Por: Carlos A. FERREYROS SOTO
Université de Montpellier I Francia.
RESUMEN
El presente Dictamen del Comité Europeo de las Regiones presenta algunas Recomendaciones de enmienda al Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea:
Apoya la demanda de una solución de identidad digital, denominada «cartera (de identidad) digital». Esta «cartera digital» debe permitir a los ciudadanos probar su identidad, también a través de dispositivos móviles, para poder acceder a los servicios en línea de la administración pública, intercambiar documentos digitales o simplemente acreditar una determinada información personal, como la edad. Esto será posible sin revelar su identidad u otros datos personales. La cartera de identidad digital europea no se limita a los datos de identidad personal en sentido estricto (EUID), sino que también incluirá otros documentos (oficiales) en formato electrónico, como permisos de conducción o cualificaciones educativas.
Apoya el objetivo de la Comisión Europea de seguir desarrollando el Reglamento eIDAS para su utilización en actividades económicas a la luz de los cambios en las demandas del mercado, al tiempo que se sigue haciendo uso de los medios nacionales de identificación notificados hasta el momento. Los medios de identificación electrónica seguros revisten especial importancia para la digitalización de los procedimientos administrativos.
Pide
que la propuesta de la Comisión Europea relativa a una identidad digital
europea incluya disposiciones claras en materia de protección de datos, que
deben respetar los principios establecidos en el Reglamento general de
protección de datos (RGPD), en particular la economía de los datos, la
privacidad de los datos y una justificación adecuada, así como garantizar que
los usuarios puedan controlar qué datos desean compartir y con quién.
__________________________________________________________________
Dictamen del Comité Europeo de las Regiones — Identidad Digital Europea
(2022/C 61/09)
|
I. RECOMENDACIONES DE ENMIENDA
Enmienda 1
COM(2021) 281
Artículo 1, punto 4
Reglamento (UE) n.o 910/2014
Artículo 5
Texto de la Comisión Europea | Enmienda del CDR |
Seudónimos en transacciones electrónicas Sin perjuicio de los efectos jurídicos que la legislación nacional contemple para los seudónimos, no se prohibirá su utilización en las transacciones electrónicas. | Seudónimos en transacciones electrónicas Sin perjuicio de los efectos jurídicos que la legislación nacional contemple para los seudónimos, no se prohibirá su utilización en las transacciones electrónicas ni en las redes sociales . |
Exposición de motivos
Las redes sociales no pueden prohibir el uso de seudónimos remitiéndose a la cartera de identidad digital.
Enmienda 2
COM(2021) 281
Artículo 1, punto 7
Reglamento (UE) n.o 910/2014
Artículo 6 bis, apartado 1
Texto de la Comisión Europea | Enmienda del CDR |
A los efectos de garantizar que todas las personas físicas y jurídicas dispongan de acceso seguro, de confianza y sin incidencias a servicios públicos y privados transfronterizos en la Unión, cada Estado miembro emitirá una cartera de identidad digital europea dentro de los doce meses siguientes a la entrada en vigor del presente Reglamento. | A los efectos de garantizar que todas las personas físicas y jurídicas dispongan de acceso seguro, de confianza y sin incidencias a servicios públicos y privados transfronterizos en la Unión, cada Estado miembro emitirá una cartera de identidad digital europea dentro de los veinticuatro meses siguientes a la entrada en vigor del presente Reglamento. |
Exposición de motivos
La experiencia demuestra que las carteras de identidad digital serán un objetivo predilecto de ataques informáticos. En un entorno tan delicado de datos personales de identificación, la calidad tiene preferencia sobre la rapidez. Los plazos fijados para la transposición a escala nacional son demasiado cortos (dependiendo también en parte de las disposiciones de la Directiva SRI 2). Por lo tanto, es necesario ampliar el período transitorio.
