Europa propone un cambio radical en la forma en que gestionamos la identidad digital: una herramienta móvil que permite almacenar, gestionar y presentar credenciales digitales, con el objetivo de que cada usuario tenga pleno control sobre sus datos personales, en línea con el artículo 7 del Reglamento General de Protección de Datos (en adelante, RGPD).
¿Qué es eIDAS y por qué importa a las empresas?
El Reglamento eIDAS2 nace con la intención de “mejorar la seguridad, la usabilidad y la interoperabilidad de los servicios de identificación electrónica y confianza en toda la UE”. Esto obliga a todos los Estados miembros a implantar un sistema de identificación digital fiable y fácil de usar, así como a crear una cartera digital de identidad europea. Esta cartera permitirá a los usuarios almacenar sus credenciales y acceder a proveedores de servicios (Relying Parties o RPs), compartiendo únicamente los datos necesarios y minimizando la exposición de información personal.
Todas estas funcionalidades se sustentan en estándares técnicos comunes y requisitos criptográficos que garantizan tanto la seguridad como la protección de datos, reforzando la confianza del usuario en los procesos digitales.
La implementación de eIDAS2 y de la cartera digital no es un acto aislado: la Comisión Europea irá publicando reglamentos de ejecución que ofrecerán normas y directrices detalladas sobre seguridad, interoperabilidad y requisitos técnicos. Además, eIDAS2 está diseñado para garantizar que se cumpla plenamente el RGPD, incluyendo principios clave como la transparencia, la minimización de datos, la limitación de la finalidad y el respeto a los derechos de los interesados.
Entre las primeras exigencias que deben cumplir los proveedores de carteras digitales se incluyen la realización de evaluaciones de impacto sobre la protección de datos, y la obligación de que los usuarios puedan seguir cada transacción, con información sobre la hora y fecha, la contraparte, los datos solicitados y los datos compartidos. También se establece un panel común para que el usuario pueda visualizar los proveedores con los que ha interactuado y los datos intercambiados, facilitando el ejercicio del derecho de supresión (artículo 17 del RGPD).
Los datos personales deben mantenerse separados de cualquier otra información del proveedor de la cartera, y esta no debe facilitar información sobre el uso de esos datos a los emisores de las credenciales. Además, la cartera debe incorporar mecanismos de revocación y no vinculación para proteger la privacidad del usuario.
Privacidad: ¿puede el emisor de la credencial conocer mis actividades?El reglamento exige evitar cualquier tipo de vinculación que permita asociar datos o acciones a una persona concreta. Esto protege al usuario frente al seguimiento, la correlación de actividades, la elaboración de perfiles y prácticas de vigilancia, incluso ante brechas de seguridad o colaboración entre distintas entidades que tratan datos personales.
El Architecture and Reference Framework (ARF) establece las normas que deben seguir los Estados miembros para implementar las carteras europeas de identidad digital. Sin embargo, actualmente, no define con suficiente claridad cómo se garantizará la no vinculación de las transacciones, un elemento crucial para la protección de datos. La efectividad de las medidas de privacidad dependerá de las decisiones que se adopten en la versión final del ARF, aún en desarrollo.
En particular, es esencial que los emisores de credenciales no sepan cuándo, dónde ni ante qué servicios los usuarios presentan sus credenciales, evitando cualquier forma de rastreo o vigilancia, en línea con los principios del RGPD. Desde la perspectiva empresarial, eIDAS2 exige que las credenciales digitales no permitan rastrear a los usuarios ni vincular transacciones, ni dentro de un mismo servicio ni entre distintos proveedores. Cualquier intento de seguimiento, perfilado o reconstrucción de la actividad del cliente —ya sea mediante identificadores persistentes, metadatos o mecanismos de validación— constituye un riesgo directo de incumplimiento del RGPD.
Por ello, las empresas deben adoptar soluciones que limiten la trazabilidad, eviten la colaboración indebida con emisores de credenciales y garanticen que el tratamiento de datos se reduzca estrictamente a lo necesario para cada transacción.
La amenaza de la identificación
Las amenazas de identificación surgen cuando los actores del ecosistema de la cartera —emisores de credenciales, proveedores de carteras o RPs— acceden a la identidad real del usuario sin que sea necesario para el servicio. Esto es especialmente relevante porque no todos los casos de uso requieren identificación: mientras algunos, como los servicios financieros, sí lo exigen, otros como la verificación de edad deberían permitir el uso de seudónimos o anonimato.
Desde la perspectiva del RGPD, las empresas solo deben solicitar los datos estrictamente necesarios para cada finalidad. Para ello, las partes usuarias deben declarar previamente qué datos necesitan y por qué, y no pueden solicitar información adicional. Este enfoque refuerza la minimización de datos y evita la sobreidentificación.
En definitiva, cumplir con eIDAS2y el RGPD implica que las empresas diseñen procesos que eviten la identificación innecesaria, limiten la trazabilidad del usuario y garanticen la protección de datos desde el diseño y por defecto, un principio que deberá quedar plenamente reforzado en la versión final del ARF.
Amenazas de inexactitud y no repudio en las carteras de identidad digital.
¿Son fiables las credenciales digitales? ¿Pueden las RPs confiar en ellas para tomar decisiones correctas?
La amenaza de inexactitud surge cuando se utilizan datos obsoletos, erróneos, incompletos, sesgados o de baja calidad, lo que puede generar decisiones incorrectas o causar daños al interesado. Su origen puede ser la no actualización de datos, errores de software o ataques que comprometan la seguridad de los sistemas de verificación de identidad.
Por ejemplo, un usuario puede poseer una credencial que indique si es mayor de edad. Al cumplir 18 años, esa información puede quedar desactualizada si la credencial no se renueva. Si una empresa se basa en este atributo obsoleto para decidir sobre el acceso a un servicio financiero, podría rechazar la solicitud de manera incorrecta, generando perjuicios al usuario.
Para mitigar estos riesgos, es fundamental permitir la revocación y reemisión de credenciales, enviar recordatorios proactivos sobre caducidad y verificar la validez de la credencial antes de cualquier transacción.
Además, en transacciones no obligadas a conservar registros, debería existir la posibilidad de negación plausible, permitiendo al usuario negar su participación en una operación concreta y preservar su privacidad.
Conclusión
En conjunto, eIDAS2 configura un ecosistema en el que Estados miembros y proveedores de carteras digitales comparten la responsabilidad de ofrecer una identidad digital segura, usable y respetuosa con los datos personales. Los Estados deben garantizar la existencia y validación de al menos una cartera europea, mientras que los proveedores deben operarlas bajo estrictos requisitos técnicos, de seguridad y de minimización, sin explotar los datos para fines adicionales.
Solo si ambos cumplen plenamente sus obligaciones —incluyendo soporte al usuario, revocación de credenciales, consentimiento granular, privacidad desde el diseño y controles contra la correlación de usos— la cartera digital se consolidará como un instrumento de confianza, capaz de reforzar los derechos digitales de los ciudadanos en lugar de debilitarlos.
Si quieres saber más sobre datos personales y protección de datos pincha aquí y aquí.
