tan técnicas han llegado a buen puerto, convirtiendo nuestra propuesta en legislación. La cartera de identidad digital de la UE marcará el comienzo de una nueva era de la Década Digital, como forma cómoda y segura de gestionar los documentos digitales personales y de acceder diariamente a los servicios en línea públicos y privados. Los europeos tendrán control sobre sus datos personales y podrán compartirlos fácilmente, si lo desean, desde una aplicación en su teléfono.»
Vicepresidenta Věra Jourová – 08/11/2023

«El acuerdo de hoy es un paso importante hacia el objetivo de la UE para 2030 de dar a todos los ciudadanos europeos la posibilidad de utilizar una identidad digital segura y que preserve su intimidad. La Cartera de Identidad Digital de la UE dará a los ciudadanos el control sobre sus datos y mejorará la seguridad cuando utilicen servicios en línea. Reforzará la soberanía tecnológica de Europa y nos ayudará a afrontar los retos actuales y futuros de la digitalización.»
Thierry Breton, Comisario de Mercado Interior – 08/11/2023

Identidad digital en España y en la UE

Deja un comentario

Perdonad el poco margen de aviso de la celebración de este evento el próximo martes 7 de noviembre a las 18:00 con posibilidad de acudir telemáticamente o presencialmente al Instituto de Ingeniería de España (Madrid, Calle del General Arrando, 38, 28010). Este es el enlace de inscripción. También se puede llamar para la inscripción al 91 319 74 17.

ORGANIZADO POR:

El Comité de Sociedad Digital del Instituto de Ingeniería de España.

07 de noviembre 18:00 horas

Es posible Inscribirse a la jornada en esta página o en el 91 319 74 17

La jornada presencial se retransmitirá en directo. https://www.iies.es/events/identidad-digital-en-espana-y-en-la-ue

PRESENTACIÓN

El pasado 3 de junio de 2021 la Comisión Europea propuso un marco para una identidad digital europea que estará a disposición de todos los ciudadanos, residentes y empresas en la UE. A través de sus carteras de identidad digital europea, los ciudadanos podrán demostrar su identidad y compartir documentos electrónicos, para lo cual bastará pulsar un botón en el teléfono. Su identificación digital nacional, que estará reconocida en toda Europa, les permitirá acceder a servicios online. El uso de la cartera de identidad digital europea quedará siempre a discreción del usuario. La Comisión Europea está invirtiendo 46 MEUR para probar y mejorar la billetera de identidad digital europea (EUDI) mediante el desarrollo de 4 proyectos piloto paneuropeos que probarán el uso de la billetera EUDI para individuos y empresas en una amplia gama de casos de uso cotidiano.

PROGRAMA

18:00 Bienvenida a los asistentes y presentación de la Jornada.

D. José Trigueros. Presidente del Instituto de la Ingeniería de España.

D. Víctor Izquierdo Loyola. Presidente del Comité de Sociedad Digital del IIE.

18:10 La identidad digital en las relaciones ciudadano – Administración.

D. Miguel Solano Gadea. Experto en Administración Digital. Canal ViCoTAE.

18:40 El Reglamento eIDAS2 y la Wallet de Identidad EUDI.

D. Julián Inza. Presidente de EAD Trust. Director del Laboratorio de Confianza Digital del Observatorio Legaltech & Newlaw Garrigues-ICADE.

19:10 D. Selva Orejón, CEO de onBranding, empresa especializada en la protección de la identidad de marcas y organizaciones.

19:40 Coloquio moderado por: D. Víctor Izquierdo Loyola. Presidente del Comité de Sociedad Digital del IIE.

19:45 Clausura de la jornada

15TH CA-DAY

Deja un comentario

Hoy, 12 de octubre de 2023, ha tenido lugar el decimoquinto «Dia de los Servicios de Certificación» (15TH CA-DAY). Este evento está asociado con el que se celebró ayer: el noveno Foro de los Servicios de Confianza e Identidad Digital (9th Trust Services and eId Forum).

