Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
En 2020 se acometió desde la Asociación ISACA, de la que formo parte, un estudio de riesgos de entornos RJT (Replicated Journal Technology).
Una de las autoras es Ainhoa Inza, que me explicó en aquella época que el análisis y revisión de incidentes conocidos en entornos Blockchain y conexos era una buena base sobre la que elaborar una lista de comprobación orientada a la auditoría de proyectos en los que se usa esa clase de tecnología.
Se trataría de no volver a caer en errores ya conocidos.
La identificación temprana de posibles riesgos permite a las organizaciones tomar medidas proactivas para proteger sus activos, datos y transacciones. Además, el control efectivo de los riesgos en procesos validados con Blockchain contribuye a fortalecer la confianza de los usuarios y a garantizar la adopción exitosa de esta innovadora tecnología en diversos ámbitos.
Es fundamental asegurar la protección de datos, prevenir delitos, cumplir con regulaciones como el GDPR (Reglamento General de Protección de Datos).
El documento presenta una serie de recomendaciones y mejores prácticas para la gestión de riesgos en procesos validados con Blockchain.
Algunas de estas recomendaciones son:
Asegurarse de que los desarrollos y despliegues de blockchain adoptados implementen eficazmente los controles propuestos.
Controlar las identidades a nivel empresarial, utilizando una PKI propia o de una Autoridad de Certificación, nunca embebida o generada por la propia aplicación de blockchain.
Verificar la seguridad de las aplicaciones de cartera y auditarlas para detectar problemas.
Segregar las tareas a la hora de controlar las claves, protegiéndolas con contraseña y almacenándolas en un sitio diferente al de su explotación.
Utilizar hardware certificado (por el CCN o por organismos de evaluación de conformidad especializados) para carteras y contextos de generación de claves.
Verificar los mecanismos de implementación de forks y cómo y por quién se pueden implementar.
Controlar el código fuente y verificar la seguridad del usado en la programación de Smart contracts.
Verificar las especificaciones funcionales usadas para la programación de Smart Contracts.
En los despliegues, probar en entorno de pruebas o preproducción con anterioridad para evitar interpretaciones incorrectas de directivas de programación o manejo de números muy grandes (el truncamiento en direcciones de cartera provoca que se puedan perder envíos de valor).
Además, el documento también destaca la importancia de establecer un marco de control de riesgos adecuado, que incluya la identificación temprana de posibles riesgos, la evaluación de su impacto y probabilidad, la implementación de controles efectivos y la monitorización continua de los riesgos identificados.
En resumen, las recomendaciones y mejores prácticas presentadas en este documento se centran en la necesidad de implementar controles efectivos para mitigar los riesgos asociados con la implementación de Blockchain, incluyendo la seguridad de las identidades, la protección de las claves, la verificación del código fuente y la implementación de controles adecuados para los mecanismos de forks.
El pasado 6 de julio de 2023 tuve el placer de participar en el evento Cybersecurity Afterwork de Ingram Micro, con un gran ambiente, casi festivo, que aglutinó a los principales distribuidores del sector de la Ciberseguridad y que permitió constatar que los servicios en la nube están siendo adoptados cada vez por más empresas, grandes y pequeñas, precisamente por la excelente especialización en ciberseguridad de los profesionales que está detrás de estos servicios Cloud.
Mi intervención, al principio de la tarde, se centró en describir el proceso legislativo del nuevo Reglamento EIDAS2 que recibió un gran empujón el pasado 29 de junio e 2023, y que probablemente se adoptará durante la presidencia española de la Unión Europea.
El proceso se acompaña de una licitación para desarrollar la Cartera IDUE (ya adjudicada a Scytáles AB junto con Netcompany-Intrasoft), la licitación par la Agencia HADEA de los Grandes Proyectos Piloto (LSP, que se ha traducido en la creación de 4 consorcios: DC4EU, EWC, NOBID y POTENTIAL), de una nueva financiación de la Agencia HADEA para el proyecto EBSI (European Blockchain Services Infrastructure) y del desarrollo de la «European Digital Identity Architecture and Reference Framework» (ARF) de la Cartera de Identidad Digital de la Unión Europea) que evolucionará los próximos meses conforme se realimenten entre sí los 4 LSP, los desarrollos de EBSI y las versones intermedias que libere el código fuente Scytáles AB.
Un mensaje para el sector de que van a llegar cambios legales que implicarán profundos cambios técnicos en relación con la Gestión de la Identidad, una de las áreas de la Ciberseguridad.
17:00 hrs:
Bienvenida y registro
17:30 hrs:
Charla de apertura por parte de Martín Trullas. Director de Advanced Solutions en Ingram Micro.
17:45 hrs:
Ponencia sobre “El reglamento EIDAS2 y la cartera de identidad digital” por parte de Julián Inza: experto en PKI, blockchain, administración electrónica, medios de pago y seguridad y en los sectores de administración de justicia. Presidente de EADTrust, European Agency of Digital Trust, prestador Cualificado de Servicios de Confianza Digital
18:15 hrs:
Mesa Redonda “Seguridad en la nube” moderada por Víctor Manuel Fernández, coordinador en DealerWorld. Participantes: Javier Sota, Distributor account manager Iberia en Acronis, Antonio Anchústegui, Channel Manager de Barracuda, Ángel Ortiz, Director ciberseguridad Cisco España, Paul Canales, Head of Channel Iberia, Italy & LATAM en Hornet, Carlos Manchado, Director de Ciberseguridad de Microsoft.
