“Identidad sin fronteras” fue el lema pronunciado por la Unión Europea en referencia al reglamento eIDAS, que (reglamento) pretende establecer la confianza en línea para facilitar el desarrollo económico y social. Intentemos ahora comprender por qué es crucial tener en cuenta esta normativa para desarrollar nuevas normas de identidad digital.
En esta primera parte comprenderemos el papel de eIDAS en el mercado digital europeo, mientras que en la segunda veremos cómo la normativa se acerca necesariamente al mundo de la Self-Sovereign Identity y viceversa.
La historia de Eidas
Eidas es la culminación de muchas iniciativas individuales a nivel europeo. Por ejemplo, desde 1999, Italia contaba con el reglamento Bassanini, que introdujo la primera normativa relativa al teletrabajo y cuyas autoridades podían certificar las actividades de trabajo a distancia. Con Eidas, el objetivo era crear un marco internacional para mejorar la validez e interoperabilidad de los servicios cross-border. Eidas fue concebido en 2014, pero no entró en vigor hasta 2016. El impacto en la vida real es evidente: el documento de identidad electrónico o/y el spid, son operativos precisamente gracias a esta normativa europea.
Retomando su descripción formal:
“El Reglamento eIDAS (electronic IDentification Authentication and Signature) -Reglamento de la UE nº 910/2014 sobre la identidad digital- tiene como objetivo proporcionar una base reguladora a escala de la UE para los servicios de confianza y los servicios de identificación electrónica de los Estados miembros. El Reglamento eIDAS tiene por objeto reforzar la confianza en las transacciones en la Unión Europea proporcionando una base normativa común para las interacciones electrónicas seguras entre los ciudadanos, las empresas y las administraciones públicas”.
El reglamento fue creado
“con el objetivo de garantizar el correcto funcionamiento del mercado interior al tiempo que se persigue un nivel adecuado de seguridad de los medios de identificación electrónica y de los servicios de confianza: establece las condiciones en las que los Estados miembros reconocerán los medios de identificación electrónica de las personas jurídicas cubiertas por un sistema de identificación electrónica notificado de otro Estado miembro, establece las normas sobre los servicios de confianza, en particular las transacciones electrónicas. Por último, establece un marco jurídico para la firma electrónica, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados de autenticación de sitios web”.
La idea es garantizar una especie de ciudadanía europea en el mundo de la web. Los objetivos son, pues, eliminar los obstáculos al ejercicio de los derechos de los ciudadanos europeos, permitir a los ciudadanos utilizar su identificación electrónica para autentificarse en otro Estado miembro y crear una base común para las interacciones económicas seguras entre las empresas, mejorando la eficacia de los servicios electrónicos públicos y privados.
Piedras angulares de Eidas
Los puntos principales del Reglamento Eidas son:
- Establecer las condiciones en las que los Estados miembros reconocerán los medios de identificación electrónica de las personas físicas y jurídicas cubiertas por un sistema de identificación electrónica notificado de otro Estado miembro
- Establecer normas para los servicios de confianza, en particular para las transacciones electrónicas
- Establecer un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados de autenticación de sitios web.
El objetivo es, por tanto, crear un mercado común de identidad digital que facilite a las empresas, los ciudadanos y la administración pública la digitalización de los procesos y la desmaterialización de los documentos y las prácticas.
Siendo más técnicos, el reglamento eIDAS crea directrices para los siguientes fines
- Describir los derechos y deberes de todos los proveedores de servicios fiduciarios, según sus características
- Proporcionar el pleno reconocimiento de las firmas digitales dentro del régimen normativo
- Identificar las normas técnicas europeas para las firmas digitales
- Facilitar la identificación, autenticación y autorización cuando un usuario, empresa o administración pública quiera operar en la infoesfera
A continuación se describe brevemente la normativa relativa a la función de los proveedores de servicios de confianza (TSP). Recordamos, sin embargo, que en el centro de la normativa está siempre el concepto de identidad. La misma idea de la firma digital, conceptualmente, es un corolario de la identidad digital.
Proveedor de servicios de confianza (TSP)
El Reglamento eIDAS, tal y como está diseñado, se basa en una estructura centralizada y, por lo tanto, necesita contar con terceros fiduciarios que puedan emitir servicios de confianza dentro del mercado digital. El papel del trust service provider (TSP) es precisamente ser el enlace entre la normativa, la identidad digital y el ciudadano o la empresa. Entre los tipos de prestadores de servicios de confianza, existe un subgrupo definido como Prestador de Servicios de Confianza Cualificado (QTSP), cuyos actores están certificados por Organismos de Autoridad de Certificación, definidos como CAB. Un TSP es un QTSP sólo después de que un CAB haya realizado una auditoría.
La distinción entre los roles dentro del mercado puede explicarse por la necesidad de tener diferentes niveles de fiabilidad hacia una identidad digital. Intentemos ser más claros, la creación de una identidad digital, al menos en la actualidad, puede dividirse en tres niveles diferentes de fiabilidad: baja, significativa y alta. Pongamos un ejemplo: si tengo que comprar una entrada de cine en línea, o si tengo que inscribirme en un gimnasio en línea, o en cambio si tengo que hacer una transacción financiera en línea, el nivel de confianza entre el sujeto declarante y la identidad digital declarante tiene que certificarse de manera completamente diferente. Eso es todo. Un TSP o un QTSP se convierten en el servicio de confianza clave en algunas circunstancias cuando se quiere eliminar el uso indebido de una identidad.
Conclusión:
Comprar una casa en Niza, sin moverse de Roma, es ahora posible gracias al reglamento eIDAS. Por lo tanto, hemos comprendido cómo el papel de la identidad digital entra tanto en la vida de los ciudadanos. Y, quizás, aún más en el mundo de las empresas privadas con grandes movimientos de mercancías, grandes sistemas de importación y exportación que pueden moverse fácilmente gracias a sistemas de autentificación reconocidos en toda Europa.
En esta primera parte hemos intentado resumir los conceptos clave del reglamento eIDAS. En la segunda parte, le contaremos cómo interactúa esta regulación con la self-sovereign identity