Estado del proceso legislativo de modificación del Reglamento UE 910/2014 (EIDAS)

Los últimos meses han sido muy activos en lo que tiene que ver con el desarrollo de la Cartera IDUE de la que ya he hablado en este Blog, y la revisión del marco regulatorio para modificar el Reglamento EIDAS, que. de momento, se denomina EIDAS2.

En el siguiente esquema («Timeline«) se resumen algunos hitos y actividades que incluyen también los referidos a la licitación del desarrollo del código fuente de referencia de la Cartera IDUE y los Grandes Proyectos Piloto.

(algunos párrafos se describen con letra muy pequeña, por lo que puede ser interesante ver el gráfico en una ventana nueva)

Desde hace unas semanas hemos entrado ya en la fase de Trílogos (tras la votación del 16 de marzo de 2023), y hasta llegar ahí se han dado algunos pasos, entre otros, los que ya resumí en el post Situación actualizada a noviembre de 2022 del proceso legislativo para reformar el Reglamento EIDAS

Las normas actuales sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (es decir, el Reglamento eIDAS) que datan de 2014 tienen por objeto hacer que los sistemas nacionales de identificación electrónica sean interoperables en toda Europa para facilitar el acceso a los servicios en línea. En la Estrategia digital de la UE «Configurar el futuro digital de Europa», la Comisión anunció que iba a revisar el Reglamento eIDAS para mejorar su eficacia, ampliar su aplicación al sector privado y promoverlo. El artículo 49 del Reglamento EIDAS ya preveía esta revisión:

La Comisión revisará la aplicación del presente Reglamento e informará al Parlamento Europeo y al Consejo a más tardar el 1 de julio de 2020. La Comisión evaluará en particular si es apropiado modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluidos el artículo 6, la letra f) del artículo 7 y los artículos 34, 43, 44 y 45, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica.

El informe mencionado en el párrafo primero irá acompañado, en caso necesario, de propuestas legislativas.

Asimismo, la Comisión presentará un informe al Parlamento Europeo y al Consejo cada cuatro años tras el informe mencionado en el párrafo primero sobre la marcha hacia el logro de los objetivos del presente Reglamento.

El 3 de junio de 2021, la Comisión publicó su propuesta de emiendas al Reglamento EIDAS. Con la propuesta, la Comisión esperaba cumplir los objetivos de su brújula digital (Brújula Digital 2030: El enfoque de Europa para el Decenio Digital), que dice que para 2030 todos los servicios públicos clave estarán disponibles en línea, todos los ciudadanos tendrán acceso a sus historiales médicos digitales y el 80 % de los ciudadanos deberían utilizar una identificación digital. 

Además, la Comisión espera que la seguridad y el control que ofrece el marco europeo actualizado de identidad digital ofrezcan a todos los medios para controlar quién tiene acceso a su ID digital y a qué datos exactamente. Ya no se impulsarían soluciones nacionales de identidad digital y se crearía un nuevo enfoque para prestar servicios de testimonios electrónicos de atributos válidos a nivel europeo. 

En el Parlamento, el expediente ha sido asignado a la Comisión de Industria, Investigación y Energía (ITRE). La ponente es Romana Jerković (S&D, Croacia). Publicó su proyecto de informe el 31 de mayo de 2022, en el que proponía una serie de cambios en la estructura, la ciberseguridad y la privacidad del monedero europeo de identidad digital. También propuso un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital.

A lo largo del proceso se presentaron tres informes con propuestas de enmiendas respecto al texto presentado por la comisión el 3 de junio de 2021:

• Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 1 a 139,
• Informe de 05.07.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 140 a 368,
• Informe de 31.05.2022 – 2021/0136(COD) – (PE732.707v01-00) – Con las enmiendas 369 a 653.

La Comisión ITRE adoptó su posición el 9 de febrero de 2023, que fue confirmada en el Pleno del 16 de marzo de 2023 (418 votos a favor, 103 en contra y 24 abstenciones).

Los principales cambios propuestos en el informe son los siguientes:

• Estructura de la cartera europea de identidad digital: el informe ampliaría el uso de la cartera, permitiendo a los ciudadanos no solo demostrar su identidad y compartir documentos, sino también verificar las identidades y documentos de las empresas y de otros ciudadanos. También hace hincapié en que la cartera debe seguir siendo voluntaria, gratuita para los particulares, así como para las empresas Y los usuarios deben poder realizar un seguimiento de todas las transacciones ejecutadas a través de la cartera. Los Estados miembros dispondrían de 18 meses (la Comisión propuso inicialmente 12 meses) tras la entrada en vigor del Reglamento eIDAS para emitir la cartera.
• Privacidad y seguridad: tanto la ciberseguridad como la privacidad de la cartera se refuerzan, pidiendo explícitamente que el diseño de la cartera garantice la ciberseguridad y la privacidad por diseño.
• «Principio de una sola vez»: los ciudadanos y las empresas no deberían tener que facilitar los mismos datos a las autoridades públicas más de una vez.
• Identificación transfronteriza del usuario: en lugar de «identificación única» (como proponía la Comisión), el informe propone la expresión «identificación transfronteriza del usuario» y propone que los Estados miembros que tengan al menos un identificador único emitan identificadores únicos y persistentes solo para uso transfronterizo.
• Gobernanza: se añade un nuevo capítulo sobre gobernanza para facilitar la coordinación transfronteriza y el establecimiento de un marco armonizado para la identidad digital. El informe propone crear un Consejo Marco Europeo de Identidad Digital (EDIFB), compuesto por las autoridades nacionales competentes y la Comisión.
• Certificados cualificados para la autenticación de sitios web: el informe añade que no se impediría a los navegadores web tomar las medidas necesarias y proporcionadas para hacer frente a los riesgos justificados de violaciones de la seguridad, la privacidad del usuario y la pérdida de integridad de los certificados, lo que aligera la obligación de aceptar certificados QWAC europeos.

En el Consejo Europeo, el Grupo «Telecomunicaciones y Sociedad de la Información» comenzó a examinar el expediente en junio de 2021. El 6 de diciembre de 2022, el Consejo adoptó su Posición Común (orientación general) sobre el expediente (Council´s general approach). Los Estados miembros introdujeron algunas modificaciones en el funcionamiento de la cartera para garantizar que la persona que reclama una identidad sea realmente su titular. También se aseguró de que el texto estuviera en consonancia con otras leyes de la UE, como la legislación sobre ciberseguridad. Según el texto del Consejo Europeo, los Estados miembros tendrían 24 meses después de la entrada en vigor de los actos de ejecución para proporcionar el monedero.  Finalmente, el Consejo cree que la billetera no debería costar nada para las personas, pero las empresas pueden incurrir en costos para la autenticación con la billetera.