19:15 hrs:
Mesa Redonda “Identidades, endpoint y cloud, o el nuevo perímetro de seguridad” moderada por Marilés de Pedro, directora de publicaciones en TAI. Participantes: Ángel de la Encarnación, System Engineer at Aruba a Hewlett Packard Enterprise compay Juan Denia, Senior Partner Alliances Manager, Delinea Iberia, Calos Galdón, Channel Director Sophos Iberia, Sergio Martínez, Iberia Regional Manager en Sonicwall.
20:30 hrs
Networking & Cocktail.
22:30 hrs
DJ en vivo
00:30 hrs
Fin del evento
Programa
Es de agradecer la capacidad de convocatoria de Ingram Micro ya que la sala estaba completamente llena.
En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).
Formando parte del Observatorio se han definido ya varios laboratorios:
Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.
Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.
Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.
Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.
Un acuerdo logrado entre las 2 y las 3 de la madrugada para consensuar los aspectos más espinosos del futuro Reglamento. La noticia (publicada en la web de la unión europea alrededor de las 3 y media de la madrugada) matizaba «los representantes de la Presidencia del Consejo y del Parlamento Europeo han alcanzado un acuerdo político provisional sobre los elementos principales de un nuevo marco para una identidad digital europea«.
El Reglamento revisado impone el instrumento que servirá para gestionar identidad digital en Europa sobre la base de que garantice el acceso universal, de personas y empresas, a una identificación y una autenticación electrónicas seguras y fiables: una cartera digital personal posiblemente instalada en el teléfono móvil.
Cada vez son más las personas que utilizan su identidad y sus credenciales en sus relaciones diarias con entidades públicas y privadas; por lo tanto, es indispensable contar con una cartera europea de identidad digital. Así, de aquí al 2030 al menos el 80 % de los ciudadanos de la UE debería poder utilizar una solución de identidad digital para acceder a servicios públicos esenciales.Erik Slottner, ministro de Administración Pública de Suecia
La cartera europea de identidad digital
Uno de los principales objetivos estratégicos del Reglamento revisado consiste en proporcionar a los ciudadanos y a otros residentes, tal como se definen en el Derecho nacional, un medio de identidad digital europeo normalizado conforme al concepto de una cartera europea de identidad digital.
Al tratarse de un medio de identificación electrónica (eID) expedido con arreglo a sistemas nacionales, la cartera constituiría un medio de identidad por derecho propio. El texto del acuerdo provisional desarrolla aún más el concepto de la cartera y su interacción con los medios de identificación electrónicos nacionales.
Un alto nivel de confianza
El nivel de aseguramiento caracteriza el grado de confianza del medio de identificación electrónica, de modo que se ofrezcan garantías de que la persona que afirma poseer una identidad determinada es ciertamente la persona a la cual se ha atribuido dicha identidad. A este respecto, la cartera se debe emitir con un sistema de identificación electrónica que cumpla el nivel de aseguramiento«alto». El acuerdo provisional aclara asimismo que la emisión, la utilización para autenticación y la revocación de las carteras deben ser gratuitas para las personas físicas. La cartera también ofrecerá a las personas físicas la posibilidad de realizar firmas electrónicas de manera gratuita.
Ampliación de la lista de servicios de confianza
Además, para responder a la dinámica de los mercados y a la evolución tecnológica, el Reglamento revisado amplía la actual lista de servicios de confianza con tres nuevos servicios de confianza cualificados, incluyendo la prestación de servicios de libros registro electrónicos de transacciones y la gestión remota de dispositivos cualificados de creación de firmas y de sellos electrónicos.
Un enfoque armonizado de seguridad
El Reglamento revisado ofrece también un enfoque armonizado con respecto a la seguridad, tanto para los ciudadanos que utilicen su identidad digital europea como para los prestadores de servicios en línea, que podrán confiar en esa identidad digital y aceptarla con independencia de dónde se hayan expedido.
Las nuevas normas implican un cambio para las entidades gestoras de soluciones de identidad digital europea, al proporcionar una arquitectura técnica, un marco de referencia y unas normas comunes que se desarrollarán con los Estados miembros. Así, los usuarios podrán contar con un ecosistema mejorado de identidad electrónica y servicios de confianza reconocidos y aceptados en toda la UE.
Armonización con la legislación vigente en materia de ciberseguridad
El Reglamento revisado debe aprovechar los esquemas de certificación pertinentes y existentes del Reglamento sobre la Ciberseguridad, así como confiar en ellos y exigir su utilización, para certificar que las carteras cumplen los requisitos de ciberseguridad aplicables. Con objeto de armonizar en la medida de lo posible el Reglamento de Identificación Electrónica revisado con la legislación vigente sobre ciberseguridad, los Estados miembros designarán organismos públicos y privados acreditados para certificar la cartera, tal como se contempla en el Reglamento sobre la Ciberseguridad.
Testimonios electrónicos de atributos expedidos por organismos públicos
Se ha mantenido de la propuesta original de la Comisión la expedición de declaraciones electrónicas de atributos, como certificados médicos o cualificaciones profesionales, por prestadores cualificados . De este modo, el texto del acuerdo provisional garantiza un reconocimiento a escala europea de tales credenciales en formato electrónico y permite a los usuarios limitar la cesión de datos de identidad a lo estrictamente necesario para la prestación de un servicio.
Correspondencia entre registros
El marco revisado introduce la obligación de que los Estados miembros lleven a cabo correspondencias inequívocas de identidad para los servicios transfronterizos.
Siguientes etapas
Proseguirán los trabajos técnicos para completar el texto jurídico de conformidad con el acuerdo político. Una vez finalizado, el texto se remitirá a los representantes de los Estados miembros (Coreper) para su refrendo. Tras la formalización jurídico-lingüística, el Reglamento revisado deberá ser adoptado formalmente por el Parlamento y por el Consejo, antes de que pueda publicarse en el Diario Oficial de la UE y entrar en vigor.
Contexto
En junio de 2021, la Comisión propuso un marco de funcionamiento para una identidad digital europea que estaría a disposición de todos los ciudadanos, residentes y empresas de la UE, por medio de una cartera europea de identidad digital.
El nuevo marco propuesto modificará el Reglamento de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS), que sentó las bases para acceder de forma segura a los servicios y realizar transacciones en línea y transfronterizas en la UE.
Mediante esta propuesta se exige a los Estados miembros que expidan una cartera europea de identidad digital, en el marco de un sistema de identidad electrónica notificado (requisito anterior para los sistemas de identidad digital nacionales), con arreglo a normas técnicas comunes y tras una certificación obligatoria. A fin de establecer la arquitectura técnica necesaria, acelerar la aplicación del Reglamento revisado, impartir directrices a los Estados miembros y evitar la fragmentación de solucione de identidad, la propuesta iba acompañada de una Recomendación sobre la creación de un conjunto de instrumentos (Toolbox) de la Unión que ha definido las especificaciones técnicas de la cartera y que sigue en evolución.
Tras el madrugador anuncio, que muchos pensábamos que prácticamente dejaba aprobado el nuevo Reglamento listo para su publicación en el Diario Oficial vinieron algunas pertinentes aclaraciones de RomanaJerković después de las 16:00 horas:
Los eurodiputados y la Presidencia sueca del Consejo alcanzaron el jueves un acuerdo provisional sobre los elementos clave de la legislación, durante las negociaciones interinstitucionales.
La Cartera de Identidad Digital permitirá a los ciudadanos identificarse y autenticarse en línea sin tener que recurrir a los servicio de identificación de grandes portales, como ocurre hoy en día, una práctica que plantea problemas de confianza, seguridad y privacidad. También dará a los usuarios más control sobre sus datos personales y les permitirá decidir qué información personal ceden y a quién.
La ponente Romana Jerković (S&D, HR) celebró el progreso realizado en las negociaciones con el Consejo el jueves: «Tenemos un acuerdo político sobre los elementos clave de la propuesta. El Marco Europeo de Identidad Digital es una legislación que cambiará las reglas del juego e impulsará la digitalización del sector público y de la sociedad en su conjunto. Queda trabajo por hacer, pero estamos muy cerca de alcanzar un acuerdo definitivo sobre todo el paquete. Estoy muy satisfecha con el resultado del diálogo a tres bandas (trílogos), en el que todas las instituciones reafirmaron su compromiso político con la necesidad de garantizar unos niveles elevados de protección de datos, privacidad y ciberseguridad como condiciones previas para la confianza», añadió.
«En el fondo, el objetivo primordial de esta legislación es mejorar la vida cotidiana de los ciudadanos de la UE. Pretende facilitarles el acceso a los servicios del sector público y privado, no sólo en sus propios países, sino también durante sus viajes y estancias en otros Estados miembros de la UE. Las posibilidades son ilimitadas, garantizando que los ciudadanos puedan ejercer plenamente sus derechos dondequiera que vayan», afirmó.
Durante las negociaciones, los eurodiputados se aseguraron de que la Cartera Europea de Identidad Digital se convierta en una herramienta multiuso que también pueda permitir interacciones entre particulares, utilizar firmas electrónicas para firmar los documentos y generar seudónimos. Los eurodiputados también impulsaron medidas para reforzar la privacidad y la ciberseguridad, así como para exigir que las partes informadas que van a recibir datos de la Cartera se registren ante las autoridades nacionales antes de interactuar con la Cartera.
La certificación de la Cartera Europea de Identidad Digital conforme al Reglamento General de Protección de Datos (RGPD) sería voluntaria, aunque con una cláusula de revisión. A través del denominado cuadro de mandos de privacidad, los usuarios tendrán la posibilidad de solicitar a través de la Cartera que se eliminen datos que anteriormente cedieron haciendo más efectivo el ejercicio de los derechos previstos en la normativa RGPD.
El uso de la Cartera de la UE será siempre voluntario. Los eurodiputados también quieren garantizar que los ciudadanos que decidan no adoptarlo no reciban un trato diferente al de los que sí lo hagan. El sistema obliga a cada Estado miembro a notificar al menos una «Cartera» en el marco de un sistema nacional de identificación electrónica que sería interoperable en toda la UE.
El proyecto legislativo incluye disposiciones para solicitar, obtener, almacenar, combinar y utilizar de forma segura datos de identificación personal y certificados electrónicos, que pueden utilizarse para autenticarse en línea y fuera de línea y para acceder a servicios públicos y privados.
Próximos pasos
Habrá que seguir debatiendo con el Consejo para ultimar el expediente. A continuación, el Parlamento y el Consejo tendrán que aprobarlo este mismo año antes de que se convierta en ley.