El principal objetivo de estas jornadas es abordar los últimos avances en el marco de eIDAS2, los servicios de confianza en virtud de la Directiva NIS2, la próxima implementación de la Cartera Digital de la UE, así como la solución tecnológica con el fin de proporcionar servicios en línea seguros a los ciudadanos de la UE.

08:00 – 09:00	Registrations and breakfast
09:00 – 09:15	Welcome by D-Trust and TÜVIT	Kim Nguyen Dirk Kretzschmar
09:15 – 09:30	Keynote	Andrea Valle, Adobe
09:30 – 09:50	eIDAS 2.0 – What is new for TSP?	Viky Manaila, Intesi Group
09:50 – 10:10	NIS II and eIDAS II: How to audit Trust Services in 2025?	Paloma Llaneza González, CerteIDAS
10:10 – 10:30	QWACs and QSeals Identifying Reliable Sources	Enrico Entschew, D-Trust Andreas Wand, D-Trust

10:50 – 11:10	Auditing TSP Services in the Cloud	Matthias Wiedenhorst, TÜVIT
11:10 – 11:30	European Cyber regulations at a glance	Slawomir Gorniak, ENISA
11:30 – 11:50	Remote identification under eIDAS	Jon Olnes, Signicat
11:50 – 12:10	Wallet use cases for TSPs	Michal Tabor, Obserwatorium.biz

12:30 – 12:50	SSI and PKI – enabling attribute attestations	Christian Seegebarth, IDunion
12:50 – 13:10	eIDAS 2.0 Toolbox: Selective Disclosure for EAA	Sebastian Elfors, IDNow
13:10 – 13:30	Post Quantum Cryptography	Jan Klaußner, Bundesdruckerei

14:30 – 14:50	CAB-Forum Updates and S/MIME Baseline Requirements	Dimitris Zacharopoulos, CA/Browser-Forum
14:50 – 15:10	International market for trust services	Dean Coclin, DigiCert
15:10 – 15:50	Panel Discussion +Q&A: TSP governance – European vs. Root stores	Dennis Jackson, Mozilla Jochen Eisinger, GoogleArno Fiedler, Nimbus Technologieberatung Paul van Brouwershaven, Entrust Kim Nguyen, D-Trust

15:50 – 16:00

Closing remarks

Kim Nguyen,
Arno Fiedler

Al finalizar estos dos días quedan muchas inquietudes por resolver y algunas ideas:

El 4 de noviembre comenzará el debate final de los Trílogos sobre Identidad Digital con previsión de que el nuevo Reglamento (EIDAS2) se publique en Diciembre de 2023.
La Cartera Digital enfrenta como mayor reto la adopción.
La estructura de Prestadores de Servicios de expedición de testimonios cualificados presenta muchos retos e incertidumbres
No está claro aun como se evaluará la seguridad de la Cartera Digital ni los Servicios de expedición de testimonios cualificados.

Laboratorio de Confianza Digital ICADE Garrigues

2 respuestas

La Universidad Pontificia Comillas y el despacho de abogados Garrigues, firmaron un convenio para crear el Observatorio ‘Legaltech’, Garrigues-ICADE.

El Observatorio, depende de la Facultad de Derecho (Comillas ICADE), a través del Centro de Innovación del Derecho (CID-ICADE).

En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).

Formando parte del Observatorio se han definido ya varios laboratorios:

Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.

Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.

Hemos creado un Enlace de invitación al Canal de Whatsapp del Laboratorio de Confianza Digital en el que comentaremos novedades y al que se pueden conectar las personas interesadas.

Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.

Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.

Estado del proceso legislativo de modificación del Reglamento UE 910/2014 (EIDAS)

1 respuesta

Los últimos meses han sido muy activos en lo que tiene que ver con el desarrollo de la Cartera IDUE de la que ya he hablado en este Blog, y la revisión del marco regulatorio para modificar el Reglamento EIDAS, que. de momento, se denomina EIDAS2.

En el siguiente esquema («Timeline«) se resumen algunos hitos y actividades que incluyen también los referidos a la licitación del desarrollo del código fuente de referencia de la Cartera IDU E y los Grandes Proyectos Piloto.

