Archivo de la categoría: Protección del menor

Participación en Tinku TV para hablar de EIDAS2 y de la Cartera IDUE

Deja un comentario

Hoy participo en Tinku TV, en el Programa de Derecho que dirige Lara Novis y en el que comentaremos brevemente algunos de los aspectos más relevantes del Reglamento EIDAS2 y de la Cartera de Identidad Digital de la Unión Europea.

Lara siempre organiza debates interesantes para garantizar un análisis exhaustivo de las cuestiones actuales y emergentes en el ámbito jurídico, por lo que agradezco que me haya invitado a su programa.

A través de cada episodio, da pie a que abogados, empresarios y responsables de diversas áreas compartan su visión y sus experiencias prácticas, dando respuesta a las preguntas más apremiantes del entorno jurídico actual.

El programa se emite en directo a las 17:00 y quedará disponible en la plataforma de Tinku TV

🔴 Para verlo en directo en Tinku Televisión (plataforma propia)
https://tinku.es/live/

🔴 Para verlo en directo y suscribirte a su canal en YouTube
https://www.youtube.com/channel/UCXd4lSr-NWwfLF7hUqT6HUQ?sub_confirmation=1

🔴 Para verlo en directo por LinkedIn
https://www.linkedin.com/company/tinku-es/

Y para que tengáis contexto de qué es el Reglamento EIDAS 2 y la Cartera IDUE, y podáis seguir mejor la entrevista (que quizá entre en detalles técnicos y legales), os incluyo información adicional a continuación.

El eIDAS2 es una actualización del Reglamento eIDAS original (Reglamento UE 910/2014), que entró en vigor el 20 de mayo de 2024 como el Reglamento (UE) 2024/1183. Este nuevo marco legal busca mejorar la identificación electrónica y los servicios de confianza en la Unión Europea, adaptándose a las necesidades actuales de un entorno digital en constante evolución. Su objetivo principal es garantizar una identidad digital segura, interoperable y fácil de usar para todos los ciudadanos, residentes y empresas de la UE, promoviendo transacciones digitales más seguras y eficientes tanto a nivel nacional como transfronterizo.

Uno de los elementos más destacados del eIDAS2 es la introducción de la Cartera de Identidad Digital Europea, conocida como EUDI Wallet (European Digital Identity Wallet) o Cartera IDUE en español (Identidad Digital de la Unión Europea). Se trata de una aplicación móvil que permitirá a los usuarios almacenar, gestionar y compartir de manera segura datos de identidad y declaraciones electrónicas de atributos personales, (como el DNI, el carné de conducir, títulos académicos, certificados médicos, datos de empadronamiento o poderes de representación) y firmar documentos electrónicamente con firma cualificada. Esta cartera digital no sustituye los propios documentos físicos como el DNI, pero amplía sus funcionalidades al ámbito digital, ofreciendo un medio unificado para autenticarse en servicios públicos y privados, tanto en línea como presencialmente.

La Cartera IDUE está diseñada para dar a los usuarios un mayor control sobre sus datos personales. Por ejemplo, permite compartir solo la información necesaria para una transacción específica (como probar que eres mayor de edad sin revelar tu fecha de nacimiento completa) y registrar todas las interacciones para mayor transparencia. En el futro permitirá retirar el consentimiento sobre datos personales aportados con anterioridad por lo que será una de las primeras herramientas para ejercer los derechos SOPLAR (antiguos ARCO) con un click.

Además, deberá ser aceptada obligatoriamente por empresas y organismos en todos los países de la UE, lo que facilita la interoperabilidad y el acceso a servicios transfronterizos. Los Estados miembros deberán proporcionar esta cartera a sus ciudadanos en un plazo de 24 meses tras la aprobación de las especificaciones técnicas detalladas, previstas en actos de ejecución que complementan el reglamento. Es decir, en diciembre de 2026.

Nuevos borradores de Actos de Ejecución necesarios para el desarrollo de la Cartera IDUE (Identidad Digital de la Unión Europa) correpondientes al segundo lote

3 respuestas

El viernes 29 de noviembre de 2024 la Comisión Europea publicó nuevos borradores de Actos de Ejecución necesarios para el desarrollo de la Cartera IDUE (Identidad Digital de la Unión Europea) en el portal ‘Have your say’ (Díganos lo que piensa), solicitando comentarios de los expertos y partes interesadas hasta el 27 de diciembre.

