“Cada vez que una aplicación o un sitio web nos pide que creemos una nueva identidad digital o que iniciemos sesión fácilmente a través de una gran plataforma, no tenemos idea de lo que sucede con nuestros datos en realidad”. Fueron las palabras que pronunció la presidenta de la Comisión Europea, Úrsula von der Leyen en su discurso sobre el Estado de la Unión de 2021, y con las que se empezó a tomar consciencia de la problemática en torno a la privacidad de nuestros datos.
Fue también ese día cuando se anunció que la Comisión Europea propondría una identidad electrónica europea segura. Se trata del Reglamento (UE) 1183/2024; “eIDAS2” (construido sobre el eIDAS de 2014), que ya es una realidad desde mayo del año pasado y cuyo objetivo común es establecer una identidad digital fiable, voluntaria y controlada por los ciudadanos en toda la Unión Europea.
Y es que, si identificamos los pilares que están desarrollando los nuevos mercados sobre eIDAS2, uno de ellos sin duda alguna es Privacidad y Seguridad de nuestros datos.
La descentralización de la identidad, llevando ésta y todos sus atributos a las carteras digitales de los ciudadanos, provoca cambios relevantes en el tratamiento de los datos personales. El nuevo Reglamento eIDAS2 y sus reglamentos de ejecución (Implementing Acts), tanto los ya publicados, como los pendientes, están alineados con el Reglamento General del Protección de Datos (en adelante, RGPD), con el objetivo de garantizar la privacidad y el poder de disposición de los interesados sobre sus propios datos.
eIDAS2 consideró desde sus inicios su alineamiento con el RGPD, velando por que los principios y requisitos fijados por este se garanticen en el nuevo ámbito de aplicación de los servicios de confianza en su conjunto y la identificación electrónica en particular. Aspectos como minimización de datos, limitación de la finalidad, transparencia o posibilidad de revocación de consentimiento, incluyendo la posibilidad de que los interesados pongan en conocimiento de las autoridades solicitudes “sospechosas” o “ilícitas” y reporte de excesos en la petición de datos de los interesados, están presentes tanto en considerados como articulado de eIDAS2.
Tanto privacidad como seguridad son esenciales para que el Ecosistema EUDI funcione. ¿Cuáles serían las claves?
Descentralizar identidades ayuda a gobernarlas dando el poder de autogestión a las personas. eIDAS2 y el RGPD van más allá de normativas europeas, son los pilares de la nueva arquitectura digital europea que buscan consolidar la confianza digital.
La Agencia Española de Protección de Datos (AEPD) en una nota de principios de 2025 muestra la importancia con el mantenimiento de garantías para los ciudadanos, exigibles a la cartera europea de identidad digital y su uso.
Si las nuevas wallets units y las relying parties son importantes en el funcionamiento del Ecosistema EUDI, la gestión que se haga de los datos personales también lo es. El papel de estas partes interesadas es tan relevante en la operativa que el propio eIDAS2 les exige que hagan evaluaciones de impacto de protección de datos (EIPD) y consulten con la AEPD si el tratamiento implica un alto riesgo para los derechos y libertades de los interesados.
Lo más relevante del nuevo eIDAS2 en relación con la privacidad es la propia filosofía del gobierno de los individuos y su poder de disposición. En la nota informativa de la AEPD se destaca expresamente el contenido de los artículos 5a.4 y 5a.5: “El Reglamento exige que la cartera permita el control total de los usuarios de sus datos, la divulgación selectiva de datos, el uso de seudónimos, el uso de políticas integradas y el registro de todas las transacciones.”
Enlazando la privacidad con el Ecosistema, los proveedores de carteras digitales (wallet providers) deben proveer estas nuevas carteras europeas con una lógica que permita que el ciudadano tenga el control completo de sus datos personales[1], donde es de directa aplicación el principio de protección de datos por diseño y por defecto, para garantizar el registro del consentimiento, que el usuario pueda realizar un seguimiento de todas las transacciones, la trazabilidad de las operaciones, revocaciones de permisos e intercambios de información.
Así el Architecture and Reference Framework (ARF) es clave para desarrollar e implementar la cartera digital. Establece especificaciones técnicas y buenas prácticas que los Estados miembros deben seguir para asegurar la interoperabilidad y la seguridad de la identidad digital.
En las sucesivas versiones del ARF se irán actualizando las operativas en relación con los transaction logs, desde las wallet unit attestation (WUA) y las reying party registration hasta los hitos que deben considerarse en los desarrollos: zero knowledge proofs (ZKP), hasta el detalle de los logs que debe mantener cada wallet unit o la lógica de interacción wallet-to-wallet o la data portability.