Enmienda 3
COM(2021) 281 final — Parte 1
Artículo 1, punto 7
Reglamento (UE) n.o 910/2014
Artículo 6 bis, apartado 12 (nuevo)
Texto de la Comisión Europea | Enmienda del CDR |
| La cartera de identidad digital europea solo será accesible a las personas menores de 18 años a condición de que su identidad haya sido autenticada mediante un documento de identidad electrónico del representante legal del menor que sea responsable de este. |
Exposición de motivos
La cartera de identidad digital europea servirá como prueba de identidad tanto en línea como fuera de línea. Los menores no pueden ser considerados plenamente responsables ni rendir cuentas en lo que respecta a las posibles implicaciones o consecuencias jurídicas.
Enmienda 4
COM(2021) 281 final — Parte 1
Artículo 1, punto 7
Reglamento (UE) n.o 910/2014
Artículo 6 quater, apartado 5
Texto de la Comisión Europea | Enmienda del CDR |
Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 3. La Comisión pondrá dicha información a disposición de los Estados miembros. | Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 3. La Comisión pondrá dicha información a disposición de los Estados miembros en un plazo máximo de seis meses a contar desde la entrada en vigor del Reglamento . |
Exposición de motivos
La enmienda modifica el artículo 6 quater, apartado 5, del Reglamento (UE) n.o 910/2014, ya que es conveniente establecer un plazo máximo de comunicación.
Enmienda 5
COM(2021) 281
Artículo 1, punto 9
Reglamento (UE) n.o 910/2014
Artículo 7
Texto de la Comisión Europea | Enmienda del CDR |
«[…] en un plazo máximo de doce meses a contar desde la entrada en vigor […]». | «[…] en un plazo máximo de veinticuatro meses a contar desde la entrada en vigor […]». |
Exposición de motivos
La experiencia demuestra que las carteras de identidad digital serán un objetivo predilecto de ataques informáticos. En un entorno tan delicado de datos personales de identificación, la calidad tiene preferencia sobre la rapidez. Los plazos fijados para la transposición a escala nacional son demasiado cortos (dependiendo también en parte de las disposiciones de la Directiva SRI 2). Por lo tanto, es necesario ampliar el período transitorio.
Enmienda 6
COM(2021) 281
Artículo 1, punto 11
Reglamento (UE) n.o 910/2014
Artículo 10 bis, apartado 4
Texto de la Comisión Europea | Enmienda del CDR |
La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 6 quinquies, sin dilaciones indebidas. | La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 6 quinquies, sin dilaciones indebidas, y las facilitará en una lista separada . |
Exposición de motivos
Una lista clara (lista de bloqueo) facilitará su uso.
Enmienda 7
COM(2021) 281 — Parte 1
Artículo 1, punto 12
Reglamento (UE) n.o 910/2014
Artículo 11 bis, apartado 4 (nuevo)
Texto de la Comisión Europea | Enmienda del CDR |
| Los Estados miembros garantizarán, gracias a medios de identificación únicos, que ningún ciudadano sea titular de dos o más carteras de identidad digital europea en caso de poseer más de una nacionalidad o ser residente en más de un Estado miembro. |
Exposición de motivos
Debe garantizarse que los ciudadanos que tengan más de una nacionalidad o sean residentes en más de un Estado miembro de la UE solo puedan obtener una única cartera de identidad digital europea.
Enmienda 8
COM(2021) 281 — Parte 1
Artículo 1, punto 14
Reglamento (UE) n.o 910/2014
Article 12 bis, apartado 3
Texto de la Comisión Europea | Enmienda del CDR |
Los Estados miembros notificarán a la Comisión los nombres y direcciones del organismo público o privado a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de los Estados miembros. | Los Estados miembros notificarán a la Comisión los nombres y direcciones del organismo público o privado a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de los Estados miembros en un plazo máximo de seis meses a contar desde la entrada en vigor del Reglamento . |
Exposición de motivos
La enmienda modifica el artículo 12 bis, apartado 3, del Reglamento (UE) n.o 910/2014, ya que es conveniente establecer un plazo máximo de comunicación.