Este segundo lote podría publicarse, tras las modificaciones propuestas que se hayan aceptado, en marzo de 2025 en el Diario Oficial.

Wallet lists
This implementing act sets out rules for the submission to the Commission of information on certified wallet solutions and their associated electronic identification schemes by EU countries. It also sets out the requirements for the secure electronic system to be set up by the Commission for receiving the submissions.

Este acto de ejecución establece normas para la notificación a la Comisión por los países de la UE de la información sobre sus soluciones certificadas de cartera y los esquemas de identificación electrónica asociados. También establece los requisitos para el sistema electrónico seguro que debe desplegar la Comisión para recibir las notificaciones.

Draft implementing regulation – Ares(2024)8509195

Draft implementing regulation – Ares(2024)8509195-090166e51561e6d5Descarga

Annex – Ares(2024)8509195

Annex – Ares(2024)8509195-090166e51561e6d4Descarga

Identity matching – Cross-border identity matching of natural persons by public sector bodies (RP)

This implementing act sets out the provisions on unequivocal identity matching when using electronic identification means or European Digital Identity Wallets. It sets out what EU countries must do to ensure unequivocal identity matching when users want to access online cross-border public services when using electronic identification means or European digital identity wallets.

Este acto de ejecución establece las disposiciones sobre la correspondencia inequívoca de identidades cuando se utilizan medios de identificación electrónica o carteras europeas de identidad digital. Establece lo que deben hacer los países de la UE para garantizar la concordancia inequívoca de la identidad cuando los usuarios deseen acceder a servicios públicos transfronterizos en línea utilizando medios de identificación electrónica o carteras digitales de identidad europea.

Draft implementing regulation – Ares(2024)8509332

Draft implementing regulation – Ares(2024)8509332-090166e51561f3b3Descarga


Relying parties – The registration of relying parties and the common mechanism for allowing the identification and authentication of relying parties

This act sets out the provisions on the process for registering relying parties in EU countries. The provisions relate to information necessary for authentication to access European Digital Identity Wallets, and to relying parties’ contact details and their intended use of wallets, including what data relying parties may ask users for. The provisions include specifications and requirements for relying party access certificates issued after the registration of a wallet relying party.

Este acto establece las disposiciones sobre el proceso de registro de las partes usuarias (partes informadas) en los países de la UE. Las disposiciones se refieren a la información necesaria para la autenticación con el fin de acceder a las carteras de identidad digital europea, así como a los datos de contacto de las partes usuarias y el uso previsto de las carteras, incluidos los datos que las partes usuarias pueden solicitar a los usuarios. Las disposiciones incluyen especificaciones y requisitos para los certificados que habilitan el acceso de las partes usuarias a las que se expide tras su registro como parte usuaria (parte informada) de cartera.

Draft implementing regulation – Ares(2024)8509234

Draft implementing regulation – Ares(2024)8509234- 090166e51562041cDescarga

Annex – Ares(2024)8509234

Annex – Ares(2024)8509234-090166e51562041dDescarga

Security Breaches

This implementing act sets out rules for EU countries to have mechanisms in place to ensure the suspension and, where applicable, withdrawal of European Digital Identity Wallets if there is a security breach or partial compromise affecting a wallet’s reliability.

Este acto de ejecución establece normas para que los países de la UE dispongan de mecanismos que garanticen la suspensión y, en su caso, la retirada de las carteras de identidad digital europea si se produce una violación de la seguridad o un incidente de seguridad parcial que afecte a la fiabilidad de la cartera.

Draft implementing regulation – Ares(2024)8509261

Draft implementing regulation – Ares(2024)8509261-090166e51561f731Descarga

Annex – Ares(2024)8509261

Annex – Ares(2024)8509261-090166e51561f730Descarga

Electronic Attestations of Attributes

For the successful implementation of European Digital Identity Wallets, this implementing act sets out requirements for issuing and validating electronic attestations of attributes.