Antecedentes
Un estudio del servicio de estudios del Parlamento Europeo destaca que, desde la pandemia, la prestación de servicios públicos y privados se ha ido digitalizando cada vez más. Al mismo tiempo, entidades como bancos, proveedores de servicios de comunicación electrónica y empresas de servicios públicos, algunas de las cuales están obligadas a recopilar atributos de identidad, están actuando como prestadores de identidad verificada.
Las soluciones de Cartera digital existentes suelen estar vinculadas a soluciones de pago y permiten a los usuarios almacenar y vincular datos en un único entorno orientado a su sencillez de uso en teléfonos móviles. Sin embargo, según la Comisión, esta comodidad se produce a costa de la pérdida de control sobre los datos personales, mientras que estas soluciones están desconectadas de una identidad física verificada, lo que hace más difícil mitigar las amenazas de fraude y ciberseguridad.
Conclusión
Tras el anuncio a mediados de junio de que entre los días 28 y 30 de junio de 2023 se completaría el acuerdo de los trílogos respecto al Reglamento EIDAS2, parecía que el texto final de Reglamento se adoptaría durante la presidencia Sueca de la Unión Europea. Pero todavía quedan aspectos pendientes, por lo que una estimación anterior de que adopción del Reglamento se completaría durante la Presidencia Española parece ya fuera de toda duda. La fecha probable podría ser septiembre u octubre de 2023.
Y a partir de ese momento se consideran los plazos para promulgar las normas de implementación de la Unión Europea que finalmente conduzcan a la disponibilidad de la Cartera IDUE (EUDI Wallet).
El 29 de junio de 2023 he tenido el placer de participar en la mesa de debate incluida en la formación de los Asesores de las Oficinas Acelera Pyme de las Cámaras de Comercio Claves para ayudar y asesorar a las PYMES en su transformación digital, en la que hemos intercambiado ideas Héctor Benítez, Julián Inza, Jordi Masías y Raúl Rubio.
La Mesa redonda «Las claves de la digitalización que viene» forma parte del MÓDULO 07 – CIERRE DEL PROGRAMA FORMATIVO de la Formación de Asesores de las Oficinas Acelera Pyme de las Cámaras de Comercio.
Previamente hubo una interesante ponencia de Paloma Llaneza sobre el contexto legislativo del Reglamento EIDAS2 que ha evolucionado desde la propuesta de junio de 2021 hasta el anuncio de relevantes acuerdos en los trílogos que se realizaron en la madrugada del mismo día 29 de junio de 2023.
La ponencia de Paloma describió también la licitación para el desarrollo del código fuente del modelo de referencia de la Cartera IDUE y la licitación, adjudicación e inicio de los 4 Grandes Proyectos Piloto. Otro aspecto relevante citado fue la publicación del ARF (Architecture and Reference Framework) de la Cartera IDUE (o EUDI Wallet).
En la formación se trataron 7 módulos:
MÓDULO 01: Introducción a la transformación digital: se analizó la identidad digital, con qué han de contar las empresas y la importancia de los certificados electrónicos.
MÓDULO 02: Regulación & Compliance. Se realizó una introducción al reglamento eIDAS y a la Ley 6/2020, los distintos niveles de firma electrónica y pautas para saber si una empresa cumple con la normativa.
MÓDULO 03: Digitalización de procesos de aprobación. Se describió en qué consiste un proceso de aprobación y cómo mejorar la productividad en la empresa, cómo crear un flujo de firmas electrónicas y distintos casos de éxito.
MÓDULO 04: Otras garantías de procesos. Se trataron aspectos de transformación digital de la empresas: Facturación electrónica, comunicaciones certificadas y casos reales de sellado de tiempo y sellos electrónicos y validación de firmas y sellos electrónicos.
MÓDULO 05: El autónomo. Los expertos explicaron qué es la identidad digital del autónomo y su importancia, los requisitos para que el autónomo se relaciones con las AAPP y explicaron ejemplos que representan lo que puede considerarse un autónomo digitalizado.
MÓDULO 06: PYMES. Se trataron los fraudes, estafas y fuga de información y como evitarlos. Se vieron también distintas herramientas de onboarding digital y casos de uso de relación con las AAPP (certificados electrónicos, custodia cifrada, etc.)
MÓDULO 07: Cierre del programa formativo. Se trató de evento comentado, con la mesa redonda “Las claves de la digitalización que viene» y la prevista regulación europea sobre la identidad digital (y la EDIW «European Digital Identity Wallet»).
La formación dio comienzo en el mes de abril de 2023, organizada por la Cámara de Comercio de España, junto con AC Camerfirma SA y dentro de su acuerdo con Red.es.
Otros datos del curso en el que se enmarca el evento
Título: «El blockchain para municipios. ¿cómo podemos implantarlo en nuestro ayuntamiento?»
Duración del curso: 20 horas
Fechas: 7, 8, 14 y 15 de junio
Horario: de 9h a 14h
Número máximo de participantes: 50
Modalidad: A distancia
La UE está acelerando el desarrollo y la adopción de tecnologías avanzadas para que los ciudadanos, las administraciones y las empresas puedan disfrutar de todo el potencial del mundo digital, impulsando las tecnologías de registro cronológico, entre las que se podrían encontrar las de tipo Blockchain.
Este curso incluye un primer módulo general sobre la agenda política de la Década Digital, con objetivos concretos para 2030, y cómo las RJT (Replicated Journal Technologies) influirán en la transformación digital de Europa y, a continuación, tres módulos que tratarán la identidad, la sostenibilidad y las finanzas.