Enmienda 9
COM(2021) 281
Artículo 1, punto 29
Reglamento (UE) n.o 910/2014
Artículo 30, apartado 3 bis
Texto de la Comisión Europea | Enmienda del CDR |
La certificación a que se refiere el apartado 1 tendrá una validez de cinco años, condicionada a la realización de una evaluación periódica de las vulnerabilidades cada dos años. Cuando se identifiquen vulnerabilidades y no se subsanen, se retirará la certificación. | La certificación a que se refiere el apartado 1 tendrá una validez de cinco años, condicionada a la realización de una evaluación periódica de las vulnerabilidades cada dos años. Cuando se identifiquen vulnerabilidades y no se subsanen, se retirará la certificación. La certificación podrá recuperarse tras un período de espera mínimo de dos años y la realización de una nueva evaluación de las vulnerabilidades. |
Exposición de motivos
Parece razonable establecer un plazo de espera para la recuperación de la certificación, ya que debería seguir existiendo la posibilidad de subsanar las vulnerabilidades tras una nueva configuración técnica fundamental.
II. RECOMENDACIONES POLÍTICAS
EL COMITÉ EUROPEO DE LAS REGIONES
Introducción
| 1. apoya la demanda de una solución de
identidad digital, denominada «cartera (de identidad) digital». Esta «cartera
digital» debe permitir a los ciudadanos probar su identidad, también a través
de dispositivos móviles, para poder acceder a los servicios en línea de la
administración pública, intercambiar documentos digitales o simplemente
acreditar una determinada información personal, como la edad. Esto será posible
sin revelar su identidad u otros datos personales;
2. acoge
con satisfacción las propuestas de la Comisión Europea para la creación de una
identidad digital europea, que van hasta el establecimiento de una cartera de
identidad digital europea más completa, y las modificaciones necesarias para
ello del Reglamento eIDAS. Por otra parte, la cartera de identidad digital
europea no se limita a los datos de identidad personal en sentido estricto
(EUID), sino que también incluirá otros documentos (oficiales) en formato
electrónico, como permisos de conducción o cualificaciones educativas;
3. apoya
el objetivo de la Comisión Europea de seguir desarrollando el Reglamento eIDAS
para su utilización en actividades económicas a la luz de los cambios en las
demandas del mercado, al tiempo que se sigue haciendo uso de los medios
nacionales de identificación notificados hasta el momento. Los medios de
identificación electrónica seguros revisten especial importancia para la
digitalización de los procedimientos administrativos;
4. pide
que la propuesta de la Comisión Europea relativa a una identidad digital
europea incluya disposiciones claras en materia de protección de datos, que
deben respetar los principios establecidos en el Reglamento general de
protección de datos (RGPD), en particular la economía de los datos, la
privacidad de los datos y una justificación adecuada, así como garantizar que
los usuarios puedan controlar qué datos desean compartir y con quién;
5. considera
que la cartera de identidad digital europea, a través de su funcionalidad
universal y, en particular, su aplicación móvil, es una herramienta que
facilitará la participación social y que, gracias a su uso en toda la UE, puede
convertirse en un elemento concreto de la identidad europea en la mente de
todos los ciudadanos de la Unión; Ventajas
para los ciudadanos 6. considera
que la creación de una cartera de identidad digital europea constituye una gran
oportunidad para afianzar una identidad de la UE físicamente perceptible y
utilizable en la práctica por los ciudadanos también en el mercado interior
común. La cartera de identidad digital europea creará un identificador único
vinculante para todas las partes implicadas, con un carácter simbólico que va
más allá de su utilidad puramente técnica;
7. observa
que la cartera de identidad digital europea es esencialmente una tecnología
móvil que puede conservar su funcionalidad incluso con el desarrollo futuro de
los dispositivos habituales hasta ahora (teléfonos o relojes inteligentes).
Otros avances, como las gafas digitales (por ejemplo, gafas de realidad
aumentada o avatares digitales) u otros aparatos digitales para la vida diaria
similares, deberían poder utilizar la cartera de identidad digital europea a
través de una interfaz adecuada (en su caso, óptica);
8. recomienda
que el desarrollo y la implantación de la identificación electrónica europea y
la cartera de identidad digital europea se lleven a cabo con vistas a una
prestación de servicios que tenga un verdadero valor añadido transfronterizo
para los ciudadanos;
9. hace
hincapié en la necesidad de garantizar la autonomía y la no discriminación de
todos los usuarios y, por tanto, recomienda indicar claramente en la
Comunicación que, al ofrecer servicios a personas físicas, no puede ejercerse
ninguna coacción indirecta para la utilización de la cartera de identidad
digital europea. Su utilización es, por principio, un acto voluntario;
10. subraya que la cartera de identidad digital
europea debe percibirse como una oferta a los ciudadanos para que sea bien
recibida por la sociedad civil;
11. pide que se desarrolle un diseño sencillo, más
allá de la protección de datos y la accesibilidad, como una caja de
herramientas que permita el acceso a la cartera de identidad digital europea
también a las personas con pequeñas limitaciones o desconocimiento de la lengua
(por ejemplo, mediante un mayor uso de pictogramas);
12. recomienda que se establezcan normas para
regular la utilización de identidades digitales por parte de menores, o en
situaciones de tutela o curatela, así como para el tratamiento de las
identidades digitales en caso de fallecimiento; La
participación de la comunidad empresarial 13. considera que la estrecha participación de los
líderes tecnológicos es un factor esencial para el éxito de esta iniciativa,
sobre todo teniendo en cuenta la apertura de la normativa actual en relación
con las empresas. Solo una solución ajustada al mercado ofrece una garantía de
que pueda utilizarse en la UE;
14. recuerda un aspecto esencial relacionado con
la funcionalidad económica, mediante el uso de interfaces de pago electrónico
(Paypal, Google/Apple-Pay, SWIFT, etc.), que actualmente se basan en cuentas de
usuario específicas en la actividad económica. Una cartera de identidad digital
europea debe tener en cuenta la normativa pertinente en relación con el
«blanqueo de capitales» y el «dinero digital» (bitcóin, ethereum, euro digital,
etc.);
15. pide que, al utilizar la cartera de
identidad digital europea en la economía, se tenga en cuenta la existencia de
dos modelos empresariales que compiten en cuanto a su contenido. Por una parte, están las principales redes sociales
mundiales que tienen un comprensible interés en la validación de sus cuentas
ficticias, en su caso, a través de una institución pública. Sin embargo, esto
socavaría la libertad de utilizar internet y empujaría aún más a los usuarios a
la red oscura, fuera de la zona protegida de internet. No hay ningún interés en
ello desde el punto de vista del Comité de las Regiones. Por otra parte, hay proveedores
de identidad que hacen ofertas que compiten con la cartera de identidad digital
europea, para lo que desean aprovechar igualmente una identidad validada por
una institución pública;
16. recomienda que el método de control de las
credenciales de acceso de las empresas mediante la identificación de la parte
que accede por medio de un certificado seguro se configure de manera que se
limite la validez del certificado en el tiempo o se compruebe su validez a
intervalos regulares. El Comité de las Regiones valora positivamente las
reflexiones similares sobre los proveedores de servicios de confianza, pero
señala que la justificación de la demanda de datos de la cartera de identidad
digital europea por parte de instituciones u organizaciones también debe
protegerse contra los abusos;
17. señala que en algunos Estados miembros ya se
han desarrollado y utilizado soluciones digitales para los sectores público y
privado. Estas características específicas de cada país deben integrarse, en la
medida de lo posible, en la identificación electrónica europea. En primer
lugar, porque los cambios en los sistemas existentes supondrían una carga
administrativa y financiera considerable. En segundo lugar, porque los