Los colegisladores iniciaron negociaciones tripartitas (trílogos) sobre el expediente el 21 de marzo de 2023.

Información externa:

• Resumen del proceso, elaborado por Maria Niestadt, sobre los trabajos impulsados por la ponente Romana Jerković
• Texto usado de base al inicio de los Trilogos tras las votaciones: 418 a favor, 103 en contra y 24 abstenciones.
• Ponencia de Dietmar Gattwinkel en el evento de ENISA «Cybersecurity Standardisation Conference 2023«

Referencias:

• Observatorio Legislativo del PE, Marco Europeo de Identidad Digital, 2021/0136(COD)
• Comisión Europea, Propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un marco para una identidad digital europea, COM(2021) 281
• Comisión Europea, Reglamento (UE) n.º 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE
• Comité Europeo de las Regiones, Dictamen sobre la identidad digital europea, CDR 3686/2021
• Comité Económico y Social Europeo, Dictamen sobre la identidad digital europea, CESE 2021/02756
• Parlamento Europeo, Comisión de Industria, Investigación y Energía proyecto de informe sobre un marco para una identidad digital europea, 2021/0136(COD)
• Consejo, orientación general sobre una propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un marco para la identidad digital europea, 14959/22
• Parlamento Europeo y el Parlamento están dispuestos a negociar con el Consejo un monedero digital a escala de la UE, comunicado de prensa, 16 de marzo de 2023

Otras documentos de interés:

• Parlamento Europeo, EPRS, Actualización del marco europeo de identidad digital, informe legislativo, septiembre de 2022
• Parlamento Europeo, EPRS, Revisión del Reglamento eIDAS: conclusiones sobre su ejecución y aplicación, informe, marzo de 2022
• Parlamento Europeo, EPRS, Firmas electrónicas, de un vistazo, diciembre de 2022
• Parlamento Europeo, EPRS, Certificados cualificados para la autenticación de sitios web, enero de 2023

EADTrust se incorpora al Grupo Garrigues

Garrigues ha adquirido una participación del 51% en EAD Trust, compañía especializada en el desarrollo de productos y la prestación de servicios de confianza digital registrada como Prestador Cualificado de Servicios Electrónicos de Confianza en el Ministerio de Asuntos Económicos y Transformación Digital.

De este modo, el prestigioso despacho de abogados se posiciona en un mercado clave como es el de la confianza digital en el contexto del próximo reglamento eIDAS2 (Electronic IDentification, Authentication and Trust Services 2), una iniciativa de la Unión Europea para actualizar la normativa actual de servicios de confianza e identidad digital y conseguir un marco legal más adecuado a las necesidades de empresas y ciudadanos en una sociedad cada vez más conectada y digitalizada.

Con cerca de 15 años de historia, EAD Trust desarrolla servicios y productos digitales y proyectos a medida.

Su compromiso con la calidad y la innovación se refleja en su reconocimiento como Prestador Cualificado de Servicios Electrónicos de Confianza que opera en toda Europa, tras superar exigentes auditorías de cumplimiento, que se suman a sus certificaciones ISO 9001, ISO 27001, ISO 20000-1 y ENS de nivel medio.

La compañía emite certificados cualificados de persona física y jurídica, sellos de tiempo cualificados y certificados cualificados de sitio web, además de dar soporte a sellos y firmas electrónicas cualificadas en la nube y prestar servicios de contratación online y de interposición en las comunicaciones.

La labor de los proveedores de servicios de confianza como EAD Trust cobrará mayor relevancia con la próxima entrada en vigor del nuevo reglamento europeo –previsiblemente, este año–, que redefinirá el mercado. De hecho, este cambio regulatorio supondrá un desarrollo clave de la cartera europea de identidad digital IDUE (EUID Wallet), en la que EAD Trust está trabajando activamente. 

La entrada de Garrigues en su capital supone un reenfoque estratégico para EAD Trust, que se reflejará en los próximos meses en el lanzamiento de nuevos productos y servicios para fortalecer su posicionamiento en el mercado de la confianza digital tanto en España como en el resto de los países en los que está presente el despacho.

La amplia experiencia en economía digital de Garrigues y su visión regulatoria desde todas las perspectivas del derecho de los negocios constituyen una garantía de seguridad jurídica para los nuevos productos y servicios.

Fernando Vives, presidente ejecutivo de Garrigues, destaca que “la economía digital experimenta un crecimiento sin precedentes, lo que conlleva la necesidad de asegurar la seguridad jurídica en cada transacción digital. La inversión en EAD Trust constituye un paso muy relevante en la estrategia del despacho para desarrollar y habilitar infraestructuras digitales legales en los próximos años. Confiamos en que, de la mano de EAD Trust, seremos capaces de brindar soluciones innovadoras y seguras a nuestros clientes, fortaleciendo así la confianza en las transacciones digitales”.

Julián Inza, presidente de EAD Trust, explica que “nuestra misión es impulsar la sociedad del futuro con ideas, productos y servicios capaces de minimizar aquellas transacciones que mantienen el uso de papel por si fuera necesario su valor probatorio, dado que ya es posible generar, custodiar y presentar evidencias digitales de cualquier actividad o relación con las que dar respuesta técnica a todas las necesidades jurídicas. Estamos en un mundo que necesita pasar de un paradigma físico a otro digital y es preciso garantizar la aplicabilidad de las herramientas de seguridad jurídica en ambos. Con el apoyo de Garrigues, estamos listos para pasar al siguiente nivel”. 

Algunos puntos de interés:

• Registrada como Prestador Cualificado de Servicios Electrónicos de Confianza por el Ministerio de Asuntos Económicos y Transformación Digital, EAD Trust es una compañía especializada en el desarrollo de productos digitales y proyectos a medida, con énfasis en su validez legal
• Como resultado de esta alianza, en los próximos meses tendrá lugar el lanzamiento de nuevos productos y servicios relacionados con la confianza digital en el contexto del próximo reglamento europeo sobre identidad digital, eIDAS2
• Formar parte del Grupo Garrigues representa un enorme potencial para difundir las herramientas que permiten la Transformación DIgital de la Sociedad, sin merma del valor probatorio

Ainhoa Inza Blasco

Hoy, 27 de abril de 2023 (cuarto jueves del mes de abril), aprovechando que es el día internacional de chicas en las TIC (International Girls in ICT Day) quiero presentaros a una persona que conozco bien y que puede ser un referente para las chicas que se empiezan a plantear su futuro y empiezan a decidir a qué se van a dedicar los próximos años. Mi sugerencia es que se podrían dedicar al mundo de las Tecnología de la Información y las Comunicaciones.