La nueva filosofía se centra en compartir datos mínimos (cumpliendo con otro principio del RGPD, el de minimización), partiendo de qué presento y quién soy como ciudadano, enseñando datos mínimos necesarios para que me identifiquen y me dejen acceder a servicios en línea. Así sólo comparto (principio de limitación) atributos personales o, en su caso, relacionados con solvencia o de otra naturaleza cuando sean estrictamente necesarios para mi expediente de cliente en la empresa que me provea de esos servicios en línea y siempre bajo la premisa de minimización de datos.
Esto debe estar siempre alineado con la finalidad del tratamiento de datos que nos piden, en coherencia con el propósito y el objetivo y que, en su caso, compartimos. La finalidad debe ser clara, bien definida, sólo para una naturaleza de servicio y con plena transparencia en el uso de la información que nos solicitan.
El artículo 32 del RGPD establece que responsables y encargados del tratamiento deben aplicar medidas técnicas adecuadas para garantizar un nivel de seguridad acorde al riesgo. eIDAS2 adopta este principio al exigir autenticación y transmisión segura de atributos, fortaleciendo la protección contra accesos no autorizados.
La cartera digital europea debe permitir a los ciudadanos almacenar y compartir de manera sencilla y ágil los atributos personales a través de consentimientos explícitos y verificables con control y trazabilidad de los ciudadanos. Debemos disponer de consentimientos granulares, trazables, autogestionados y sin ambigüedad. La cartera digital deberá permitirnos también firmar actos de voluntad sobre documentos y procesos al tener en ella almacenados certificados electrónicos de firma electrónica o de sello electrónico, en el caso de wallet de organización.
Actualmente los trabajos que se están haciendo en los grupos de estandarización sobre la operativa de consentimientos utilizan normas[2] como guías operativas para la gestión de todos los atributos de identidad que permitan crear unos estándares para la estructura y uso de la información asegurando el cumplimiento del RGPD y una interoperabilidad alta.
Aquí, la filosofía operacional de eIDAS2 y RGPD está en que el ciudadano puede revocar el consentimiento del uso de sus datos en cualquier momento, dado que tendrá en su cartera digital toda la trazabilidad y control de a quién y cuando ha dado los consentimientos de manera explícita.
Una de las grandes ventajas es que, gracias a la nueva normativa, la información de los datos estará integrada directamente en los flujos de consentimiento. Esto implica que desde el primer momento en que se pide, el ciudadano sabrá para qué se usarán sus datos, algo que los artículos 13 y 14 del RGPD ya exigen. Ahora con la cartera digital, esa transparencia será más fácil de garantizar en todos los países miembros.
En los impactos de eIDAS2 en el RGPD, uno de los más relevante es el de los derechos de los ciudadanos sobre sus datos personales, que amplían los actualmente establecidos.
Gracias a la interoperabilidad de la identidad digital, podremos mover nuestros datos personales de un servicio a otro sin fricciones ni obstáculos. Si te registras en un nuevo proveedor de servicios o aplicación, podrás llevar contigo la información ya validada desde otro lugar, sin tener que volver a rellenar formularios ni entregar datos sensibles. Este derecho cobra un nuevo sentido con la cartera digital europea: no es solo llevar tus datos, es llevarlos validados, protegidos y bajo tu control, como si llevaras tu documentación oficial en el bolsillo, pero en versión digital.
El derecho de supresión, en el nuevo contexto de eIDAS2, será mucho más accesible y efectivo, ya que los ciudadanos podrán revocar permisos y eliminar datos directamente desde su cartera digital, con trazabilidad completa y control en tiempo real. Esto permitirá evitar que la información personal siga circulando innecesariamente por servicios o plataformas, fortaleciendo la privacidad y reduciendo riesgos como la suplantación de identidad.
El derecho de limitación del tratamiento nos permite “congelar” el uso de nuestros datos personales mientras se resuelve alguna situación concreta que nos afecte. En este caso no se borran, tan solo se pide que no se usen salvo para alguna defensa de reclamaciones.
Con carácter general se potencian los derechos a ser informados de manera clara, accesible y completa sobre quién recoge mis datos, para qué finalidad, durante cuánto tiempo o a quién se comunican. Y no sólo si los damos nosotros, también si se obtienen de terceros. Podremos retirar los consentimientos en cualquier momento, así como reclamar ante autoridad de control.
Europa ha decidido construir un modelo de referencia global de identidad digital más seguro, más usable, más eficiente y de mejor gobierno, liderando de esta forma el despliegue de la identidad que la sociedad digital necesita. Esperemos que entre todos consigamos que esto ocurra y que se reduzca el riesgo de suplantación de identidad en redes y servicios en línea.
Deja un comentario