ciudadanos de estos Estados miembros han adquirido a lo largo de los años un
alto grado de confianza en los sistemas existentes que no debería ponerse en
riesgo por la introducción de la identificación electrónica europea; Implantación
y participación de los Estados miembros 18. recomienda vivamente, por tanto, que los
expertos nacionales participen estrechamente en el desarrollo de un conjunto de
herramientas comunes, tal como se recomienda a los Estados miembros en la
propuesta legislativa de la Comisión, de modo que se adopte un enfoque
coordinado que cree el marco técnico necesario para la cartera de identidad
digital europea. Deben tenerse en cuenta los
ejemplos de buenas prácticas existentes, como los resultados y las experiencias
de los proyectos nacionales alemanes «Identidades digitales» y «Vitrina de
identidades digitales seguras»;
19. considera necesario, a la hora de examinar los
costes y gastos ocasionados por la planificación, recopilar también los
parámetros nacionales y fusionarlos en un plan global de la UE proporcionado a
los costes. En particular, además de los plazos en la UE, deben recogerse e
incluirse los calendarios nacionales de implantación;
20. pide que en la planificación general se
tenga en cuenta el gasto en recursos humanos y el coste monetario para la
implantación en los Estados miembros y en los entes regionales y locales. La
cartera de identidad digital europea será un éxito si puede utilizarse con
frecuencia. Para esto, es esencial el papel
que desempeñen, junto a las empresas, las administraciones de todos los niveles
de los Estados miembros, que tendrán una participación cada vez mayor no solo
por sus propias actividades sino también por las iniciativas de la Comisión. En
este sentido, la Directiva de servicios de la UE o la pasarela de la UE aportan
valiosas contribuciones a la digitalización del mercado único de la Unión;
21. propone que se diseñe progresivamente la
implantación, especialmente en la fase inicial. Esto es importante en vista de
la participación (en ocasiones por completo nueva) de actividades económicas
parcialmente no reguladas en el uso de identidades electrónicas con un nivel de
garantía de «sustancial» a «alto» como parte del desarrollo futuro del actual
marco del Reglamento eIDAS; Protección
de datos y ciberseguridad 22. advierte contra la implantación demasiado
rápida de la solución de la cartera de identidad digital europea, a causa de
los riesgos técnicos que conlleva el almacenamiento centralizado de datos de
identidad en una aplicación principalmente móvil. Una solución de este tipo se
verá sin duda como un objetivo prioritario de ciberataques de todo tipo y, por
lo tanto, debe resistir las amenazas que puedan presentarse en cada momento;
23. llama la atención sobre la importancia de
definir de manera adecuada los sistemas de certificación para las carteras de
identidad digital y los sistemas de identificación electrónica, cuyo desarrollo
no debería estar a cargo de una entidad comercial sino de la Agencia de la
Unión Europea para la Ciberseguridad (ENISA), en estrecha cooperación con
grupos de expertos, incluidos representantes de los entes locales y regionales;
24. llama la atención sobre el riesgo que supone
agrupar de forma centralizada tipos de identidad con diferentes niveles de
confidencialidad en un único componente técnico. Si fueran objeto de un uso no
autorizado por terceros, existen riesgos significativos para el usuario
autorizado. Habría que contar, aparte del perjuicio económico, con perjuicios
para la reputación y el honor. También el phishing personalizado podría causar
daños importantes;
25. pide que la implantación técnica de la
cartera de identidad digital europea se lleve a cabo de forma que quede
protegida lo suficiente contra los ciberataques y que incorpore posibilidades
de bloqueo y sistemas reservados seguros de copia de seguridad que permitan una
reinstalación segura por parte del titular. La protección de la cartera de
identidad digital europea debe concebirse como un proceso permanente. La
seguridad desde la fase del diseño es la base para el éxito de su uso duradero
y también es indispensable para las empresas usuarias, por lo que debe figurar
ya en el conjunto de herramientas;
26. considera que, además de los requisitos de
protección de datos, accesibilidad y ciberseguridad, un factor fundamental para