Y el ejemplo es Ainhoa Inza Blasco.

Ainhoa es la Directora General (CEO) de TCAB (Trust Conformity Assessment Body).

TCAB es un Organismo de Evaluación de Conformidad (en inglés «Conformity Assessment Body») especializado en auditorías relativas a Reglamento UE 910/2014 (eIdAS). Uno de los cuatro organismos acreditados en España.

Solo hay 30 organismos de este tipo en toda Europa.

TCAB ofrece servicios de evaluación de conformidad de Prestadores de Servicios Electrónicos de Confianza  que deseen cumplir con el citado Reglamento UE 910/2014 (eIdAS).

La propia TCAB cumple con las normas EN 319 403 e ISO 17065 y evalúa conforme a las normas EN 319 401, EN 319 411 y EN 319 421, por citar solo las normas principales. También lleva a cabo otras auditorías y evaluaciones de seguridad.

Ainhoa Inza, se licenció en la Universidad Rey Juan Carlos con doble titulación, como Ingeniera Química y Licenciada en Administración de Empresas.

Aunque trabajó en empresas del sector químico, su mayor desarrollo profesional se ha producido en empresas del sector tecnológico convirtiéndose en una de las mayores especialistas en los aspectos tecnológicos y legales de los sistemas de confianza, en especial los derivados de la normativa europea:

• Reglamento EIDAS.
• Reglamento de Resiliencia Operativa Digital (DORA).
• Directiva NIS2
• Reglamento de Gobernanza de Datos

En el ámbito de los negocios internacionales trabajó en el Programa ICEX, con una fase académica especializada (ICEX-CECO), otra fase focalizada en la Oficina Económica y Comercial de España en Chicago, y otra fase en actividades empresariales internacionales a su vuelta a España.

En el ámbito de la ciberseguridad, ostenta las certificaciones de ISACA:

• Certified Data Privacy Solutions Engineer (CDPSE)
• Certified Information Systems Auditor (CISA)

Ha sido una de las autoras del documento de ISACA

• Identificación y contol de riesgos en procesos validados con Blockchain.

Pensando en optimizar las auditorías de entornos Blockchain.

En relación con las actividades de TCAB con AMETIC, la patronal de la industria digital en España, Ainhoa Inza participó en la jornada informativa sobre el nuevo reglamento europeo “Cybersecurity Act”. El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»).

Articulo 12 de la Ley 10/2010 (PBC): Relaciones de negocio y operaciones no presenciales.

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo contempla en su artículo 3 la identificación formal de los clientes de los sujetos obligados (entidades de crédito, aseguradoras, gestoras de fondos e inversiones, entidades de dinero electrónico, notarios y registradores, y otros muchos colectivos citados en el artículo 2).

En su artículo 12 establece la posibilidad de identificación no presencial y describe diversas casuísticas, entre las que destaca la opción de identificar a los usuarios mediante sistemas de firma cualificada según lo previsto en el Reglamento EIDAS.

La reciente Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas ha actualizado el artículo con algunas precisiones adicionales.

Las entidades Fintech, Insurtech, Regtech deberían contactar con EADTrust para explorar cómo integrar los certificados cualificados en los procesos de Onboarding de clientes.

Normas ETSI TS 119 462, ETSI TS 119 471 y ETSI TS 119 472 para la Cartera IDUE

En el contexto del desarrollo de la Cartera IDUE de la que ya he hablado en este Blog hay varias iniciativas en marcha que contribuyen a elevar las expectativas y a acelerar el proyecto. Un gran reto para un proyecto complejo, especialmente considerando su carácter transfronterizo.

Uno de los aspectos de los que se esperan avances es el de la estandarización.

El organismo ETSI ha desarrollado diferentes normas técnicas en el contexto del Reglamento (UE) 910/2014 (EIDAS) y también está activo preparando las normas técnicas que se aplicarán una vez que se apruebe el Reglamento EIDAS 2, lo cual puede suceder antes de que se acabe el primer semestre de 2023.

Las normas orientadas a EIDAS 2 (y a la Cartera IDUE) son, entre otras, la ETSI TS 119 462, la ETSI TS 119 471 y la ETSI TS 119 472 de las que incluyo una breve explicación.

ETSI TS 119 462 Cartera IDUE – Interfaces de cartera para servicios de confianza y firma electrónica (EUDI Wallet -Wallet interfaces for trust services and electonic signature)

El objetivo de esta norma es especificar las interfaces que permiten la interacción de los servicios de cartera y los de confianza digital, incluida la firma electrónica. Más concretamente, esta norma especificará:

• Una interfaz de cartera para prestadores de servicios de confianza con el fin de emitir testimonios de atributos y certificados en la cartera ;
• Una interfaz del cartera para los prestadores de servicios de confianza cuando actúen como parte informante en la prestación de sus servicios;
• Una interfaz para la creación de firma electrónica cuando el QSCD (dispositivo cualificado de creación de firma) sea gestionado por el Prestador de servicios de Confianza;
• Otros casos de uso para la creación de firmas electrónicas y otros servicios de confianza y posibles requisitos para las interfaces;

Este elemento de trabajo tendrá en cuenta el trabajo concurrente sobre las políticas de testimonio de atributos y los perfiles de los testimonios de atributos que se recogen en otras normas, como la TS 119 471 y la TS 119 472.

TS 119 471 Policy and Security requirements for Attribute Attestation Services (Política y requisitos de seguridad para los servicios de testimonio de atributos)

Imagen de la Cartera de Identidad, cortesía de Michał Tabor

El objetivo de esta futura norma de ETSI es especificar los requisitos de política y seguridad de los prestadores de servicios de confianza de testimonio de atributos y los servicios de testimonio de atributos que proporcionan.

Contendrá:

• Los requisitos de política y seguridad sobre la verificación de atributos y la generación de testimonios por parte del prestador de servicios de confianza;
• Los requisitos de política y seguridad sobre los servicios de validación del estado de los Testimonios de Atributos;
• Los requisitos para evaluar la fiabilidad de los Testimonios de Atributos; y
• Los requisitos sobre el tratamiento de datos personales.

TS 119 472 Profiles for Attribute Attestations (Perfiles para los Testimonios de atributos)

El objetivo de esta norma es especificar los perfiles para los testimonios de atributos.

Más concretamente, especificará:

• La Semántica para los componentes de los Testimonios de Atributos. Esto incluirá, entre otros, la información enumerada en el anexo V del Reglamento eIDAS 2.0 (pendiente de aprobación).
• Vinculación de la semántica a una o más sintaxis.

La norma evaluará una serie de sintaxis tales como credenciales verificables de W3C, SAML, JWT (JSON Web Tokens), certificados de atributos X.509 (X.520) y otras.

La norma no limitará los tipos de atributos incluidos en una declaración de atributos (en relación con la identidad alegada).

Puede ser necesaria una normalización separada para definir interfaces para la gestión y el uso de Testimonios de Atributos.

Situación actualizada a noviembre de 2022 del proceso legislativo para reformar el Reglamento EIDAS

1. La Comisión adoptó la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) el 3 de junio de 2021. La iniciativa modifica el Reglamento eIDAS de 2014, que sentó las bases necesarias para acceder de forma segura a los servicios y realizar transacciones en línea y a través de las fronteras en la UE. 

• La propuesta, basada en el artículo 114 del TFUE, exige a los Estados miembros que emitan una cartera europea de identidad digital con arreglo a un sistema de identificación electrónica notificado, basado en normas técnicas comunes, tras la certificación obligatoria. Con el fin de establecer la arquitectura técnica necesaria, acelerar la aplicación del Reglamento revisado, proporcionar directrices a los Estados miembros y evitar la fragmentación, la propuesta iba acompañada de una Recomendación para el desarrollo de un conjunto de instrumentos de la Unión (Toolbox). 

• El Reglamento propuesto tiene por objeto garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y fiables mediante una cartera digital personal en un teléfono móvil. 

II. TRABAJO EN LAS DEMÁS INSTITUCIONES

1. En el Parlamento Europeo, la propuesta se remitió a la Comisión de Industria, Investigación y Energía (ITRE), y se solicitó opinión a tres comisiones, a saber, la Comisión de Mercado Interior y Protección del Consumidor (IMCO), la Comisión de Asuntos Jurídicos (JURI) y la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE). La ponente del expediente es Romana Jerković (S&D, Croacia). La Comisión ITRE aún no ha aprobado su informe.

• El 15 de julio de 2021, se invitó al Comité Económico y Social Europeo a emitir su dictamen sobre la propuesta, que se presentó posteriormente el 20 de octubre de 2021. El Comité Europeo de las Regiones emitió espontáneamente un dictamen sobre la propuesta el 12 de octubre de 2021.

• El Supervisor Europeo de Protección de Datos (SEPD) publicó observaciones formales sobre la propuesta el 28 de julio de 2021.

III. SITUACIÓN EN EL CONSEJO 

1. En el Consejo, la propuesta ha sido examinada en el Grupo «Telecomunicaciones y Sociedad de la Información» (WP TELECOM), que inició los debates bajo la Presidencia portuguesa en junio de 2021. El análisis de la propuesta continuó en WP TELECOM bajo la Presidencia eslovena, y la primera lectura concluyó con éxito el 15 de noviembre de 2021.

• La Presidencia francesa presentó su primera propuesta transaccional los días 15 de febrero y 5 de abril de 2022, y la segunda se debatió los días 23 de mayo y 9 de junio de 2022. En relación con un debate de orientación celebrado en WP TELECOM el 19 de julio de 2022, la Presidencia checa, basándose en el trabajo de la Presidencia francesa, destacó las principales cuestiones pendientes de alto nivel y pidió a las delegaciones que expresaran sus opciones preferidas, con vistas a volver a redactar las partes pertinentes de la segunda propuesta transaccional en consecuencia. La versión revisada dio lugar a una tercera propuesta de compromiso que fue presentada por la Presidencia checa en el WP TELECOM de los días 5 y 8 de septiembre de 2022. Las iteraciones adicionales y los ajustes conexos fomentaron con éxito un nivel más profundo de convergencia en la mayoría de las cuestiones pendientes. 

• Sin embargo, la cuarta propuesta transaccional, presentada a las delegaciones en el WP TELECOM de 28 de septiembre de 2022, reveló una divergencia persistente entre los Estados miembros en torno a una cuestión de alto nivel en particular, a saber, el nivel de aseguramiento («LoA») elegido para la cartera de identidad digital europea. Algunos de los Estados miembros que ya cuentan con un sistema nacional de identificación electrónica adoptaron inicialmente, y posteriormente invirtieron, en un Nivel de Aseguramiento (LoA – Level of Assurance) «sustancial», mientras que en la propuesta actual de identificación electrónica se requiere un LOA de nivel «alto». Consciente de que ya existe un elevado número de medios de identificación electrónica de LoA «sustanciales» emitidos en algunos Estados miembros, la Presidencia checa ha propuesto además un mecanismo para facilitar el registro de usuarios, contribuyendo así a la adopción de las carteras de identidad digital europeas. La disposición permite a los usuarios inscribirse en la cartera de identidad digital europeo utilizando los medios nacionales de identificación electrónica existentes en base a LoA «sustanciales» junto con procedimientos adicionales de obtención remota de la identidad digital que conjuntamente permiten cumplir los requisitos de LoA «alto». Las especificaciones técnicas y operativas requerida están sujetas al desarrollo de legislación de aplicación para ello y deberá ser posible la certificación de la conformidad con los requisitos, llevada a cabo por un Organismo de Evaluación.

• La quinta propuesta de compromiso se discutió durante la reunión de WP TELECOM del 25 de octubre de 2022. Durante la reunión de WP TELECOM del 8 de noviembre de 2022, la Presidencia checa presentó los limitados cambios introducidos y, además de los comentarios adicionales y las sugerencias de redacción recibidas de las Delegaciones, preparó la versión final del texto transaccional con vistas a presentarlo al Coreper. 

• El 18 de noviembre de 2022, el Coreper examinó esta propuesta transaccional y acordó por unanimidad presentarla al Consejo TTE (Telecomunicaciones), sin ningún cambio, con vistas a una orientación general en su reunión del 6 de diciembre de 2022.

IV. PRINCIPALES ELEMENTOS DE LA PROPUESTA TRANSACCIONAL      

1. La cartera europea de identidad digital

Uno de los principales objetivos políticos de la propuesta de la Comisión de una cartera de identidad digital europea («cartera») es el de proporcionar a los ciudadanos y otros residentes, tal como se definen en la legislación nacional, un medio europeo armonizado de identidad digital basado en el concepto de una cartera europea de identidad digital. Como medio de identificación electrónica («medio de identificación electrónica») emitido en virtud de sistemas nacionales con nivel de aseguramiento «alto», la cartera sería un medio de identificación electrónica por derecho propio basado en la emisión de datos de identificación personal y de la propia cartera por parte de los Estados miembros.

2. Nivel de aseguramiento de la cartera europea de identidad digital

Los niveles de aseguramiento («LoA») deben determinar el grado de confianza en los medios de identificación electrónica para establecer la identidad de una persona, proporcionando así garantías de que la persona que reivindica una identidad determinada es, de hecho, la persona a la que se asignó dicha identidad.

Sobre la base del amplio apoyo registrado en las reuniones del Grupo de Trabajo y en el debate del Coreper del 14 de octubre de 2022, la cartera deberá expedirse dentro de un sistema de identificación electrónica que cumpla con el nivel de aseguramiento «alto». Además, se ha añadido al artículo 6 bis una disposición específica sobre el registro de usuarios. Este cambio tiene por objeto abordar las preocupaciones de los Estados miembros en los que ya se ha emitido un número significativo de medios nacionales de identificación electrónica en base a niveles de aseguramiento «sustanciales». La disposición permite a un usuario utilizar sus medios nacionales de identificación electrónica junto con procedimientos adicionales para darse de alta de forma remota y hacer posible la prueba de identidad en base a un nivel de aseguramiento «alto» y, en última instancia, a obtener una cartera. Dado que el proyecto de Reglamento sobre identificación electrónica se basa en esquemas de certificación de ciberseguridad que deben aportar un nivel armonizado de confianza en la seguridad de las carteras de identidad digitales europeas, también se espera que el almacenamiento seguro de material criptográfico esté sujeto a certificación de ciberseguridad tras un proceso de evaluación. Por consiguiente, la Presidencia ha propuesto un nuevo considerando 10 ter que  aborde estas condiciones técnicas previas para lograr un nivel de aseguramiento «alto» y permita un proceso de seguimiento dentro de la aplicación de las carteras de identidad digitales europeas.

3. Notificación a las partes informadas

3.1 Se ha reformulado el artículo 6ter, relativo a la notificación a las partes informadas (las que reciben algún tipo de testimonio o información de la cartera, denominadas a veces «partes que confían»). Como norma general, el proceso de notificación mediante el cual la parte informada comunica su intención de confiar en la cartera debe ser rentable, proporcional al riesgo y debe garantizar que la parte informada proporciona al menos la información necesaria para autenticarse frente a la cartera. De forma predeterminada, solo se requiere mínima información, y la notificación debe permitir el uso de procedimientos automatizados o simples de autonotificación. 

3.2 Sin embargo, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición para ello que tiene por objeto cubrir los casos en que se requiere un procedimiento de registro o autorización más estricto. A la inversa, cuando el Derecho de la Unión o nacional no establezca requisitos específicos para acceder a la información facilitada a través de la cartera, los Estados miembros podrán eximir a dichas partes informadas de la obligación de notificar su intención de confiar en las carteras.

4. Certificación

4.1 El Reglamento debe aprovechar, basarse y exigir el uso de esquemas de certificación de la normativa de Ciberseguridad pertinentes y existentes, o partes de los mismos, para certificar el cumplimiento de las Carteras, o partes de los mismos, con los requisitos de ciberseguridad aplicables, por ejemplo, la de ser considerado un dispositivo cualificado de gestión de claves privadas. En consecuencia, se aplica plenamente el marco de la normativa europea de Ciberseguridad, incluido el mecanismo de revisión inter pares entre las autoridades nacionales de certificación de la ciberseguridad previsto en la normativa europea de Ciberseguridad. Con el fin de armonizar en la medida de lo posible el Reglamento sobre identificación electrónica y la normativa europea de ciberseguridad, los Estados miembros designarán organismos públicos y privados acreditados para evaluar certificar las carteras según lo dispuesto en el Reglamento de ciberseguridad. 

4.2 Además, se anima a la Comisión a encargar a ENISA que emprenda el desarrollo y la adopción de un esquema específico de la normativa europea de Ciberseguridad para la certificación de la ciberseguridad de la Cartera. Hasta que se desarrolle dicho esquema, el esquema EUCC (esquema europeo de certificación de ciberseguridad basado en criterios «Common Criteria») publicado en virtud de la normativa europea de Ciberseguridad se utilizará como metodología de referencia para la certificación de la cartera. Para los requisitos no relacionados con la ciberseguridad, en particular los que cubren otros aspectos funcionales y operativos de la Cartera, debe establecerse una lista de especificaciones, procedimientos y normas de referencia. Estos requisitos están sujetos a certificación.

5. Plazo para la provisión de la Cartera

Sobre la base de las orientaciones de los Estados miembros, se ha propuesto que el período de ejecución de 24 meses que determina la obligación de que los estados miembros ofrezcan su Cartera, se empiece a contar a partir de la adopción de los actos de ejecución a los que se refieren el artículo 6 bis, apartado 11, y  el artículo 6 quater, apartado 4. 

6. Tarifas

En el artículo 6 bis, apartado 6 bis, y en el considerando correspondiente se ha aclarado  que la expedición, el uso para la autenticación y la revocación de carteras deben ser gratuitos para las personas físicas. Excepto cuando se utilizan Carteras para la autenticación, los servicios que dependen del uso de la Cartera pueden incurrir en costes, por ejemplo, la emisión de los certificados electrónicos de atributos para su gestión por una Cartera. 

7. Acceso a las funciones de hardware y software, incluido el «elemento seguro»

La Presidencia ha sugerido establecer una articulación explícita con el Reglamento (UE) 2022/1925, que garantiza el acceso a las funciones de hardware y software como parte de los servicios básicos de plataforma proporcionados por los guardianes de acceso a los servicios en Internet. El artículo 12 ter, recientemente añadido, aclara que los proveedores de carteras y los emisores de medios de identificación electrónica notificados que actúen a título comercial o profesional son usuarios profesionales de los guardianes de acceso a los servicios en Internet en el sentido de la definición respectiva de la DMA (Digital Markets Act). Se ha añadido una redacción del considerando para esbozar las implicaciones de la interconexión con la DMA, a saber, que debe exigirse a los guardianes de acceso a los servicios en Internet que garanticen, de forma gratuita, la interoperabilidad efectiva con las mismas características del sistema operativo, hardware o software que estén disponibles o se utilicen a efectos de interoperabilidad en la prestación de sus propios servicios complementarios y de apoyo.

8. Posibilidades alternativas para emitir los testimonios electrónicos de atributos por parte de los organismos públicos

Se ha mantenido la posibilidad de emitir testimonios electrónicos cualificados de atributos por parte de prestadores cualificados, incluida la obligación de los Estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público. Además, se ha introducido la posibilidad de que los testimonios electrónicos de atributos no cualificados puedan tener los mismos efectos jurídicos que los testimonios electrónicos cualificados de atributos cuando sean expedidos a una Cartera directamente por el organismo del sector público responsable de la fuente auténtica o por un organismo designado del sector público en nombre de un organismo del sector público responsable de una fuente auténtica,  siempre que se cumplan los requisitos necesarios. La propuesta se refleja en los nuevos artículos 45 bis y 45 quinquies y en el anexo VII.

9. Verificación de registros

El artículo 11 bis original  ha pasado a llamarse «Record Matching» (Comprobación de anotaciones registrales) ya que refleja mejor el objetivo de la disposición. Sobre la base de la discusión, el concepto de identificador único y persistente se ha mantenido para las carteras. La definición respectiva aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales, siempre que sirva a su propósito. Se establece explícitamente que la verificación de registros puede facilitarse mediante los testimonios electrónicos cualificados de atributos. Además, se ha incorporado al artículo 11 bis una disposición de salvaguardia  según la cual los Estados miembros garantizarán la protección de los datos personales y evitarán la elaboración de perfiles de los usuarios. Por último, los Estados miembros, en su calidad de partes informadas, garantizarán la verificación de anotaciones registrales.

     VI. CONCLUSIÓN 

1. A la luz de lo anterior, se invita al Consejo a: 

• que examine el texto que recoge la propuesta de modificación del reglamento que reformará el Reglamento EIDAS;
• que confirme una orientación general sobre la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) en la reunión del Consejo de TTE (Telecomunicaciones) que se va a celebrar el 6 de diciembre de 2022. 

---

Aspectos interesantes de la Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia.

Desde hace meses está en trámite parlamentario la Ley de Medidas de Eficiencia Digital del Servicio Público de Justicia.

Del texto disponible en el Parlamento voy a entresacar algunos artículos interesantes. Puede ser que el texto definitivo cambie al finalizar el proceso legislativo.

Artículo 13. La Carpeta en el ámbito de la Administración de Justicia.

1. La Carpeta Justicia será un servicio único, personalizado, dentro del Punto de Acceso General de la Administración de Justicia, que facilitará el acceso a los servicios, procedimientos e informaciones accesibles de la Administración de Justicia que afecten a un ciudadano o ciudadana cuando sea parte o justifique un interés legítimo y directo en un procedimiento o actuación judicial. Dicho servicio podrá ofrecerse a través de un sistema común, a través de las respectivas sedes judiciales electrónicas de cada uno de los territorios, o a través de ambos sistemas. Para ello el ciudadano o ciudadana y su profesional autorizado o autorizada deberá identificarse previamente en alguna de las formas previstas en esta ley.

2. Reglamentariamente, y previo informe del Comité técnico estatal de la Administración judicial electrónica, se establecerán los requisitos que deberá cumplir la Carpeta Justicia en el ámbito de todo el territorio del Estado.

3. De conformidad con los acuerdos que se adopten en el Comité técnico estatal de la Administración judicial electrónica, la Carpeta Justicia será gestionada para asegurar la completa y exacta incorporación de la información y accesos publicados en ésta, bajo responsabilidad del Ministerio de Justicia.

4. En todo aquello que no esté regulado en esta ley o en su desarrollo reglamentario, se aplicarán las disposiciones reglamentarias establecidas para la Carpeta Ciudadana del Sector Público Estatal, siempre que por su naturaleza resulten compatibles.

5. La Carpeta Justicia será interoperable con la Carpeta Ciudadana del Sector Público Estatal.

Artículo 19. Sistemas de identificación admitidos por la Administración de Justicia.

La identificación en las actuaciones procesales y judiciales se realizará conforme a lo establecido en el artículo 9 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las administraciones públicas, y en el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE y la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, sin perjuicio del reconocimiento de los sistemas de identificación de otros países con los que la Administración de Justicia pueda llegar a un acuerdo, en el marco de lo establecido por la Comisión Europea. Por vía reglamentaria podrán habilitarse otros sistemas de identificación digital.

Artículo 20. Sistemas de firma admitidos por la Administración de Justicia.

1. La firma en las actuaciones procesales y judiciales se realizará conforme a lo establecido en el artículo 10 de la Ley 39/2015, de 1 de octubre del Procedimiento Administrativo Común de las administraciones públicas, y en el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, y la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza sin perjuicio del reconocimiento de los sistemas de firma de otros países con los que la Administración de Justicia pueda llegar a un acuerdo, en el marco de lo establecido por la Comisión Europea. Por vía reglamentaria podrán habilitarse otros sistemas de firma.

En el marco del Comité técnico estatal de la Administración judicial electrónica podrá determinarse el nivel de firma aplicable en cada una de las actuaciones en el ámbito de la Administración de Justicia. Dicha determinación deberá realizarse en la Guía de Interoperabilidad y Seguridad de autenticación, certificados y firma electrónica, en proporción al nivel de seguridad que se estime necesario para cada clase de actuación.

2. Cuando así lo disponga expresamente la normativa reguladora aplicable, la Administración de Justicia podrá admitir los sistemas de identificación contemplados en esta ley como sistemas de firma cuando permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los ciudadanos, ciudadanas y de los profesionales que se relacionan con la Administración de Justicia.

3. Cuando se utilice un sistema de firma de los previstos en este artículo para relacionarse con la Administración de Justicia, la identidad se entenderá ya acreditada mediante el propio acto de la firma.

Artículo 21. Sistemas de firma para las personas jurídicas y entidades sin personalidad jurídica.

Las personas jurídicas y las entidades sin personalidad jurídica podrán utilizar sistemas de firma electrónica con atributo de representante para todos los procedimientos y actuaciones ante la Administración de Justicia, siempre que ello sea conforme con las leyes procesales.

Artículo 22. Uso de los sistemas de identificación y firma en la Administración de Justicia.

1. La Administración de Justicia admitirá y requerirá la firma electrónica en todos los casos en que, de conformidad con las leyes procesales, los órganos judiciales requieran la firma, sin perjuicio de lo dispuesto en el artículo 29.1.

2. En los demás casos, para realizar actuaciones o acceder a servicios ante la Administración de Justicia será suficiente acreditar previamente la identidad a través de cualquiera de los medios de identificación previstos en esta ley.

El régimen de acceso a los servicios electrónicos en el ámbito de la Administración de Justicia para los supuestos de sustitución entre profesionales, así como para la habilitación de sus empleados, se regulará por la respectiva Administración competente mediante disposiciones reglamentarias.

3. El uso de la firma electrónica no excluye la obligación de incluir en el documento o comunicación electrónica los datos de identificación que sean necesarios de acuerdo con la legislación aplicable.

4. Los órganos de la Administración de Justicia u organismos públicos vinculados o dependientes podrán tratar los datos personales consignados, a los efectos de la verificación de la firma.

Artículo 23. Sistema de identificación seguro en videoconferencias.

1. En los casos en que lo determine el juez o tribunal, representante del Ministerio fiscal o letrado de la Administración de Justicia que en cada caso dirija las actuaciones y procedimientos judiciales llevados a cabo por videoconferencia, o el personal al servicio de la Administración de Justicia que en ausencia de aquellos atienda la actuación o preste el servicio presencial, se podrá usar un sistema de información para la identificación y firma no criptográfica, en los términos y condiciones de uso establecidos en la regulación sobre identificación digital tanto nacional como de la Unión Europea.

2. El sistema servirá para acreditar ante cualquier órgano u oficina judicial o fiscal la identificación electrónica en el procedimiento judicial.

3. El Ministerio de Justicia posibilitará la prestación de un servicio ajustado a las características indicadas en este artículo a las administraciones públicas con competencia en medios materiales y personales de la Administración de Justicia que decidan hacer uso del mismo, de conformidad con las condiciones que se determinen en el Comité técnico estatal de la Administración judicial electrónica.

Artículo 24. Sistemas de identificación de la Administración de Justicia.

La Administración de Justicia podrá identificarse mediante los sistemas de identificación establecidos en el artículo 40 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Artículo 25. Sistemas de firma de la Administración de Justicia.

1. La Administración de Justicia podrá hacer uso de certificados cualificados de sello electrónico de entidad contemplados en el Reglamento UE Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, asociados a la sede judicial o a otros órganos a los que se adscriba la sede, para generar documentos electrónicos sellados.

2. Para la identificación del ejercicio de la competencia en la actuación judicial automatizada, las administraciones públicas con competencia en medios materiales y personales de la Administración de Justicia podrán hacer uso de los siguientes sistemas de firma electrónica:

a) Certificados cualificados de sello electrónico de Administración Pública, de acuerdo con lo dispuesto en el artículo 42 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, o conforme a lo previsto en el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

b) Sistemas de Código Seguro de Verificación.

3. El uso de los certificados a que se refiere el apartado anterior deberá incluir la información necesaria para determinar el ámbito organizativo, territorial o de la propia naturaleza de la actuación.

Artículo 26. Sistemas de Código Seguro de Verificación.

1. Las administraciones públicas con competencias en medios materiales y personales de la Administración de Justicia podrán gestionar sistemas de Código Seguro de Verificación que, cuando figuren en un documento electrónico o en su versión impresa, permitan el cotejo de la autenticidad e integridad del documento. El cotejo de los documentos con Código Seguro de Verificación se realizará en la sede judicial electrónica correspondiente al órgano que emitió el documento, así como en la Carpeta Justicia.

2. La inclusión de Códigos Seguros de Verificación en los documentos se acompañará de la dirección electrónica en la que poder realizar el cotejo.

3. Los Códigos Seguros de Verificación se codificarán de conformidad con los términos que se definan en el marco del Comité técnico estatal de la Administración judicial electrónica.

4. Se podrán establecer requisitos restrictivos de identificación o similares sobre algunos documentos, para evitar que sean accesibles únicamente por su Código Seguro de Verificación, cuando existan razones de protección de la información.

5. Se podrán habilitar mecanismos que ofrezcan el documento en una versión anonimizada. Los documentos electrónicos podrán contener medidas de seguridad tales como marcas de agua, sistemas anti-copia o versiones personalizadas de documentos que permitan detectar la persona concreta que hubiera difundido un documento de forma no autorizada.

Artículo 27. Sistemas de firma de quienes prestan servicio en la Administración de Justicia.

1. En los casos en los que la presente ley no disponga otra cosa, la actuación del órgano u oficina judicial o fiscal, cuando utilice medios electrónicos, se realizará mediante firma electrónica del titular del órgano u oficina o funcionario público, de acuerdo con lo dispuesto en los siguientes apartados.

2. El Comité técnico estatal de la Administración judicial electrónica determinará los sistemas de firma que deben utilizar los fiscales, letrados y letradas de la Administración de Justicia y demás personal al servicio de la Administración
de Justicia. Dichos sistemas podrán identificar de forma conjunta al titular y el cargo, e identificar también a la oficina u órgano judicial o fiscal en la que presta sus servicios. Los sistemas de firma electrónica de jueces, juezas, magistrados y magistradas serán determinados por el Consejo General del Poder Judicial.

3. Las administraciones públicas, en el ámbito de sus competencias, dotarán de sistemas de firma electrónica que cumplan lo previsto en la presente ley a quienes tengan atribuida la defensa y representación del Estado y del sector público, a los que se refiere el artículo 551 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. Los sistemas de firma electrónica de jueces y magistrados serán los que provea el Consejo General del Poder Judicial. Este podrá establecer, a través de convenios, que el proveedor sea la Administración competente.

Artículo 28. Admisión de los sistemas de firma e identificación electrónica notificados a la Comisión Europea.

Sin perjuicio de la obligación de firma electrónica prevista en el artículo 27.1 de esta ley para todos los casos en que proceda conforme a las leyes procesales, la Administración de Justicia admitirá todos los sistemas de firma e identificación electrónica incluidos en la lista publicada por la Comisión Europea en el Diario Oficial de la Unión Europea a la que se refiere el apartado 2 del artículo 9 del Reglamento (UE) Nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Artículo 29. Identificación de los ciudadanos y ciudadanas por funcionario público.

1. En los supuestos en que para la realización de cualquier actuación por medios electrónicos se requiera la identificación del ciudadano o ciudadana en los términos previstos en esta ley, y estos no dispongan de tales medios, la identificación y autenticación podrá ser válidamente realizada por personal funcionario público habilitado al efecto, mediante el uso del sistema de firma electrónica del que esté dotado.

2. Para la eficacia de lo dispuesto en el apartado anterior, el ciudadano o ciudadana deberá identificarse y prestar su consentimiento expreso, debiendo quedar constancia de ello para los casos de discrepancia o litigio.

3. Si la constancia se obtiene utilizando una firma, esta podrá ser manuscrita, bien en papel, bien utilizando dispositivos técnicos idóneos para su captura que gestionen la firma con medidas de seguridad equivalentes a la firma avanzada definida en el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, y según lo establecido en la Guía de Interoperabilidad y Seguridad de Autenticación, Certificados y Firma Electrónica aprobada por el Comité técnico estatal de la Administración judicial electrónica.

Artículo 30. Intercambio electrónico de datos en entornos cerrados de comunicación.

