El Reglamento eIDAS ha entrado en vigor el pasado 20 de mayo de 2024. Este Reglamento surge con la idea de crear un marco de identidad digital que facilite las transacciones electrónicas entre ciudadanos, administraciones públicas y empresas europeas. Su objetivo principal es promover una identidad digital segura, interoperable y reconocida en todos los Estados miembros, facilitando las transacciones electrónicas seguras y confiables en toda la Unión Europea.
En una sociedad cada vez más digitalizada, la necesidad de establecer mecanismos seguros y fiables para la identificación y autenticación on-line es crucial. En este contexto, la UE ha desarrollado una serie de normativas –eIDAS1 y eIDAS2 – para fomentar la confianza en las transacciones electrónicas entre los Estados miembros.
Antes de adentrarnos en el estudio de eIDAS2, conviene resumir las principales características de su predecesor: eIDAS, cuya entrada en vigor fue el 23 de julio de 2014. Este Reglamento comporta una pieza clave en este marco legislativo, puesto que su objetivo es establecer un marco legal para la identificación electrónica y los servicios de confianza en la UE. Asimismo, garantiza que las identidades electrónicas y los servicios de confianza emitidos en un Estado miembro sean reconocidos y aceptados en el resto de Estados. Todo ello, con el fin de facilitar el comercio transfronterizo y simplificar las comunicaciones electrónicas entre empresas, ciudadanos y administraciones públicas.
Si bien este Reglamento sentó en un principio, las bases para acceder de forma segura a los servicios públicos y realizar transacciones on-line y transfronterizas en la UE, la Comisión Europea propuso en junio de 2021 modificarlo con el fin de mejorar y actualizar sus objetivos iniciales. Tras varios años de propuestas y debates, el Reglamento eIDAS2 ha sido finalmente publicado, trayendo consigo las siguientes novedades:
1. Identidad Digital Europea
Una de las innovaciones más destacadas de eIDAS2 es la creación de la Cartera de Identidad Digital Europea, definida en su artículo 1.3.i) como:
«un producto y servicio que permite al usuario almacenar datos de identidad, credenciales y atributos vinculados a su identidad, con el fin de proporcionarlos a las partes usuarias a petición de estas y de utilizarlos con fines de autenticación, en línea y fuera de línea, para un servicio de conformidad con lo dispuesto en el artículo 6 bis, así como para crear firmas y sellos electrónicos cualificados»
Esta herramienta permitirá a los ciudadanos de la UE almacenar y gestionar sus identidades electrónicas, así como otros atributos personales (permisos de conducir, cuentas bancarias o títulos universitarios), de manera segura en un único lugar. La Cartera será voluntaria y deberá ser aceptada por todas las instituciones públicas y por ciertos proveedores de servicios privados. Podrá ser emitida tanto por autoridades públicas como por entidades privadas reconocidas, y su objetivo será permitir a los europeos un control total sobre sus datos al acceder a los servicios on-line, eliminando el intercambio innecesario de estos últimos.
2. Grupo de cooperación sobre la Identidad Digital Europea
La Comisión creará un grupo específico sobre Identidad Digital Europea para fomentar la cooperación transfronteriza, facilitar la comunicación entre Estados miembros, el intercambio de información sobre los sistemas de identificación electrónica notificados y los servicios de confianza.
3. Interoperabilidad
eIDAS2 busca mejorar la interoperabilidad entre los distintos sistemas de identificación electrónica existentes en los Estados miembros. Esto se logrará mediante la adopción de normas técnicas comunes y la cooperación entre los países de la UE. La interoperabilidad es crucial para asegurar que una identidad electrónica emitida en un país sea reconocida y aceptada en otro.
4. Refuerzo de Seguridad
El nuevo Reglamento pone especial énfasis en la seguridad de los servicios de identificación y autenticación. Se introducen requisitos más estrictos para los proveedores de servicios de confianza, incluyendo la obligación de notificar incidentes de seguridad significativos y de adoptar medidas de mitigación adecuadas. Además, la Cartera de Identidad Digital Europea deberá cumplir con altos estándares de seguridad para proteger los datos personales de los usuarios.
5. Inclusión y Accesibilidad
eIDAS2 también pretende garantizar que las identidades electrónicas y los servicios de confianza sean accesibles para todos los ciudadanos, incluidos aquellos con discapacidades o con conocimientos limitados de tecnología. Esto incluye el desarrollo de interfaces de usuario simples y/o fáciles de utilizar, junto con la prestación de asistencia técnica en los casos en los que sea necesario.
6. Servicios de confianza
eIDAS2 amplía la actual lista vigente de servicios de confianza, puesto que incluye la prestación de servicios de archivo electrónico, la gestión de dispositivos remotos de firma electrónica, los libros mayores electrónicos, y la creación de sellos electrónicos.
Asimismo, conviene recalcar que la implementación de eIDAS2 tendrá un impacto significativo tanto en los ciudadanos como en las empresas de la UE. Por un lado, la Cartera de Identidad Digital Europea facilitará a los ciudadanos el acceso a servicios públicos y privados en línea, reduciendo la necesidad de múltiples credenciales y mejorando la comodidad y la seguridad. Por otro lado, eIDAS2 ofrecerá –especialmente a aquellas empresas que operan a nivel transfronterizo– nuevas oportunidades para simplificar los procesos de identificación y autenticación, así como para mejorar la confianza de los consumidores en las transacciones electrónicas.
No obstante, si bien a priori eIDAS2 trae consigo innumerables beneficios, su implementación también presentará grandes desafíos. Para empezar, los Estados miembros serán responsables de evitar que las personas que opten por no utilizar la Cartera (ya su uso no será obligatorio) sean discriminadas. Del mismo modo, su adopción requerirá una estrecha cooperación entre todos los Estados miembros, la armonización de sus sistemas de identificación electrónica, y el deber de garantizar un elevado estándar de seguridad.
De acuerdo con lo anterior, eIDAS2 representa un paso importante hacia la creación de un mercado digital único en la UE, abordando las deficiencias de eIDAS y ampliando sus beneficios al sector privado. Si bien eIDAS 2 entró en vigor el pasado 20 de mayo de 2024, esta fecha marca el inicio de un período de aplicación progresiva, puesto que los Estados miembros dispondrán de una serie de plazos para adoptar las nuevas medidas, lo que permitirá una integración estructurada de las normas de identidad digital actualizadas. Se espera que los ciudadanos tengan acceso a las carteras europeas digitales 24 meses después de la publicación de los reglamentos de ejecución, esto es, a finales del año 2026.
Agradecimientos a la abogada Patricia Sánchez, del área de Tech & Data, por la realización de este artículo.
[1] REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE
[1] Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital.