“Identidad sin fronteras” fue el lema pronunciado por la Uni贸n Europea en referencia al reglamento eIDAS, que (reglamento) pretende establecer la confianza en l铆nea para facilitar el desarrollo econ贸mico y social. Intentemos ahora comprender por qu茅 es crucial tener en cuenta esta normativa para desarrollar nuevas normas de identidad digital.

En esta primera parte comprenderemos el papel de eIDAS en el mercado digital europeo, mientras que en la segunda veremos c贸mo la normativa se acerca necesariamente al mundo de la Self-Sovereign Identity y viceversa.

 

La historia de Eidas

Eidas es la culminaci贸n de muchas iniciativas individuales a nivel europeo. Por ejemplo, desde 1999, Italia contaba con el reglamento Bassanini, que introdujo la primera normativa relativa al teletrabajo y cuyas autoridades pod铆an certificar las actividades de trabajo a distancia. Con Eidas, el objetivo era crear un marco internacional para mejorar la validez e interoperabilidad de los servicios cross-border. Eidas fue concebido en 2014, pero no entr贸 en vigor hasta 2016. El impacto en la vida real es evidente: el documento de identidad electr贸nico o/y el spid, son operativos precisamente gracias a esta normativa europea.

 

Retomando su descripci贸n formal:

“El Reglamento eIDAS (electronic IDentification Authentication and Signature) -Reglamento de la UE n潞 910/2014 sobre la identidad digital- tiene como objetivo proporcionar una base reguladora a escala de la UE para los servicios de confianza y los servicios de identificaci贸n electr贸nica de los Estados miembros. El Reglamento eIDAS tiene por objeto reforzar la confianza en las transacciones en la Uni贸n Europea proporcionando una base normativa com煤n para las interacciones electr贸nicas seguras entre los ciudadanos, las empresas y las administraciones p煤blicas”.

 

El reglamento fue creado

“con el objetivo de garantizar el correcto funcionamiento del mercado interior al tiempo que se persigue un nivel adecuado de seguridad de los medios de identificaci贸n electr贸nica y de los servicios de confianza: establece las condiciones en las que los Estados miembros reconocer谩n los medios de identificaci贸n electr贸nica de las personas jur铆dicas cubiertas por un sistema de identificaci贸n electr贸nica notificado de otro Estado miembro, establece las normas sobre los servicios de confianza, en particular las transacciones electr贸nicas. Por 煤ltimo, establece un marco jur铆dico para la firma electr贸nica, los documentos electr贸nicos, los servicios de entrega electr贸nica certificada y los servicios de certificados de autenticaci贸n de sitios web”.

La idea es garantizar una especie de ciudadan铆a europea en el mundo de la web. Los objetivos son, pues, eliminar los obst谩culos al ejercicio de los derechos de los ciudadanos europeos, permitir a los ciudadanos utilizar su identificaci贸n electr贸nica para autentificarse en otro Estado miembro y crear una base com煤n para las interacciones econ贸micas seguras entre las empresas, mejorando la eficacia de los servicios electr贸nicos p煤blicos y privados.

 

Piedras angulares de Eidas

Los puntos principales del Reglamento Eidas son:

 

  1. Establecer las condiciones en las que los Estados miembros reconocer谩n los medios de identificaci贸n electr贸nica de las personas f铆sicas y jur铆dicas cubiertas por un sistema de identificaci贸n electr贸nica notificado de otro Estado miembro
  2. Establecer normas para los servicios de confianza, en particular para las transacciones electr贸nicas
  3. Establecer un marco jur铆dico para las firmas electr贸nicas, los sellos electr贸nicos, los sellos de tiempo electr贸nicos, los documentos electr贸nicos, los servicios de entrega electr贸nica certificada y los servicios de certificados de autenticaci贸n de sitios web.

El objetivo es, por tanto, crear un mercado com煤n de identidad digital que facilite a las empresas, los ciudadanos y la administraci贸n p煤blica la digitalizaci贸n de los procesos y la desmaterializaci贸n de los documentos y las pr谩cticas.

 

Siendo m谩s t茅cnicos, el reglamento eIDAS crea directrices para los siguientes fines

 

  • Describir los derechos y deberes de todos los proveedores de servicios fiduciarios, seg煤n sus caracter铆sticas聽
  • Proporcionar el pleno reconocimiento de las firmas digitales dentro del r茅gimen normativo
  • Identificar las normas t茅cnicas europeas para las firmas digitales
  • Facilitar la identificaci贸n, autenticaci贸n y autorizaci贸n cuando un usuario, empresa o administraci贸n p煤blica quiera operar en la infoesfera

A continuaci贸n se describe brevemente la normativa relativa a la funci贸n de los proveedores de servicios de confianza (TSP). Recordamos, sin embargo, que en el centro de la normativa est谩 siempre el concepto de identidad. La misma idea de la firma digital, conceptualmente, es un corolario de la identidad digital.

Proveedor de servicios de confianza (TSP)

El Reglamento eIDAS, tal y como est谩 dise帽ado, se basa en una estructura centralizada y, por lo tanto, necesita contar con terceros fiduciarios que puedan emitir servicios de confianza dentro del mercado digital. El papel del trust service provider (TSP) es precisamente ser el enlace entre la normativa, la identidad digital y el ciudadano o la empresa. Entre los tipos de prestadores de servicios de confianza, existe un subgrupo definido como Prestador de Servicios de Confianza Cualificado (QTSP), cuyos actores est谩n certificados por Organismos de Autoridad de Certificaci贸n, definidos como CAB. Un TSP es un QTSP s贸lo despu茅s de que un CAB haya realizado una auditor铆a.

 

La distinci贸n entre los roles dentro del mercado puede explicarse por la necesidad de tener diferentes niveles de fiabilidad hacia una identidad digital. Intentemos ser m谩s claros, la creaci贸n de una identidad digital, al menos en la actualidad, puede dividirse en tres niveles diferentes de fiabilidad: baja, significativa y alta. Pongamos un ejemplo: si tengo que comprar una entrada de cine en l铆nea, o si tengo que inscribirme en un gimnasio en l铆nea, o en cambio si tengo que hacer una transacci贸n financiera en l铆nea, el nivel de confianza entre el sujeto declarante y la identidad digital declarante tiene que certificarse de manera completamente diferente. Eso es todo. Un TSP o un QTSP se convierten en el servicio de confianza clave en algunas circunstancias cuando se quiere eliminar el uso indebido de una identidad.

 

Conclusi贸n:

Comprar una casa en Niza, sin moverse de Roma, es ahora posible gracias al reglamento eIDAS. Por lo tanto, hemos comprendido c贸mo el papel de la identidad digital entra tanto en la vida de los ciudadanos. Y, quiz谩s, a煤n m谩s en el mundo de las empresas privadas con grandes movimientos de mercanc铆as, grandes sistemas de importaci贸n y exportaci贸n que pueden moverse f谩cilmente gracias a sistemas de autentificaci贸n reconocidos en toda Europa.

En esta primera parte hemos intentado resumir los conceptos clave del reglamento eIDAS. En la segunda parte, le contaremos c贸mo interact煤a esta regulaci贸n con la self-sovereign identity