Billetera de identidad digital europea: ¿facilidades para los usuarios o una pesadilla para la privacidad?
El 15 de marzo, el Parlamento Europeo votó 418 a 103 (con 24 abstenciones) a favor de negociar un mandato de conversaciones con los Estados miembros de la Unión Europea sobre la revisión del nuevo marco de Identidad Digital Europea (eID) y la creación de la “billetera europea de identidad digital”, también conocido como billetera EUDI o billetera de la UE.
Los documentos de identidad, las tarjetas sanitarias, los certificados y muchos otros documentos podrían almacenarse pronto digitalmente en una aplicación para teléfonos inteligentes de los ciudadanos de la UE.
Según un comunicado oficial del Parlamento Europeo, el sistema permitiría a los ciudadanos identificarse y autenticarse en línea sin depender de grandes proveedores comerciales como Apple, Google, Amazon o Facebook.
El nuevo marco de identificación digital dará supuestamente a los ciudadanos de la UE acceso digital a servicios públicos clave en toda la UE. Los ciudadanos seguirán teniendo “pleno control de sus datos” y podrán “decidir por sí mismos qué información compartir y con quién”.
Los legisladores europeos han fijado un ambicioso objetivo para este nuevo monedero, que pretende llegar al 80% de la población en 2030. Esto podría lograrse exigiendo que la billetera sea compatible con los servicios de administración electrónica y las empresas que tienen la obligación legal de identificar a sus clientes mediante controles de “conozca a su cliente”. Podría exigirse a las grandes plataformas en línea como Google o Facebook que ofrecieran la billetera de la UE para iniciar sesión en sus servicios, con legislación flexible y actos delegados que podrían exigir a las pequeñas y medianas empresas que brinden soporte a la billetera.
Las negociaciones con el Consejo Europeo sobre la aplicación serían el siguiente paso, pero los expertos en transformación digital y protección de datos tienen dudas y opiniones divergentes sobre la implementación de la billetera.
La usabilidad es la clave de la adopción
La billetera de la UE -como las identificaciones digitales actuales de Alemania y otros países europeos- difícilmente será adoptada por los ciudadanos en su vida cotidiana si no ofrece un buen caso de uso.
El reto consiste en facilitar y hacer más eficiente la interacción de los ciudadanos con los servicios públicos y las administraciones, habilitando procesos de autenticación y verificación, especialmente en el sector privado.
Según Clemens Schleupner, responsable de política de identidad digital y servicios de confianza de la asociación digital alemana Bitkom, la posibilidad de almacenar identificaciones digitales en un smartphone para utilizarlas en línea, así como de digitalizar licencias de conducir, tarjetas sanitarias, pasaportes, entradas, informes escolares, tarjetas de crédito, certificados de socio, etc., y combinarlos en una billetera podría tener un potencial de mercado masivo.
La EUDI Wallet podría hacer que eso sea una realidad; sin embargo, esto sólo tendrá éxito “si se garantiza la adopción entre los ciudadanos en Europa a través de la seguridad y la usabilidad, la relevancia a través de un gran número de usos posibles y la interoperabilidad de diferentes aplicaciones en toda Europa”, dijo Schleupner a Cointelegraph.
La falta de facilidad de uso y de concienciación pública son también preocupaciones importantes para Christof Stein, portavoz del Comisario Federal de Protección de Datos y Libertad de Información (BfDI) de Alemania.
Stein declaró a Cointelegraph que el uso de tecnologías probadas e infraestructuras de confianza con normas de seguridad informática y protección de datos reforzadas es crucial para los ciudadanos que utilicen la billetera digital de la UE.
La privacidad es importante
Como aún no se conocen las normas definitivas, es demasiado pronto para evaluar la cartera de la UE en esta primera fase de aplicación. Para los ciudadanos, es importante que el marco jurídico ofrezca una solución de ahorro de datos que solo permita a las organizaciones solicitar los datos de los usuarios cuando los necesiten.