1. Los documentos electrónicos transmitidos en entornos cerrados de comunicaciones establecidos entre administraciones con competencias en materia de Justicia, organismos y entidades de derecho público, serán considerados válidos a efectos de autenticación e identificación de los emisores y receptores en las condiciones establecidas en el presente artículo.

2. Cuando los participantes en las comunicaciones pertenezcan a la Administración de Justicia, el Comité técnico estatal de la Administración judicial electrónica determinará las condiciones y garantías por las que se regirán, que al menos comprenderán la relación de emisores y receptores autorizados y la naturaleza de los datos a intercambiar.

3. Cuando los participantes pertenezcan a distintas administraciones o a entidades de derecho público, las condiciones y garantías citadas en el apartado anterior se establecerán mediante convenio.

4. En todo caso deberá garantizarse la seguridad del entorno cerrado de omunicaciones y la protección de los datos que se transmitan.

A destacar:

• Se uniformizan los sistemas de identificación y firma electrónicos con los previstos en la Ley 39/2015.
• Se definen con más detalle los Códigos Seguros de Verificación (CSV). En la actualidad el CTEAJE ya ha definido la norma que permite crear códigos CSV enrutables, lo que permitirá hacerlos más independientes de los nombres de dominio usados por las sedes electrónicas.
• Se contemplan expresamente los sistemas de firma biométrica en tableta
• Por primera vez se recoge en una Ley española la aplicabilidad de las listas de confianza (TSL) de la Unión Europea para garantizar la aceptación de de firmas electrónicas con certificados cualificados expedidos en otros países. Ya era obligatorio porque lo dispone el Reglamento EIDAS pero las administraciones públicas españolas hacían caso omiso de esta obligación.

Arquitectura y marco de referencia (ARF) de la Cartera IDUE (EUDI Wallet) versión 1.0 en español

El viernes pasado la Comisión Europea publicó la Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 y yo escribí sobre ello un artículo en el blog (Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2- documento en español) .

Hacía referencia a la publicación de la la versión 1 del documento: «European Digital Identity Wallet Architecture and Reference Framework» que se esperaba a finales de octubre de 2022.

La versión anterior (llamémosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022 y de ella hice una traducción al español hace unos meses.

A lo largo del fin de semana he realizado la traducción al español de la nueva versión y la pongo a disposición de los interesados en el desarrollo del Juego Herramientas de la Identidad Digital europea.

arf_v100_2023-traduccion-esDescarga

Como se me habrán escapado errores, ruego a quienes los detecten que me lo hagan saber para depurar la traducción en futuras versiones.

Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 – documento en español

Hoy se ha publicado la versión 1 del documento «European Digital Identity Wallet Architecture and Reference Framework» que llevábamos algún tiempo esperando.

El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.

La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.

De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).

Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»

Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.

arf-arquitectura-marco-de-referencia-de-la-identidad-digital-europea-esquema-cartera-idue-de-eidas2Descarga

Grupo de Expertos de la Comisión sobre identificación electrónica y procesos de Diligencia Debida de Identificación a distancia – E03571

Este Grupo de Expertos de la Comisión Europea tenía la siguiente denominación en Inglés: Commission expert group on electronic identification and remote Know-Your-Customer processes – E03571.

Tuve el honor de ser uno de los Expertos de este Grupo, representando a la AUI y el de participar en los trabajos que se desarrollaron entre 2018 y 2019.

Este grupo de expertos lo convocaron forma conjunta 3 direcciones generales de la Comisión Europea:

• CNECT – DG Communications Networks, Content and Technology  (Redes de Comunicaciones, Contenidos y Tecnología)
• FISMA – DG Financial Stability, Financial Services and Capital Markets Union (Estabilidad Financiera, Servicios Financieros y Unión de los Mercados de Capitales)
• JUST – DG Justice and Consumers (Justicia y Consumidores)

El 14 de diciembre de 2017, se adoptó la Decisión C(2017) 8405 final de la Comisión, de 14.12.2017, por la que se creaba el grupo de expertos de la Comisión sobre identificación electrónica y procesos remotos «Conozca a su cliente».

A partir de la primavera de 2018, el grupo de expertos (E03571) exploró las formas de facilitar el uso transfronterizo de la identificación electrónica (eID) y la extensión de las normas bancarias de Debida Diligencia de identificación de clientes (KYC) basada en herramientas de identificación y las de identificación y autenticación bajo eIDAS, Reglamento UE n.º 910/2014, para permitir a las instituciones financieras identificar digitalmente a los clientes con fines de incorporación.

El grupo estaba compuesto por 36 miembros entre reguladores, supervisores, expertos en identidad, entidades financieras implicadas en el cumplimiento de la Directiva contra el blanqueo de capitales, así como organizaciones de consumidores.

21 miembros del grupo procedían de las estructuras consultivas existentes (eIDAS, lucha contra el blanqueo de capitales y Comité Mixto de la AES), mientras que las 15 plazas restantes procedían de candidaturas de instituciones financieras y organizaciones de consumidores.

De España participaban dos personas, D. Julián Inza en representación de la AUI (Asociación de Usuarios de Internet) y D. Félix J. Pérez-Campos, Inspector del Sepblac.

Se crearon 2 Grupos de Trabajo:

• Grupo 1 – Estudio sobre las soluciones de on-boarding a distancia existentes en el sector bancario. Se analizaron 25 normativas europeas de identificación del cliente en contexto de lucha contra el blanqueo de capitales a distancia. Se contemplaron más de 50 procesos de identificación a distancia en 10 países. Se definió una taxonomía que clasificaba los procesos en 7 categorías de experiencia de usuario, denominadas en este contexto “Onboarding Customer Journey· (recorridos de embarque) típicos de alto valor.
• Grupo 2 – Marco para soluciones KYC/CDD reutilizables, en particular en el sector bancario. Se definió un Conjunto mínimo de atributos a efectos de DDC (Debida Diligencia de Clientes) en el sector bancario y nivel adecuado de garantía (LoA) según eIDAS (alto, sustancial y bajo)

Se incluyen a continuación los informes generados por los dos grupos de trabajo.

Grupo 1

Informe sobre soluciones de identificación remota en el sector bancario

published-ekyc-expert-group-report-on-existing-remote-on-boarding-solutions-in-the-banking-sector-december2019_enDescarga

Grupo 2

Estructuraa de datos a gestionar en los procesos de identificación remota

published-ekyc-expert-group-assessing-portable-kyc-cdd-solutions-in-the-banking-sector-december2019_enDescarga

Mientras se llevaban a cabo los trabajos de los dos grupos, la Comisión Europea publicó el documento Study on eID and digital onboarding: mapping and analysis of existing onboarding bank practices across the EU de gran interés:

study_on_eid_digital_onboarding_final_reportDescarga