Tecnología, Medios y Telecomunicaciones (TMT)

Análisis del reglamento eiDAS2: nuevo marco de identidad digital europea

Beatriz Lora
Consultora Senior de Gestión de Identidades de KPMG en España
Claudia Álvarez
Consultora Senior de Technology Risk de KPMG en España
10 febrero, 2022
1 min

Ya en 2014 se reguló a nivel europeo la identidad digital, de la mano del Reglamento eiDAS, sin embargo, dicha regulación ha presentado ciertas limitaciones, principalmente en lo que al uso transfronterizo de medios de identificación electrónica se refiere. Siendo la Identidad digital Europea una de las prioridades en la Estrategia Digital de la Comisión Europea, se publicó la propuesta de Reglamento eiDAS2 3 de junio de 2021, como Marco para una Identidad Digital Europea, con el objetivo de garantizar el correcto funcionamiento del mercado interior y proporcionar un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza.

El alcance de este Reglamento está centrado en los sistemas de identificación electrónica notificados por los Estados miembros, los prestadores de servicios de confianza establecidos en la Unión, y las carteras de identidad digital europea, aunque la atención se centra bastante en este último término.

Pero ¿qué se entiende realmente por una cartera de identidad digital europea?

Se trata de un producto y un servicio que permite al usuario almacenar datos de identidad, credenciales y otros atributos vinculados a su persona, para utilizarla con fines de autenticación, ya sea online u offline, y también para crear firmas y sellos electrónicos cualificados. En definitiva, casi un equivalente digital a la cartera física en la que llevamos nuestro DNI, carnet de conducir, tarjetas bancarias, sanitarias, etc.

¿Cuál es su funcionamiento y qué otras novedades va a suponer el eiDAS2?

El nuevo reglamento eiDAS2, a diferencia de su predecesor, establece la obligatoriedad de los Estados Miembros en la expedición de una cartera digital europea. eiDAS2 propone el despliegue de una red, eiDAS, compuesta por nodos, eIDAS-Nodes, por cada uno de los Estados Miembros de la EU, los cuales, podrán ser utilizados tanto como Services Provider(SP) o Identity Provider (IdP) en los procesos de autenticación de todo tipo de servicios públicos o privados.

Cuando un proveedor de servicios (SP) detecte la petición de acceso de un usuario de otro Estado Miembro, emitirá una autentication request que será enrutada por el protocolo eiDAS al nodo del país que actuará como proveedor de identidad (IdP).

El nuevo reglamento eiDAS2, a diferencia de su predecesor, establece la obligatoriedad de los Estados Miembros en la expedición de una cartera digital europea

El uso del protocolo eiDAS2 ofrece una comunicación segura y trasfronteriza entre los nodos que compongan la red de eiDAS, permitiendo a los Estados Miembros ser libres en la elección de los protocolos de autenticación internos utilizados a nivel nacional, no suponiendo, por ende, ningún cambio en la infraestructura nacional actual.

  • Las carteras digitales deben garantizar el máximo nivel de seguridad para los datos personales utilizados con fines de autenticación, con independencia de si dichos datos se almacenan de forma local o utilizando soluciones en la nube, teniendo en cuenta los diferentes niveles de riesgo, cumpliendo siempre con el RGPD o normativa vigente.
  • Será expedido por cada uno de los Estados miembros, siguiendo unas directrices y estándares comunes, entre los que se encuentran requerimientos de ciberseguridad.
  • Los emisores de las carteras no podrán recopilar ninguna información sobre su uso, con la única excepción de aquella que sea necesaria para prestar el servicio de identificación.

Asimismo, este texto incluye con carácter novedoso, que cuando las carteras de identidad digital europea se vean afectadas por una violación de seguridad que pueda vulnerar su fiabilidad o la de otras carteras, el Estado miembro debe suspender la emisión de las carteras afectadas, al tiempo que se revocará su validez. Si esta vulneración o violación no se pudiese subsanar en el plazo de tres meses, la cartera deberá ser retirada. En cualquier caso, esta gestión debe realizarse sin perjuicio de las obligaciones de notificación existentes en regulaciones como el RGPD, en relación con las violaciones de seguridad de datos personales.

Cuando las carteras de identidad digital europea se vean afectadas por una violación de seguridad que pueda vulnerar su fiabilidad o la de otras carteras, el Estado miembro debe suspender la emisión de las carteras afectadas, al tiempo que se revocará su validez

El uso de la cartera de identidad digital europea, ¿en qué nos beneficia como ciudadanos?

  • Estandarización de una identidad digital contrastada para servicios públicos y privados.
  • Estará disponible de manera gratuita para toda persona que desee utilizarla, ciudadanos de la UE, residentes y/o empresas.
  • Los usuarios tendrán la posibilidad de poder identificarse con este instrumento en servicios tanto públicos como privados. Incluso las grandes plataformas en línea también deberán ofrecer esta posibilidad a aquellos que así lo deseen. Algunos ejemplos para los que se podría usar, tal y como manifiesta la propia Comisión Europea son la apertura de una cuenta bancaria, la solicitud de un préstamo o el registro en un hotel.
  • En línea con uno de los principales objetivos del RGPD, el uso de la cartera de identidad digital europea permitirá a los usuarios de la misma tener un mayor control sobre sus datos En este sentido, se dará la posibilidad a estos usuarios de elegir qué aspectos de su identidad, datos y certificados comparten con terceros, manteniéndose al corriente de todas las interacciones pudiendo conservar o acceder a un historial de las mismas.

¿Y en qué se podrán ver beneficiadas las empresas?

Tal y como sostiene la Comisión Europea, estas novedades legislativas supondrán un impulso a la innovación y a la digitalización de los procedimientos empresariales, buscando también la confianza en las transacciones transfronterizas. Por otro lado, los consumidores podrán continuar aumentando su confianza en los servicios digitales.

Por último, el uso de este tipo de identidades también ayudará a la lucha contra el fraude y las amenazas de ciberseguridad como el phishing.

Próximos pasos

El texto aún se encuentra en fase de consulta y primera lectura, por lo tanto, aún tendrá que pasar los trámites del procedimiento legislativo europeo, y no verá la luz por el momento.

En definitiva, y al hilo de lo que comentábamos en las primeras líneas de este artículo, la Comisión Europea continúa trabajando en su estrategia digital, buscando una verdadera transformación en este sentido, abriendo nuevas oportunidades para nuestras empresas e impulsando el desarrollo de tecnologías de confianza.

Sin embargo, también se está trabajando activamente en la búsqueda del equilibrio de lo anterior, con los derechos y libertades de los ciudadanos europeos, su confianza en los servicios digitales y la ética y protección en el uso de sus datos personales.

En KPMG continuamos preparándonos para todas estas novedades legislativas y tecnológicas adaptando y generando nuevas metodologías y documentos de trabajo, para poder ayudar a nuestros clientes con las nuevas obligaciones y oportunidades que va a ofrecer el cambio digital.

¿Quieres saber cómo adaptarte a la nueva normativa?
Te ayudamos

Artículos relacionados