Profesorado:
En cada sesión una primera parte de contenido teórico de tres horas explicada por Carmen Pastor Sempere, seguida de otras dos horas de experiencia práctica explicada por otros ponentes («Guest Speakers»).
María del Carmen Pastor Sempere es profesora de Derecho Mercantil de la Universidad de Alicante. Desde el curso 2017-2018 es la Directora del Grupo BAES (laboratorio de blockchain del Instituto de Economía Internacional de la Universidad de Alicante).
Otros ponentes:
María José Vañó Vañó, PDI (Personal Docente e Investigador)-Titular de la Universidad de valencia. UV Directora del Instituto Universitario de Economía Social, Cooperativismo y Emprendimiento (IUDESCOOP)
Julián Inza, Presidente de EADTrust (European Agency of Digital Trust). Director del Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE.
Session 1: Enrique Aznar, miembro investigador de BAES Blockchain Lab.
Session 2: Carlos Alarcón Jefe de Sección de Ciudades Inteligentes en la Diputación Valencia y Manuel Gil Parres, Gerente en Street Pinball Vending Machine
Session 3: Ramón Martínez, senior developer de BlockchainFUE coop. V y Joaquín Mas, Director de Enercoop.
Session 4: José Antonio Amador, Director Técnico de ACCV-ISTEC y Ramón Martínez, senior developer de BlockchainFUE coop. V.
Sesiones:
Sessión 1 – UNIDAD DIDÁCTICA 1. Blockchain como soporte digital ODS. Década digital europea: objetivos digitales para 2030. La UE promoverá su agenda digital centrada en el ser humano en la escena mundial y fomentará la alineación o convergencia con las normas y estándares de la UE. También garantizará la seguridad y la resiliencia de sus cadenas de suministro digitales y ofrecerá soluciones globales. La tecnología Blockchain debe ser sostenible y eficiente desde el punto de vista energético. Le mostraremos cómo los municipios y las provincias lograrán estos objetivos y cómo la tecnología blockchain se alinea con los ODS.
Sessión 2 – UNIDAD DIDÁCTICA 2. Economía local y desarrollo. La UE quiere ser líder en Blockchain (tecnología de cadena de bloques), y acoger importantes plataformas, aplicaciones y empresas. Esto implica un entorno local que proyecte e impulse hacia un mercado único digital interconectado, interoperable y seguro.
Sessión 3 – UNIDAD DIDÁCTICA 3. Sostenibilidad y trazabilidad. Comunidades energéticas. El uso de la tecnología Blockchain para liberar el potencial del Internet de las Cosas en toda Europa podría ser una de las mejores opciones para combatir el cambio climático y los retos medioambientales. La UE reconoce el potencial de blockchain y apoya el uso de la tecnología blockchain para promover el desarrollo económico sostenible, hacer frente al cambio climático y apoyar el Nuevo Pacto Verde Europeo. Comunidades energéticas.
Sessión 4 – UNIDAD DIDÁCTICA 4. La Identidad Digital de la UE estará disponible para los ciudadanos, los residentes y las empresas de la UE que deseen identificarse o confirmar determinada información personal. Puede utilizarse para acceder a servicios, tanto públicos como privados, en línea o fuera de línea, en toda la UE y permitirá realizar firmas electrónicas cualificadas. La cartera de identidad digital de la UE se está probando en cuatro proyectos a gran escala que se lanzaron el 1 de abril de 2023
Ayer asistí a una sesión muy interesante organizada por Signicat.
El intercambio de pareceres con Esther en relación con la Cartera IDUE fue más allá de lo que contó en su charla, ya que pudimos comentar más aspectos en la pausa final para el café.
Además aporta un punto de vista informado por su participación con Signicat en dos de los consorcios de Grandes Proyectos Piloto.
Signicat adquirió Electronic IDentification (ElectronicID) entidad que desarrolló las primeras soluciones españolas de videoidentificación para entornos bancarios y para Prestadores de Servicios de Certificación (EIDAS).
Los últimos meses han sido muy activos en lo que tiene que ver con el desarrollo de la Cartera IDUE de la que ya he hablado en este Blog, y la revisión del marco regulatorio para modificar el Reglamento EIDAS, que. de momento, se denomina EIDAS2.
Las normas actuales sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (es decir, el Reglamento eIDAS) que datan de 2014 tienen por objeto hacer que los sistemas nacionales de identificación electrónica sean interoperables en toda Europa para facilitar el acceso a los servicios en línea. En la Estrategia digital de la UE «Configurar el futuro digital de Europa», la Comisión anunció que iba a revisar el Reglamento eIDAS para mejorar su eficacia, ampliar su aplicación al sector privado y promoverlo. El artículo 49 del Reglamento EIDAS ya preveía esta revisión:
La Comisión revisará la aplicación del presente Reglamento e informará al Parlamento Europeo y al Consejo a más tardar el 1 de julio de 2020. La Comisión evaluará en particular si es apropiado modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluidos el artículo 6, la letra f) del artículo 7 y los artículos 34, 43, 44 y 45, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica.
El informe mencionado en el párrafo primero irá acompañado, en caso necesario, de propuestas legislativas.
Asimismo, la Comisión presentará un informe al Parlamento Europeo y al Consejo cada cuatro años tras el informe mencionado en el párrafo primero sobre la marcha hacia el logro de los objetivos del presente Reglamento.