Según Stein, es fundamental que los usuarios estén protegidos del rastreo por parte de los proveedores de billeteras, y éstos deben garantizar que el manejo de los datos de las billeteras se ajusta a los requisitos legales.
“Lo que se necesita es un ancla central de confianza que permita la aplicación de normas para la protección de las personas. Por ejemplo, la infraestructura debe diseñarse de modo que todas las organizaciones que participen en el sistema deban registrarse para ‘identificarse’ ante los usuarios”.
La anterior propuesta de la Comisión Europea carecía de salvaguardias esenciales de privacidad que habrían permitido a terceros obtener datos sobre las transacciones de los usuarios, permitiendo posiblemente a malos actores explotar el sistema para la usurpación de identidad o el fraude.
Según Thomas Lohninger, director ejecutivo de la ONG austriaca de protección de datos epicenter.works, el Parlamento Europeo ha mejorado drásticamente la ley y ha adoptado una buena posición en la primera lectura. Dijo a Cointelegraph:
“Es poco probable que el Parlamento gane el 100% de las negociaciones a tres bandas. Pero esperamos que el Consejo y la Comisión se den cuenta de que el éxito de todo el sistema depende de la privacidad y la confianza que se consiga. Sólo si es la herramienta de confianza y elegida por los ciudadanos para sus datos sanitarios, de identidad y financieros más delicados, la Billetera Europea de Identidad Digital podrá ser un éxito”.
El problema de la “sobreidentificación”
Lohninger también advirtió de la “sobreidentificación”, es decir, que si se obliga a todos los ciudadanos de la UE a utilizar siempre la billetera, se podría perder el anonimato y el seudonimato en las interacciones del día a día.
Stein, de BfDI, compartía esta opinión, argumentando que no debería existir una obligación general de utilizar la EUDI Wallet y que debería haber alternativas.
El Parlamento Europeo parece haber escuchado estas preocupaciones, ya que una de las salvaguardias más importantes del marco de identidad recientemente aprobado es una cláusula de no discriminación que “protege a cualquiera que decida no utilizar el monedero de la UE, ya sea en el acceso a los servicios gubernamentales, la libertad de empresa o el mercado laboral”.
En el Parlamento Europeo, las cuatro comisiones aprobaron esta salvaguardia con el consenso de todos los partidos. Ahora esta salvaguardia debe superar el diálogo en tres frentes, es decir, las negociaciones con representantes del Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea.
¿Y las pruebas de conocimiento-cero?
Como informó Cointelegraph, la Comisión de Industria, Investigación y Energía de la UE incluyó una norma para las pruebas de conocimiento-cero (pruebas ZK) en sus enmiendas a la identificación digital.
Esta tecnología, que permite la divulgación selectiva de cierta información -como revelar sólo la edad, por ejemplo-, podría convertirse en una función esencial de la billetera de la UE, dijo Stein.
Lohninger, de Epicenter.work, señaló que las pruebas ZK podrían proporcionar “inverosimilitud”. Por ejemplo, alguien podría demostrar su mayoría de edad a otra persona en distintas ocasiones sin que ésta supiera que se trata de la misma persona.
Aunque las pruebas de conocimiento cero permiten anonimizar datos personales, Schleupner ve dos retos. En primer lugar, las pruebas de conocimiento cero en su aplicación actual son “una tecnología nueva y pueden surgir vulnerabilidades si no se implementan correctamente”, y en segundo lugar, “muchos casos de uso [de las pruebas de conocimiento cero] aún no se han evaluado de forma concluyente”.
Antes de confiar en la tecnología, los reguladores de la UE deben asegurarse de que las pruebas de conocimiento cero cumplen la normativa sobre privacidad y satisfacen todos los requisitos específicos del Reglamento General de Protección de Datos.
El diálogo de tres frentes en la UE tiene mucho que considerar antes de convertir la identificación digital en una herramienta utilizable, segura y fiable para los europeos. La forma en que los reguladores equilibren estas consideraciones podría tener profundas implicaciones para otros creadores de documentos de identidad digitales o basados en blockchain.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.