It also establishes a catalogue of attributes that must be verifiable against authentic sources, and sets out rules on notifying and publishing information on public sector bodies that issue attestations of attributes and are responsible for managing the authentic sources these attestations come from. 

Para implantar con éxito las Carteras de Identidad Digital Europea, este acto de ejecución establece requisitos para la emisión y validación de declaraciones electrónicas o testimonios electrónicos de atributos.

También establece un catálogo de atributos que deben poder verificarse a partir de fuentes auténticas, así como normas sobre notificación y publicación de información sobre los organismos del sector público que expiden declaraciones o testimonios de atributos y son responsables de la gestión de las fuentes auténticas de las que proceden dichos certificados.

Draft implementing regulation – Ares(2024)8509285-090166e515620562Descarga
Annex – Ares(2024)8509285-090166e515620563Descarga

Se pueden ver todas las iniciativas en el portal ‘Have your say‘ (Díganos lo que piensa)

Justamente el dia anterior, 28 de noviembre de 2024, se hizo oficial la aprobación de los actos de ejecución del lote 1 y lo comenté en este Blog.

También he comentado en este blog la aprobación formal del primer lote de actos de ejecución que tuvo lugar el dia 21 de noviembre de 2024. En ese artículo se incorporaba el texto con las modificaciones introducidas a los borradores de Actos de Ejecución publicados en agosto que se llevaban al Comité EIDAS para su aprobación.

Ese primer lote de borradores de los primeros actos de ejecución (implementing acts) se publicaron 12 de agosto de 2024 y se abrió un plazo hasta el 9 de septiembre de 2024 para que se pudieran enviar comentarios. También me referí a ellos en el Blog.

El derecho al olvido y el derecho al recuerdo

3 respuestas

Recientemente se ha publicado la noticia de que es BOE se verá obligado a impedir el rastreo de los buscadores.

Yo reconozco que en ocasiones me he quejado de que el BOE permita conocer más fácilmente a cualquiera que a mi mismo el hecho de que se publique la presunta comisión de una infracción (por ejemplo de tráfico), por el efecto de notificación de último recurso del BOE, y que esta circunstancia se potencie con la acción de los buscadores.

Sin embargo, estaría encantado que en el BOE figurara, por ejemplo, que he aprobado el exámen de radioaficionado y que si alguien busca mi nombre en un buscador pudiera tener constancia de esta publicación.

Yo tengo mi opinión sobre la forma de resolver estos problemas, y no coincide con el punto de vista de la Agencia Española de Protección de Datos, ni con la Agencia Estatal Boletín Oficial del Estado.

Y en primer lugar, considero que el derecho al olvido se debe garantizar respecto a «las cosas malas» que se puedan decir de mi, pero no respecto a las «cosas buenas», sobre las que debe primar el derecho al recuerdo. Algo que tiene que ver más con el derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, que específicamente con la Intimidad o la Privacidad.

Y especialmente considero que el problema de base, no es que los buscadores hagan honor o no al archivo «robots.txt» sino que, en primer lugar, no se debería usar el BOE (ni, por supuesto, los tablones edictales) para notificar nada, una vez agotadas las vias convencionales de notificación.

Con la tecnología actual es muy sencillo crear bajo el auspicio del Ministerio de Política Territorial y Administraciones Públicas un sistema de notificaciones individuales de último recurso (la dirección electrónica de notificación presunta), susceptible de ser prestada por las administraciones autonómicas a instancia del interesado. El MPTyAP gestionaría, en todo caso el punto de consulta central de los Directorios Coordinados que permiten identificar al prestador del servicio de DENP para un DNI dado.

Los órganos que concluyan sus intentos de notificaciones sin éxito (y que, con la normativa actual, acabarían por notificar por Boletín – BOE, autonómico,…- o Tablón Edictal), emitirían su notificación al sistema DENP.

El ciudadano, podría acceder a conocer las notificaciones que se presumen realizadas y que le involucran, sin más que utilizar el DNI electrónico accediendo al servicio. O, en caso de que no sepa usarlo, mediante la intermediación de un funcionario habilitado para ello en cualquier organismo público de cualquier nivel de la administración que cuente con oficina abierta al público.