El 3 de junio de 2021, la Comisión publicó su propuesta de emiendas al Reglamento EIDAS. Con la propuesta, la Comisión esperaba cumplir los objetivos de su brújula digital (Brújula Digital 2030: El enfoque de Europa para el Decenio Digital), que dice que para 2030 todos los servicios públicos clave estarán disponibles en línea, todos los ciudadanos tendrán acceso a sus historiales médicos digitales y el 80 % de los ciudadanos deberían utilizar una identificación digital.
Además, la Comisión espera que la seguridad y el control que ofrece el marco europeo actualizado de identidad digital ofrezcan a todos los medios para controlar quién tiene acceso a su ID digital y a qué datos exactamente. Ya no se impulsarían soluciones nacionales de identidad digital y se crearía un nuevo enfoque para prestar servicios de testimonios electrónicos de atributos válidos a nivel europeo.
En el Parlamento, el expediente ha sido asignado a la Comisión de Industria, Investigación y Energía (ITRE). La ponente es Romana Jerković (S&D, Croacia). Publicó su proyecto de informe el 31 de mayo de 2022, en el que proponía una serie de cambios en la estructura, la ciberseguridad y la privacidad de la cartera europeo de identidad digital. También propuso un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital.
Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 1 a 139,
Informe de 05.07.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 140 a 368,
Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 369 a 653.
La Comisión ITRE adoptó su posición el 9 de febrero de 2023, que fue confirmada en el Pleno del 16 de marzo de 2023 (418 votos a favor, 103 en contra y 24 abstenciones).
Los principales cambios propuestos en el informe son los siguientes:
Estructura de la cartera europea de identidad digital: el informe ampliaría el uso de la cartera, permitiendo a los ciudadanos no solo demostrar su identidad y compartir documentos, sino también verificar las identidades y documentos de las empresas y de otros ciudadanos. También hace hincapié en que la cartera debe seguir siendo voluntaria, gratuita para los particulares, así como para las empresas Y los usuarios deben poder realizar un seguimiento de todas las transacciones ejecutadas a través de la cartera. Los Estados miembros dispondrían de 18 meses (la Comisión propuso inicialmente 12 meses) tras la entrada en vigor del Reglamento eIDAS para emitir la cartera.
Privacidad y seguridad: tanto la ciberseguridad como la privacidad de la cartera se refuerzan, pidiendo explícitamente que el diseño de la cartera garantice la ciberseguridad y la privacidad por diseño.
«Principio de una sola vez»: los ciudadanos y las empresas no deberían tener que facilitar los mismos datos a las autoridades públicas más de una vez.
Identificación transfronteriza del usuario: en lugar de «identificación única» (como proponía la Comisión), el informe propone la expresión «identificación transfronteriza del usuario» y propone que los Estados miembros que tengan al menos un identificador único emitan identificadores únicos y persistentes solo para uso transfronterizo.
Gobernanza: se añade un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital. El informe propone crear un Consejo Marco Europeo de Identidad Digital (EDIFB), compuesto por las autoridades nacionales competentes y la Comisión.
Certificados cualificados para la autenticación de sitios web: el informe añade que no se impediría a los navegadores web tomar las medidas necesarias y proporcionadas para hacer frente a los riesgos justificados de violaciones de la seguridad, la privacidad del usuario y la pérdida de integridad de los certificados, lo que aligera la obligación de aceptar certificados QWAC europeos.
En el Consejo Europeo, el Grupo «Telecomunicaciones y Sociedad de la Información» comenzó a examinar el expediente en junio de 2021. El 6 de diciembre de 2022, el Consejo adoptó su Posición Común (orientación general) sobre el expediente (Council´s general approach). Los Estados miembros introdujeron algunas modificaciones en el funcionamiento de la cartera para garantizar que la persona que reclama una identidad sea realmente su titular. También se aseguró de que el texto estuviera en consonancia con otras leyes de la UE, como la legislación sobre ciberseguridad. Según el texto del Consejo Europeo, los Estados miembros tendrían 24 meses después de la entrada en vigor de los actos de ejecución para proporcionar la Cartera. Finalmente, el Consejo cree que la billetera no debería costar nada para las personas, pero las empresas pueden incurrir en costos para la autenticación con la billetera.
Los colegisladores iniciaron negociaciones tripartitas (trílogos) sobre el expediente el 21 de marzo de 2023.
Información externa:
Resumen del proceso, elaborado por Maria Niestadt, sobre los trabajos impulsados por la ponente Romana Jerković
Garrigues ha adquirido una participación del 51% en EAD Trust, compañía especializada en el desarrollo de productos y la prestación de servicios de confianza digital registrada como Prestador Cualificado de Servicios Electrónicos de Confianza en el Ministerio de Asuntos Económicos y Transformación Digital.
De este modo, el prestigioso despacho de abogados se posiciona en un mercado clave como es el de la confianza digital en el contexto del próximo reglamento eIDAS2 (Electronic IDentification, Authentication and Trust Services 2), una iniciativa de la Unión Europea para actualizar la normativa actual de servicios de confianza e identidad digital y conseguir un marco legal más adecuado a las necesidades de empresas y ciudadanos en una sociedad cada vez más conectada y digitalizada.
Con cerca de 15 años de historia, EAD Trust desarrolla servicios y productos digitales y proyectos a medida.