(algunos párrafos se describen con letra muy pequeña, por lo que puede ser interesante ver el gráfico en una ventana nueva)

Desde hace unas semanas hemos entrado ya en la fase de Trílogos (tras la votación del 16 de marzo de 2023), y hasta llegar ahí se han dado algunos pasos, entre otros, los que ya resumí en el post Situación actualizada a noviembre de 2022 del proceso legislativo para reformar el Reglamento EIDAS

Las normas actuales sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (es decir, el Reglamento eIDAS) que datan de 2014 tienen por objeto hacer que los sistemas nacionales de identificación electrónica sean interoperables en toda Europa para facilitar el acceso a los servicios en línea. En la Estrategia digital de la UE «Configurar el futuro digital de Europa», la Comisión anunció que iba a revisar el Reglamento eIDAS para mejorar su eficacia, ampliar su aplicación al sector privado y promoverlo. El artículo 49 del Reglamento EIDAS ya preveía esta revisión:

La Comisión revisará la aplicación del presente Reglamento e informará al Parlamento Europeo y al Consejo a más tardar el 1 de julio de 2020. La Comisión evaluará en particular si es apropiado modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluidos el artículo 6, la letra f) del artículo 7 y los artículos 34, 43, 44 y 45, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica.

El informe mencionado en el párrafo primero irá acompañado, en caso necesario, de propuestas legislativas.

Asimismo, la Comisión presentará un informe al Parlamento Europeo y al Consejo cada cuatro años tras el informe mencionado en el párrafo primero sobre la marcha hacia el logro de los objetivos del presente Reglamento.

El 3 de junio de 2021, la Comisión publicó su propuesta de emiendas al Reglamento EIDAS. Con la propuesta, la Comisión esperaba cumplir los objetivos de su brújula digital (Brújula Digital 2030: El enfoque de Europa para el Decenio Digital), que dice que para 2030 todos los servicios públicos clave estarán disponibles en línea, todos los ciudadanos tendrán acceso a sus historiales médicos digitales y el 80 % de los ciudadanos deberían utilizar una identificación digital.

Además, la Comisión espera que la seguridad y el control que ofrece el marco europeo actualizado de identidad digital ofrezcan a todos los medios para controlar quién tiene acceso a su ID digital y a qué datos exactamente. Ya no se impulsarían soluciones nacionales de identidad digital y se crearía un nuevo enfoque para prestar servicios de testimonios electrónicos de atributos válidos a nivel europeo.

En el Parlamento, el expediente ha sido asignado a la Comisión de Industria, Investigación y Energía (ITRE). La ponente es Romana Jerković (S&D, Croacia). Publicó su proyecto de informe el 31 de mayo de 2022, en el que proponía una serie de cambios en la estructura, la ciberseguridad y la privacidad de la cartera europeo de identidad digital. También propuso un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital.

A lo largo del proceso se presentaron tres informes con propuestas de enmiendas respecto al texto presentado por la comisión el 3 de junio de 2021:

Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 1 a 139,
Informe de 05.07.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 140 a 368,
Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 369 a 653.

La Comisión ITRE adoptó su posición el 9 de febrero de 2023, que fue confirmada en el Pleno del 16 de marzo de 2023 (418 votos a favor, 103 en contra y 24 abstenciones).

Los principales cambios propuestos en el informe son los siguientes:

Estructura de la cartera europea de identidad digital: el informe ampliaría el uso de la cartera, permitiendo a los ciudadanos no solo demostrar su identidad y compartir documentos, sino también verificar las identidades y documentos de las empresas y de otros ciudadanos. También hace hincapié en que la cartera debe seguir siendo voluntaria, gratuita para los particulares, así como para las empresas Y los usuarios deben poder realizar un seguimiento de todas las transacciones ejecutadas a través de la cartera. Los Estados miembros dispondrían de 18 meses (la Comisión propuso inicialmente 12 meses) tras la entrada en vigor del Reglamento eIDAS para emitir la cartera.
Privacidad y seguridad: tanto la ciberseguridad como la privacidad de la cartera se refuerzan, pidiendo explícitamente que el diseño de la cartera garantice la ciberseguridad y la privacidad por diseño.
«Principio de una sola vez»: los ciudadanos y las empresas no deberían tener que facilitar los mismos datos a las autoridades públicas más de una vez.
Identificación transfronteriza del usuario: en lugar de «identificación única» (como proponía la Comisión), el informe propone la expresión «identificación transfronteriza del usuario» y propone que los Estados miembros que tengan al menos un identificador único emitan identificadores únicos y persistentes solo para uso transfronterizo.
Gobernanza: se añade un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital. El informe propone crear un Consejo Marco Europeo de Identidad Digital (EDIFB), compuesto por las autoridades nacionales competentes y la Comisión.
Certificados cualificados para la autenticación de sitios web: el informe añade que no se impediría a los navegadores web tomar las medidas necesarias y proporcionadas para hacer frente a los riesgos justificados de violaciones de la seguridad, la privacidad del usuario y la pérdida de integridad de los certificados, lo que aligera la obligación de aceptar certificados QWAC europeos.

En el Consejo Europeo, el Grupo «Telecomunicaciones y Sociedad de la Información» comenzó a examinar el expediente en junio de 2021. El 6 de diciembre de 2022, el Consejo adoptó su Posición Común (orientación general) sobre el expediente (Council´s general approach). Los Estados miembros introdujeron algunas modificaciones en el funcionamiento de la cartera para garantizar que la persona que reclama una identidad sea realmente su titular. También se aseguró de que el texto estuviera en consonancia con otras leyes de la UE, como la legislación sobre ciberseguridad. Según el texto del Consejo Europeo, los Estados miembros tendrían 24 meses después de la entrada en vigor de los actos de ejecución para proporcionar la Cartera. Finalmente, el Consejo cree que la billetera no debería costar nada para las personas, pero las empresas pueden incurrir en costos para la autenticación con la billetera.

Los colegisladores iniciaron negociaciones tripartitas (trílogos) sobre el expediente el 21 de marzo de 2023.

Información externa:

Resumen del proceso, elaborado por Maria Niestadt, sobre los trabajos impulsados por la ponente Romana Jerković
Texto usado de base al inicio de los Trilogos tras las votaciones: 418 a favor, 103 en contra y 24 abstenciones.
Ponencia de Dietmar Gattwinkel en el evento de ENISA «Cybersecurity Standardisation Conference 2023«

Referencias:

Observatorio Legislativo del PE, Marco Europeo de Identidad Digital, 2021/0136(COD)
Comisión Europea, Propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un marco para una identidad digital europea, COM(2021) 281
Comisión Europea, Reglamento (UE) n.º 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE
Comité Europeo de las Regiones, Dictamen sobre la identidad digital europea, CDR 3686/2021
Comité Económico y Social Europeo, Dictamen sobre la identidad digital europea, CESE 2021/02756
Parlamento Europeo, Comisión de Industria, Investigación y Energía proyecto de informe sobre un marco para una identidad digital europea, 2021/0136(COD)
Consejo, orientación general sobre una propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un marco para la identidad digital europea, 14959/22
Parlamento Europeo y el Parlamento están dispuestos a negociar con el Consejo una cartera digital a escala de la UE, comunicado de prensa, 16 de marzo de 2023

Otras documentos de interés:

Parlamento Europeo, EPRS, Actualización del marco europeo de identidad digital, informe legislativo, septiembre de 2022
Parlamento Europeo, EPRS, Revisión del Reglamento eIDAS: conclusiones sobre su ejecución y aplicación, informe, marzo de 2022
Parlamento Europeo, EPRS, Firmas electrónicas, de un vistazo, diciembre de 2022
Parlamento Europeo, EPRS, Certificados cualificados para la autenticación de sitios web, enero de 2023

Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 – documento en español

5 respuestas

Hoy se ha publicado la versión 1 del documento «European Digital Identity Wallet Architecture and Reference Framework» que llevábamos algún tiempo esperando.

El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.

La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.

De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).

Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»

Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.

arf-arquitectura-marco-de-referencia-de-la-identidad-digital-europea-esquema-cartera-idue-de-eidas2 Descarga

Cartera IDUE = EUDI Wallet

2 respuestas

El nuevo ecosistema que hay que desplegar para acoger el futuro mecanismo de Identidad Digital de la Unión Europea tendrá entre sus principales componentes una Cartera Digital (Cartera IDUE. Identidad Digital de la Unión Europea) desde la que se gestionarán certificados de firma electrónica, testimonios digitales de atributos (que podrán ser cualificados y no cualificados) y datos personales.

Los datos que se ceden estarán bajo el control de su titular que en un momento dado podrá retirar el permiso de acceso a sus datos que hubiera otorgado con anterioridad.

En la cartera (o más bien en el ecosistema creado alrededor de la cartera) quedará registrada cada cesión de datos y ¡por fin! existirá un mecanismos para tener constancia de todas las veces en las que se formula el consentimiento para que empresas y entidades hagan uso de nuestros datos, en un contexto en el que el Reglamento General de Protección de Datos da una pauta de nuestros derechos pero no aclara como ejercerlos de manera adecuada.

No necesitaremos una libreta para ir apuntando cada vez que nos piden permiso para tener nuestros datos y junto a la anotación la forma de ejercer frente a la entidad los derechos SOPLAR.

El documento que resume la funcionalidad de la Cartera IDUE y el futuro ecosistema lo ha elaborado el Grupo de Expertos EIDAS creado al efecto cuando se anunció la Propuesta de modificación del Reglamento EIDAS y la versión que existe ahora mismo es la de febrero de 2022. Se denomina «ARF» (European Digital Identity Architecture and Reference Framework – Outline).

Se anunció que el 30 de octubre de 2022 se publicaría una nueva versión, pero todavía no se ha publicado.

Video de mi charla en Tecnowebinars sobre Criptografía postcuántica y EIDAS2

Deja un comentario

El pasado 18 de mayo de 2022 participé como ponente en uno de los eventos organizados por Tecnowebinars, en este caso bajo el auspicio de EADTrust.

Daniel Alguacil fue el introductor.

La charla está dividida en 2 partes.

Una sobre los posibles algoritmos de criptografía de clave pública resistentes a la computación cuantica, con el reto que supone el algoritmo de Shor, que surgirán del proceso de selección desarrollado por el NIST.

Y la otra sobre el reto que supondrá en Europa la modificación del Reglamento EIDAS (EIDAS2), sobre todo en relación con la EUDI Wallet (European Union Digital Identity Wallet). En español, Cartera IDUE (Cartera de Identidad Digital de la Unión Europea).

Posteriormente, en julio de 2022, se publicó por el NIST la selección de algoritmos de criptografía de clave pública de la fase 3 del proceso de de selección de este tipo de algoritmos resistentes a la computación cuántica. Entre otros, dos de los algoritmos seleccionados han sido CRYSTALS KYBER para el intecambio de claves y CRYSTALS DILITHIUM para la firma digital.

El informe del NIST «Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process» está disponible en https://t.co/0i9Jn10lpi

Aportación del Parlamento español al proceso legislativo europeo conducente a la modificación del Reglamento UE nº 910/2014 (EIDAS)

Deja un comentario

El Parlamento español remitió al Parlamento europeo en octubre de 2021 su primer informe respecto al proceso legislativo relativo a la propuesta de Reglamento siguiente: «Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity»

Este es el documento remitido (en PDF).

eidas2-es_parliament_cont1-com20210281_es Descarga

Y aquí la transcripción del infome:

INFORME 28/2021 DE LA COMISIÓN MIXTA PARA LA UNIÓN EUROPEA, DE 23 DE SEPTIEMBRE DE 2021, SOBRE LA APLICACIÓN DEL PRINCIPIO DE SUBSIDIARIEDAD POR LA PROPUESTA DE REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO POR EL QUE SE MODIFICA EL REGLAMENTO (UE) N.o 910/2014 EN LO QUE RESPECTA AL ESTABLECIMIENTO DE UN MARCO PARA UNA IDENTIDAD DIGITAL EUROPEA [COM (2021) 281 FINAL] [COM (2021) 281 FINAL ANEXO] [2021/0136 (COD)] {SEC (2021) 228 FINAL} {SWD (2021) 124 FINAL}{SWD (2021) 125 FINAL}