En fin, que las malas noticias hay que dejar de darlas a través de sistemas que puedan ser  indexados por los buscadores.

Jornada Cloud Computing y la privacidad de los menores en la red

1 respuesta

Como ya comenté en el artículo «Cloud Computing y Privacidad de los Menores en la Red» estaba prevista mi participación en el reciente evento organizado por la Fundación Solventia.

Adjunto copia del resumen del evento preparado por la Fundación:

“Hay una reducida consciencia de la protección de datos y los riesgos que implica compartir información en la red”

  • “Es necesario educar en la política de privacidad a todos los actores implicados, especialmente a los  menores”
  • “El actual marco legislativo da muchas respuestas a los desafíos del Cloud Computing. La autorregulación es un complemento y no un sustitutivo de ley”
  • La Fundación Solventia y la Fundación Anar firman un acuerdo de colaboración para compartir recursos y velar por la protección de la infancia

Los cambios de aplicaciones de las nuevas tecnologías constituyen un fenómeno que ha variado nuestra forma de relacionarnos y de comunicarnos, mucho más aún en el caso de los menores. En la vida digital se intercambian datos personales, imágenes, información pública o privada que se introduce en la red sin conocer los riesgos que esto conlleva. Y es que… ¿A dónde van mis datos? Este interrogante fue el punto de partida de la Jornada Cloud Computing y la privacidad de los menores en la red, que la Fundación Solventia organizó ayer en el Ilustre Colegio de Abogados de Madrid. La cita, celebrada en colaboración con la Fundación ACS, Google y el Centro de Estudios Diaz-Bastien &Truan es ya un punto de referencia para los especialistas en protección de datos ya que fue una acción más del proyecto de investigación internacional ‘La privacidad de los menores ante el uso de las nuevas tecnologías’ que la Fundación Solventia desarrolla desde hace un año.

El seminario fue inaugurado por el director de la Agencia Española de Protección de Datos (AEPD), Artemi Rallo Lombarte, además del Presidente de la Fundación Solventia, Conrado Truan y el director del proyecto de investigación y Catedrático de Derecho Administrativo José Luis Piñar Mañas. En diálogo con todos los actores implicados en este proceso, la jornada también contó con la intervención de más de 20 profesionales y expertos del sector, quienes reflexionaron sobre los desafíos de cloud computing o nube digital y cómo proteger los principios de la privacidad, especialmente de los menores, un colectivo tan vulnerable.

Conectividad y colaboración

El auge de la computación en la nube, cloud computing o “nube TIC” –tal y como prefiere definirla Julián Inza, presidente de Albalia Interactiva– hace que sea imprescindible tener en cuenta este nuevo paradigma de funcionamiento de Internet. Esta tendencia se basa en que los archivos o documentos que tradicionalmente almacenábamos en nuestro ordenador pueden alojarse ahora en ‘la nube’ de Internet. De esta manera se han transformado los sistemas de almacenamiento de datos y documentos ya que ahora “cualquier usuario puede acceder a sus archivos personales desde cualquier sitio”, destacó Barbara Navarro, directora Europea de Políticas Públicas y Asuntos Institucionales de Google España y Portugal.

Asimismo, Navarro señaló que la existencia de la ‘nube digital’ “contribuye a la conectividad y colaboración entre las personas”. El cloud computing también facilita trabajar en grupo a través de la red posibilitando “que varias personas co-editen un documento, realicen búsquedas de información en segundos o escriban un mail en un idioma y el destinatario lo reciba en otro”. Sin embargo, desde el punto de vista de la privacidad, el intercambio y la conectividad plantea una serie de interrogantes que todos los actores implicados deben responder.

Autorregulación, ¿una solución?

Otro de los puntos clave que añade complejidad a este campo es el principio de territorialidad en la aplicación de las normas y el carácter interterritorial intrínseco de la computación en la nube. “No podemos saber realmente donde se ubican los almacenes de datos”, explica José Luis Piñar, “por tanto, no podemos realmente determinar en todo momento que norma puede aplicarse”. Sin embargo, el desconocimiento que arguyen los proveedores de Internet sobre la ubicación de los datos o sobre qué jurisdicción aplicar “no puede excusar el incumplimiento de los principios de la protección de datos y la privacidad”, explicó Francisco Fonseca Morillo, director de la Representación de la Comisión Europea en España. “El derecho y, en concreto la legislación europea, da respuesta a estos interrogantes. No podemos permitir que los suministradores de los servicios digitales no cumplan los principios de privacidad. Debemos exigírselo”.