Su compromiso con la calidad y la innovación se refleja en su reconocimiento como Prestador Cualificado de Servicios Electrónicos de Confianza que opera en toda Europa, tras superar exigentes auditorías de cumplimiento, que se suman a sus certificaciones ISO 9001, ISO 27001, ISO 20000-1 y ENS de nivel medio.
La compañía emite certificados cualificados de persona física y jurídica, sellos de tiempo cualificados y certificados cualificados de sitio web, además de dar soporte a sellos y firmas electrónicas cualificadas en la nube y prestar servicios de contratación online y de interposición en las comunicaciones.
La labor de los proveedores de servicios de confianza como EAD Trust cobrará mayor relevancia con la próxima entrada en vigor del nuevo reglamento europeo –previsiblemente, este año–, que redefinirá el mercado. De hecho, este cambio regulatorio supondrá un desarrollo clave de la cartera europea de identidad digital IDUE (EUID Wallet), en la que EAD Trust está trabajando activamente.
La entrada de Garrigues en su capital supone un reenfoque estratégico para EAD Trust, que se reflejará en los próximos meses en el lanzamiento de nuevos productos y servicios para fortalecer su posicionamiento en el mercado de la confianza digital tanto en España como en el resto de los países en los que está presente el despacho.
La amplia experiencia en economía digital de Garrigues y su visión regulatoria desde todas las perspectivas del derecho de los negocios constituyen una garantía de seguridad jurídica para los nuevos productos y servicios.
Fernando Vives, presidente ejecutivo de Garrigues, destaca que “la economía digital experimenta un crecimiento sin precedentes, lo que conlleva la necesidad de asegurar la seguridad jurídica en cada transacción digital. La inversión en EAD Trust constituye un paso muy relevante en la estrategia del despacho para desarrollar y habilitar infraestructuras digitales legales en los próximos años. Confiamos en que, de la mano de EAD Trust, seremos capaces de brindar soluciones innovadoras y seguras a nuestros clientes, fortaleciendo así la confianza en las transacciones digitales”.
Julián Inza, presidente de EAD Trust, explica que “nuestra misión es impulsar la sociedad del futuro con ideas, productos y servicios capaces de minimizar aquellas transacciones que mantienen el uso de papel por si fuera necesario su valor probatorio, dado que ya es posible generar, custodiar y presentar evidencias digitales de cualquier actividad o relación con las que dar respuesta técnica a todas las necesidades jurídicas. Estamos en un mundo que necesita pasar de un paradigma físico a otro digital y es preciso garantizar la aplicabilidad de las herramientas de seguridad jurídica en ambos. Con el apoyo de Garrigues, estamos listos para pasar al siguiente nivel”.
Algunos puntos de interés:
Registrada como Prestador Cualificado de Servicios Electrónicos de Confianza por el Ministerio de Asuntos Económicos y Transformación Digital, EAD Trust es una compañía especializada en el desarrollo de productos digitales y proyectos a medida, con énfasis en su validez legal
Como resultado de esta alianza, en los próximos meses tendrá lugar el lanzamiento de nuevos productos y servicios relacionados con la confianza digital en el contexto del próximo reglamento europeo sobre identidad digital, eIDAS2
Formar parte del Grupo Garrigues representa un enorme potencial para difundir las herramientas que permiten la Transformación DIgital de la Sociedad, sin merma del valor probatorio
He comentado en algunos círculos el potencial del uso de la herramienta Innovoto de voto telemático para facilitar el voto sindical.
Sin embargo, al actualizar las referencias legales mencionadas en la presentación de la herramienta de voto electrónico, he visto que la reciente sentencia de la Audiencia Nacional de 12 de diciembre, sentencia 165/2022 concluye que la legislación en materia de elecciones a representantes de personal de los trabajadores por cuenta ajena no admite la posibilidad de que los empleados emitan su voto de forma telemática.
Al leer la sentencia se concluye que su argumento principal se basa en la defectuosa redacción actual del artículo 75 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
La sentencia indica que si el legislador hubiera querido modificar el texto del citado artículo, lo hubiera hecho en el RDL 2/2015, dado que en el 2015 ya se conocían las posibilidades del voto electrónico o telemático, pero omite que la norma solo contempla la redacción vigente en ese momento, posiblemente dispersa en diferentes normas de modificación y que se recogen en un único texto para unificar una versión de texto refundido.
Esta interpretación literal de la Audiencia Nacional hubiera sido distinta si el artículo 75 tuviera, por ejemplo, la siguiente redacción:
Artículo 75. Votación para delegados y comités de empresa.
1. El acto de la votación se entenderá efectuadoefectuará en el centro o lugar de trabajo y podrá realizarse, si es de forma telemática o por correo, con antelacióna la fecha señalada para la participación presencial. La participación presencial tendrá lugar durante la jornada laboral, en al menos una de las dependencias de la empresa, de existir varias. teniéndose en cuenta las normas que regulen el voto por correo.
El empresario facilitará los medios precisos para el normal desarrollo de la votación presencial, telemática o por correo y de todo el proceso electoral.
2. El voto será libre, secreto, personal y directo, y ninguna de las opciones de voto deberá destacarse o minimizarse frente a las otras en ningún aspecto de su imagendepositándose las papeletas, que en tamaño, color, impresión y calidad del papel serán de iguales características, en urnas cerradas.
3. Inmediatamente después de celebrada la votación, se presentará una certificación del resultado del voto telemático, si lo hubiera, y seguidamente la mesa electoral procederá públicamente al recuento de votos mediante la lectura por el presidente, en voz alta, de las papeletas, tanto de las recogidas en la votación presencial, como las recibidas por correo postal.