ANTECEDENTES

A. El Protocolo sobre la aplicación de los principios de subsidiariedad y proporcionalidad, anejo al Tratado de Lisboa de 2007, en vigor desde el 1 de diciembre de 2009, ha establecido un procedimiento de control por los Parlamentos nacionales del cumplimiento del principio de subsidiariedad por las iniciativas legislativas europeas. Dicho Protocolo ha sido desarrollado en España por la Ley 24/2009, de 22 de diciembre, de modificación de la Ley 8/1994, de 19 de mayo. En particular, los nuevos artículos 3 j), 5 y 6 de la Ley 8/1994 constituyen el fundamento jurídico de este informe.

B. La Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.0 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, ha sido aprobada por la Comisión Europea y remitida a los Parlamentos nacionales, los cuales disponen de un plazo de ocho semanas para verificar el control de subsidiariedad de la iniciativa, plazo que concluye el 4 de octubre de 2021.

C. La Mesa y los Portavoces de la Comisión Mixta para la Unión Europea, el 14 de septiembre de 2021, adoptaron el acuerdo de proceder a realizar el examen de la iniciativa legislativa europea indicada, designando como ponente al Diputado D. José María Sánchez García (GVOX), y solicitando al Gobierno el informe previsto en el artículo 3 j) de la Ley 8/1994.

D. Se ha recibido informe del Gobierno en el que se manifiesta la conformidad de la iniciativa con el principio de subsidiariedad. Asimismo, se han recibido informes del Parlamento Vasco y del Parlamento de Cantabria comunicando el archivo de expediente o la no emisión de dictamen motivado.

E. La Comisión Mixta para la Unión Europea, en su sesión celebrada el 23 de septiembre de 2021, aprobó el presente

INFORME

1.- El artículo 5.1 del Tratado de la Unión Europea señala que «el ejercicio de las competencias de la Unión se rige por los principios de subsidiariedad y proporcionalidad’. De acuerdo con el artículo 5.3 del mismo Tratado, «en virtud del principio de subsidiariedad la Unión intervendrá sólo en caso de que, y en la medida en que, los objetivos de la acción pretendida no puedan ser alcanzados de manera suficiente por los Estados miembros, ni a nivel central ni a nivel regional y local, sino que puedan alcanzarse mejor, debido a la dimensión o a los efectos de la acción pretendida, a escala de la Unión«.

2.- La Propuesta legislativa analizada se basa en el artículo 114 del Tratado de Funcionamiento de la Unión Europea, que establece lo siguiente:

«Artículo 114

1. Salvo que los Tratados dispongan otra cosa, se aplicarán las disposiciones siguientes para la consecución de los objetivos enunciados en el artículo 26. El Parlamento Europeo y el Consejo, con arreglo al procedimiento legislativo ordinario y previa consulta al Comité Económico y Social, adoptarán las medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior.
( …. )
10. Las medidas de armonización anteriormente mencionadas incluirán, en los casos apropiados, una cláusula de salvaguardia que autorice a los Estados miembros a adoptar, por uno o varios de los motivos no económicos indicados en el artículo 36, medidas provisionales sometidas a un procedimiento de control de la Unión.»

3.- La Propuesta de Reglamento sobre la que se informa lo es de modificación del Reglamento (UE) n.0 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Luego la materia es relativa al mercado interior por lo que dicha materia es de competencia compartida entre la Unión y los Estados miembros (art.4.2.a) del Tratado de Funcionamiento de la Unión Europea.

Por consiguiente, debe ser examinada la conformidad de la Propuesta de Reglamento analizada con el principio de subsidiariedad.

La Propuesta de Reglamento sobre la que se informa se ordena a la armonización en la prestación de servicios de confianza, así como de la seguridad, tanto para los ciudadanos que utilicen una identidad digital europea con fines de representación en línea como para los proveedores de servicios en línea, de modo tal que puedan confiar plenamente en las soluciones de identidad digital y aceptarlas con independencia de dónde se hayan expedido.