En esta misma línea se manifestó Natalia Martos Díaz, Directora Jurídica y de Privacidad de Tuenti quien insistió que “el marco legislativo actual da muchas respuestas a los desafíos que se plantean. En ningún caso la autorregulación puede sustituir a la ley. Es un complemento necesario en situaciones concretas, pero no un sustitutivo legal”. En cuanto a la autorregulación, una práctica mucho más extendida en Estados Unidos, José Luis Piñar consideró que “es imprescindible acentuar las medidas de autorregulación responsable mediante la definición de políticas de privacidad rigurosas, cuyo cumplimiento esté garantizado por los proveedores y que cuenten con algún grado de vinculatoriedad al objeto de poder imponer, en su caso, su acatamiento”.

Educar para concienciar

Junto al cumplimento de la ley o la mejora de las medidas de autorregulación hay otro aspecto imprescindible para salvaguardar la privacidad: la concienciación. “Existe una reducida conciencia de los riesgos que implica compartir datos y hay un gran desconocimiento sobre la protección de los mismos”, afirmó  Pablo Lucas Murillo, magistrado del Tribunal Supremo. “Es necesario fomentar una conciencia de protección de datos a través de la educación de todos los actores implicados”, explicó Lucas Murillo. “Instituciones, familia, educadores, proveedores de servicios deben adquirir esta conciencia de la protección para poderla transmitir a los y las menores”.

En esta misma línea insistió Arturo Canalda, Defensor del Menos de la Comunidad de Madrid que “es importante concienciar y acompañar los niños y niñas en su vida digital. Lo indispensable no es donde están los datos sino saber los delitos y los abusos que se cometen con el manejo de los mismos”. Y es que, “todos podemos poner de nuestra parte, podemos mejorar nuestro cumplimiento, pero sin la educación y conciencia de los chavales el esfuerzo por respetar los principios de la protección de datos no es completo”, afirmó Natalia Martos durante su ponencia ayer en el Colegio de Abogados de Madrid.

Análisis de los proveedores digitales

En el marco de la Jornada la Fundación Solventia también presentó el estudio, ‘Prácticas en materia de privacidad de los proveedores de Redes Sociales’. Dirigido por José Luis Piñar y realizado por Chiara Civitelli, abogada especializada en la propiedad intelectual, comercio electrónico y la protección de datos; el texto determina qué grado de protección de la privacidad tienen los menores usuarios de redes sociales.

Elaborado a partir de la información contenida directamente en las páginas web de las redes sociales, el estudio analiza la política de privacidad de 10 comunidades sociales de diversos países. Proveedores de servicios digitales “con una política de privacidad relativamente elaborada, una apariencia de seriedad y garantía”, tal y como explicó José Luis Piñar durante la presentación del estudio, “pero existen detalles como la dificultad de la cancelación de los datos, los textos de privacidad farragosos que no se leen por parte del usuario y se aceptan desconociéndolos o las complicaciones para configurar la privacidad”. Aspectos como éstos hacen que sea difícil garantizar completamente la privacidad en este tipo de plataformas.

Acuerdo de colaboración: Solventia – Anar

El punto y final de la Jornada lo puso la firma del convenio colaboración entre la Fundación Solventia y la Fundación Anar, dos entidades comprometidas en la promoción y defensa de la infancia. Durante el próximo año, periodo de vigencia de este acuerdo, Solventia y Anar compartirán recursos, programas y proyectos de investigación que velen por el desarrollo integral los y las menores. El ámbito de actuación de las actividades compartidas será España y algunos países de Latinoamérica, ámbito de actuación de las dos fundaciones. Con este convenio la Fundación Solventia da un paso más en la cooperación en red para sumar esfuerzos en la protección de la infancia y la juventud, uno de sus pilares fundacionales.