4. Del resultado del escrutinio se levantará acta electrónica según modelo normalizado en la que se incluirán las incidencias y protestas habidas en su caso. Una vez redactada el acta será firmada mediante firma electrónica cualificada por los componentes de la mesa, los interventores y el representante del empresario, si lo hubiere. Acto seguido, las mesas electorales de una misma empresa o centro, en reunión conjunta, extenderán el acta electrónica firmada mediante firma electrónica cualificada del resultado global de la votación.
5. El presidente de la mesa remitirá copias del acta electrónica de escrutinio al empresario y a los interventores de las candidaturas, así como a los representantes electos.
El resultado de la votación se publicará en los tablones de anuncios si existieran y en la intranet de la empresa, si existiera.
6. El original del acta electrónica, junto con la certificación del resultado del voto telemático, las papeletas de votos nulos o impugnados por los interventores y el acta de constitución de la mesa, serán presentadas en el plazo de tres días a la oficina pública dependiente de la autoridad laboral por el presidente de la mesa, quien podrá delegar por escrito en algún miembro de la mesa o remitirlo de forma electrónica. La oficina pública dependiente de la autoridad laboral procederá en el inmediato día hábil a la publicación del acta en los tablones de anuncios si existieran o en la sede electrónica, si existiera de una copia del acta, entregando copia remitiendola de forma electrónica a los sindicatos que así se lo soliciten y dará traslado a la empresa de la presentación en dicha oficina pública del acta correspondiente al proceso electoral que ha tenido lugar en aquella, con indicación de la fecha en que finaliza el plazo para impugnarla y mantendrá el depósito de la certificación del resultado del voto telemáticoy de las papeletas hasta cumplirse los plazos de impugnación. La oficina pública dependiente de la autoridad laboral, transcurridos los diez días hábiles desde la publicación, procederá o no al registro de las actas electorales.
7. Corresponde a la oficina pública dependiente de la autoridad laboral el registro de las actas, y su remisión por vía electrónicaasí como la expedición de copias auténticas de las mismas y, a requerimiento del sindicato interesado, de las certificaciones acreditativas de su capacidad representativa a los efectos de los artículos 6 y 7 de la Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical. Dichas certificaciones consignarán si el sindicato tiene o no la condición de más representativo o representativo, salvo que el ejercicio de las funciones o facultades correspondientes requiera la precisión de la concreta representatividad ostentada. Asimismo, y a los efectos que procedan, la oficina pública dependiente de la autoridad laboral podrá extender certificaciones de los resultados electorales a las organizaciones sindicales que las soliciten.
La denegación del registro de un acta por la oficina pública dependiente de la autoridad laboral solo podrá hacerse cuando se trate de actas que no vayan extendidas en el modelo oficial normalizado, falta de comunicación de la promoción electoral a la oficina pública, falta de la firma electrónica con firma cualificada del presidente de la mesa electoral u omisión o ilegibilidad en las actas de alguno de los datos que impida el cómputo electoral.
En estos supuestos, la oficina pública dependiente de la autoridad laboral requerirá, dentro del siguiente día hábil, al presidente de la mesa electoral para que en el plazo de diez días hábiles proceda a la subsanación correspondiente. Dicho requerimiento será comunicado a los sindicatos que hayan obtenido representación y al resto de las candidaturas. Una vez efectuada la subsanación, esta oficina pública procederá al registro del acta electoral correspondiente. Transcurrido dicho plazo sin que se haya efectuado la subsanación o no realizada esta en forma, la oficina pública dependiente de la autoridad laboral procederá, en el plazo de diez días hábiles, a denegar el registro, comunicándolo a los sindicatos que hayan obtenido representación y al presidente de la mesa. En el caso de que la denegación del registro se deba a la ausencia de comunicación de la promoción electoral a la oficina pública dependiente de la autoridad laboral no cabrá requerimiento de subsanación, por lo que, comprobada la falta por dicha oficina pública, esta procederá sin más trámite a la denegación del registro, comunicándolo al presidente de la mesa electoral, a los sindicatos que hayan obtenido representación y al resto de las candidaturas.
La resolución denegatoria del registro podrá ser impugnada ante el orden jurisdiccional social.
Los representantes de los trabajadores podrán aprobar por mayoría simple normas específicas que faciliten la realización del voto electrónico o telemático junto con el realizado de forma presencial, siempre que se garantice que el voto es libre, secreto, personal y directo. Para los sistemas de identificación a distancia de los electores podrán utilizarse diversas técnicas que faciliten la participación de los trabajadores en los procesos electorales y en particular la Cartera IDUE a la que hace referencia el Reglamento Europeo de Identidad DIgital tras la actualización efectuada por el Reglamento (UE) 2024/1183 de 11 de abril.
En el texto propuesto he dejado tachado el texto que eliminaría y en negrita el texto que añadiría.
Hasta la citada sentencia de la Audiencia Nacional, casi todos los precedentes jurisprudenciales (es arriesgado decir que «todos») eran favorables a entender que el voto electrónico en el ámbito sindical era posible con la interpretación aportada como contexto por toda la normativa que en los años pasados se ha ido incorporando al ordenamiento jurídico.
Admito sugerencias de mejora, que podéis remitir al correo electrónico julian (arroba) inza (punto) com indicando en el asunto «voto electrónico».
Todo es electrónico 