Dicha armonización o aproximación de legislaciones (de los Estados miembros) – tal y como la denomina el capítulo 3 del Título VII del Tratado de Funcionamiento de la Unión Europea- es de suyo subsidiaria toda vez que es difícil concebir la armonización general de todas las legislaciones nacionales de los Estados miembros por otro sujeto que no sea la propia Unión Europea, si nos atenemos al concepto de subsidiariedad ex artículo 5.3 del Tratado citado, con la salvedad de que el contenido objetivo de la Propuesta de Reglamento analizada no fuese propiamente armonizador. No parece verificarse esta hipótesis de excepción.

Cumple censurar, no obstante y por último, el tenor hermético y de perfiles cuasi esotéricos de la exposición de motivos recibida, que precede a la Propuesta de Reglamento, cuando se afirma en ella lo siguiente: «ofrece un instrumento adecuado para establecer la estructura de interoperabilidad necesaria para la creación de un ecosistema de identidad digital a escala de la UE basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados«.

Además, incurre dicho texto en una petición de principio al justificar la proporcionalidad, sabido que la Propuesta de Reglamento es armonizadora, así: «Supone una contribución clara al objetivo de mejorar el mercado único digital a través de un marco jurídico más armonizado«.

CONCLUSIÓN

Por los motivos expuestos, la Comisión Mixta para la Unión Europea entiende que la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) n.• 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, es conforme al principio de subsidiariedad establecido en el vigente Tratado de la Unión Europea.

¿Debe constar el número de DNI en los certificados cualificados expedidos en España?

3 respuestas

La Ley 6/2020 recoge en su Artículo 6 (sobre «Identidad y atributos de los titulares de certificados cualificados.»

La identidad del titular en los certificados cualificados se consignará de la siguiente forma:

En el supuesto de certificados de firma electrónica y de autenticación de sitio web expedidos a personas físicas, por su nombre y apellidos y su número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, o a través de un pseudónimo que conste como tal de manera inequívoca. Los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo.
En el supuesto de certificados de sello electrónico y de autenticación de sitio web expedidos a personas jurídicas, por su denominación o razón social y su número de identificación fiscal. En defecto de este, deberá indicarse otro código identificativo que le identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.

Si los certificados admiten una relación de representación incluirán la identidad de la persona física o jurídica representada en las formas previstas en el apartado anterior, así como una indicación del documento, público si resulta exigible, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales.

Sin embargo, el Reglamento europeo EIDAS, establece en el Artículo 4 (sobre el «Principio del mercado interior»

No se impondrá restricción alguna a la prestación de servicios de confianza en el territorio de un Estado miembro por un prestador de servicios de confianza establecido en otro Estado miembro por razones que entren en los ámbitos cubiertos por el presente Reglamento.
Se permitirá la libre circulación en el mercado interior de los productos y servicios de confianza que se ajusten al presente Reglamento.

Por tanto, la normativa española estaría imponiendo una restricción a la prestación de servicios de confianza que excede a lo que prevé el Reglamento Europeo y restringiendo opciones a los prestadores de servicios de confianza españoles. Lo cual está expresamente prohibido por el Reglamento UE nº 910/2014, que, por cierto, es una norma de rango superior a la Ley 6/2020 española.

Prueba de que la intención del legislador europeo es la de definir diferentes mecanismos de numeración es que el Anexo I (sobre «REQUISITOS DE LOS CERTIFICADOS CUALIFICADOS DE FIRMA ELECTRÓNICA») indica:

Los certificados cualificados de firma electrónica contendrán:

a) una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de firma electrónica;

b) un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados, incluyendo como mínimo el Estado miembro en el que dicho prestador está establecido, y

— para personas jurídicas: el nombre y, cuando proceda, el número de registro según consten en los registros oficiales,

— para personas físicas, el nombre de la persona;

c) al menos el nombre del firmante o un seudónimo; si se usara un seudónimo, se indicará claramente;

d) datos de validación de la firma electrónica que correspondan a los datos de creación de la firma electrónica;

e) los datos relativos al inicio y final del período de validez del certificado;

f) el código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza;

g) la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se hace referencia en la letra g);

i) la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;

j) cuando los datos de creación de firma electrónica relacionados con los datos de validación de firma electrónica se encuentren en un dispositivo cualificado de creación de firma electrónica, una indicación adecuada de esto, al menos en una forma apta para el procesamiento automático.