el éxito es una solución metódicamente coherente (que proporcione información y
documentación) y adaptada al grupo destinatario de usuarios;
27. propone que se establezcan normas vinculantes
que obliguen a los proveedores de servicios a facilitar el acceso a los datos
de la cartera de identidad digital europea de manera sencilla y transparente
mediante herramientas uniformes (por ejemplo, el panel de control) y
presentarlo de forma visible a los usuarios;
28. pide que el proyecto de identificación
electrónica europea se diseñe de manera que esté en consonancia con el objetivo
de alcanzar la resiliencia digital de Europa y promueva el objetivo de la
soberanía digital de Europa;
29. recomienda que se verifique en qué medida,
mediante la creación de una caja de herramientas de fuente abierta certificada
y ofrecida por la UE, se podría constituir una plataforma técnica general para
las funciones básicas de la cartera de identidad digital europea; la UE
coordinaría el mantenimiento y el desarrollo de dicha caja de herramientas; Participación
en los procesos de utilización 30. recomienda que, al implantar la cartera
de identidad digital europea en aplicaciones específicas, se exija un proceso
de uso coherente que sea comprensible para el grupo de usuarios al que va
dirigido. La cartera de identidad digital
europea debe ser un componente que se adapte sin problemas a las situaciones en
las que se va a utilizar, con interfaces sencillas para la transferencia de
datos a la aplicación, y que se presente de forma visible como un producto de
la UE mediante unos símbolos y un diseño únicos;
31. propone que se normalice el acceso a la
cartera de identidad digital europea, de modo que los usuarios puedan autorizar
su uso o acceso de manera casi rutinaria, teniendo también en cuenta los
requisitos de minimización de datos, lo que, por una parte, facilitará su
manejo y, por otra, permitirá evitar que las personas menos familiarizadas con
las herramientas informáticas la empleen incorrectamente; Comunicación
y aceptación 32. considera necesario dirigir a la población de
la UE una campaña intensiva sobre la cartera de identidad digital europea y las
oportunidades que ofrece para su utilización en el mercado interior de la
Unión, así como sobre las salvaguardias para la protección y la seguridad de
los datos; señala que la conectividad de alta velocidad para todos en la Unión
Europea, incluidas las zonas rurales y remotas, es un requisito previo para que
la ciudadanía utilice y acepte la cartera de identidad digital europea;
33. aboga por una extensión de la utilización
original de la cartera de identidad digital europea para crear una identidad de
la UE en todo el mundo, con las funciones propias de un pasaporte (por ejemplo,
la consignación digital de un visado) o de un certificado oficial de vacunación
de la UE. En este sentido, mediante futuros acuerdos sería posible utilizar la
cartera de identidad digital europea, con los datos que contenga, también fuera
de la UE;
34. insta a la Comisión Europea a que entable
intensos debates y negociaciones con proveedores de equipos para la provisión
técnica de la cartera de identidad digital europea a los usuarios finales. El
objetivo es que la base técnica esté disponible lo antes posible también en
dispositivos del sector de bajo precio. En la actualidad, se dispone de
las primeras familias de dispositivos de la gama de precios media y alta con
una certificación suficiente para el nivel «sustancial» de confianza en el
marco del Reglamento eIDAS. A la hora de difundir la cartera de identidad
digital europea, también es útil que las empresas, en su calidad de proveedores
de servicios, participen en la medida de lo posible en esta difusión; Subsidiariedad 35. observa que la propuesta respeta el principio
de subsidiariedad. Un proyecto técnico a escala de la UE de tal calibre solo
tendrá la repercusión que le corresponde si las normas son suficientemente
uniformes. Su diseño específico queda reservado a las disposiciones nacionales
respectivas. En el conjunto de herramientas solo deberán evaluarse las que se
utilicen de forma transversal. |
Bruselas, 12 de octubre de 2021.
El Presidente del Comité Europeo de las Regiones
Apostolos TZITZIKOSTAS
No hay comentarios:
Publicar un comentario