Es decir, es el Prestador el que define la forma de codificar el código de identidad del certificado.

En el mismo sentido se establece el principio recogido en el considerando 54:

La interoperabilidad y el reconocimiento transfronterizos de los certificados cualificados es un requisito previo para el reconocimiento transfronterizo de las firmas electrónicas cualificadas. Por consiguiente, los certificados cualificados no deben estar sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el presente Reglamento. No obstante, en el plano nacional debe permitirse la inclusión de atributos específicos, por ejemplo identificadores únicos, en los certificados cualificados, a condición de que tales atributos específicos no comprometan la interoperabilidad y el reconocimiento transfronterizos de los certificados y las firmas electrónicas cualificados.

Y, en el plano técnico, la interoperabilidad se resuelve haciendo uso del estándar europeo destinado para ello, la norma ETSI EN 319 412-1 Y en esta norma se ve (apartado «5.1.3 Natural person semantics identifier») que son varias las posibilidades de codificar números de identidad, que no se limitan a recoger el número de DNI:

The semantics of id-etsi-qcs-SemanticsId-Natural shall be as follows.

When the natural person semantics identifier is included, any present serialNumber attribute in the subject field shall contain information using the following structure in the presented order:

3 character natural person identity type reference;
2 character ISO 3166-1 [2] country code;
hyphen-minus «-» (0x2D (ASCII), U+002D (UTF-8)); and
identifier (according to country and identity type reference).

The three initial characters shall have one of the following defined values:

«PAS» for identification based on passport number.
«IDC» for identification based on national identity card number.
«PNO» for identification based on (national) personal number (national civic registration number).
«TAX» for identification based on a personal tax reference number issued by a national tax authority. Thisvalue is deprecated. The value «TIN» should be used instead.
«TIN» Tax Identification Number according to the European Commission – Tax and Customs Union (https://ec.europa.eu/taxation_customs/tin/tinByCountry.html).
Two characters according to local definition within the specified country and name registration authority, identifying a national scheme that is considered appropriate for national and European level, followed by the character «:» (colon).

Other initial character sequences are reserved for future amendments of the present document.

EXAMPLES: "PASSK-P3000180", "IDCBE-590082394654" and "EI:SE-200007292386".

When a locally defined identity type reference is provided (two characters followed by «:»), the nameRegistrationAuthorities element of SemanticsInformation (IETF RFC 3739) shall be present and shall contain at least a uniformResourceIdentifier generalName. The two letter identity type reference preceding the «:» character shall be unique within the context of the specified uniformResourceIdentifier.

Por tanto, dada la posibilidad de hacer constar otros números de identificación de la persona física a criterio del Prestador de Servicios de Certificación y la limitación impuesta a los estados miembro que les prohíbe legislar en lo que ya legisla el Reglamento EIDAS, no sería obligatorio hacer constar el número de DNI.

Todo es electrónico

Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital

Archivo de la categoría: PKI

Se logra el acuerdo final sobre el texto del Reglamento de Identidad Digital (EIDAS2) que modificará el actual Reglamento EIDAS y que define entre otros aspectos la Cartera IDUE

Identidad digital en España y en la UE

15TH CA-DAY

Laboratorio de Confianza Digital ICADE Garrigues

Estado del proceso legislativo de modificación del Reglamento UE 910/2014 (EIDAS)

Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 – documento en español

Cartera IDUE = EUDI Wallet

Video de mi charla en Tecnowebinars sobre Criptografía postcuántica y EIDAS2

Aportación del Parlamento español al proceso legislativo europeo conducente a la modificación del Reglamento UE nº 910/2014 (EIDAS)

¿Debe constar el número de DNI en los certificados cualificados expedidos en España?