El futur de la identitat digital: garantia, seguretat i confiança
El desenvolupament tecnològic està transformant la nostra societat, i molts d’aquests avenços ja formen part de la nostra vida diària. No obstant, existeixen d’altres àrees encara desconegudes, limitades o poc desenvolupades en alguns països, com és el cas dels sistemes d’identificació i autenticació de persones.
El mecanisme d’identificació i autenticació presencial confiable més utilitzat és, sens dubte, el document oficial d’identitat o el passaport, amb la simple comparació visual de la fotografia. Aquest sistema tradicional no està exempt de risc (i.e. falsificació, usurpació d’identitat, pèrdua de documents, entre d’altres); i no oblidem la situació de països més vulnerables on la identificació de persones és inexistent o pràcticament nul·la.
Darrerament hem vist com s’estan desenvolupant iniciatives, estàndards, protocols i tecnologies amb l’objectiu d’oferir un nou concepte d’identitat i autenticació de persones, la denominada identitat digital. La identitat digital es refereix a tots els atributs vinculats a una persona, i inclou, per exemple, les titulacions acadèmiques, la situació laboral i professional, les dades bancàries i les informacions en registres jurídics i administratius.
Així, l’acceleració de la digitalització viscuda per les empreses i les entitats públiques, juntament amb la valuosa informació de les dades, ha comportat la proliferació d’un nou marc regulatori específic per assegurar la confiança dels usuaris.
En aquest nou paradigma, el Reglament (UE) 910/2014 del Parlament Europeu i del Consell de 23 de juliol del 2014 sobre identificació electrònica i serveis de confiança (conegut com l’eIDAS) és, sens dubte, la clau de volta de la normativa en aquesta matèria, i és el marc normatiu que regeix els serveis d’identificació electrònica a la Unió Europea.
L’objectiu de la identitat digital, tant a la Unió Europea com també en el nostre país amb l’embrionària Llei 35/2014 del 27 de novembre, de serveis de confiança electrònica, com s’indicarà seguidament, respon al reforç de la confiança dels usuaris, les empreses i les administracions públiques en les transaccions electròniques, aconseguint establir alhora un marc normatiu específic que permeti donar una embranzida al comerç electrònic i a les transaccions realitzades tant des de l’esfera pública com privada.
Gràcies a la regulació eIDAS és possible impulsar una economia digital a Europa, tot amb el propòsit d’aconseguir un mercat únic digital (per exemple, l’ús del DNI electrònic que millora l’accessibilitat dels ciutadans als serveis públics). A tall d’exemple, l’eIDAS pot aplicar-se a qualsevol element que tingui un lligam amb la identificació electrònica, els documents electrònics, les signatures electròniques i els serveis de lliurament electrònic. Per tant, l’eIDAS no només estableix un marc de bones pràctiques a nivell europeu, sinó que també persegueix l’augment de la seguretat en les transaccions, tenint en compte la gran amenaça de la ciberdelinqüència.
I relacionat amb la vocació d’aquest mercat únic digital, un punt a destacar és que l’eIDAS determina que els certificats emesos en un estat membre seran vàlids com a mètode d’identificació en un altre país de la Unió Europea, sempre que aquest hagi estat emès per un sistema que respecti les bases consignades a l’eIDAS i disposi d’un nivell de seguretat robust.
Però, temps ha transcorregut des de la comunicació de la Comissió de 26 d'agost del 2010 titulada «Una Agenda Digital per a Europa» on s’assenyalava que la fragmentació del mercat digital, la falta d'interoperabilitat i l'increment de la ciberdelinqüència constituïen obstacles importants per al cicle virtuós de l'economia digital.
Seguint aquesta línia i els recents avenços protagonitzats per les noves tecnologies, el 9 de març de 2021, la Comissió va publicar “Brúixola digital 2030: el camí europeu cap a la dècada digital” que estableix l'objectiu d'un marc de la Unió Europea que, per al 2030, condueixi a un ampli desplegament d'una identitat de confiança controlada per l'usuari que li permeti controlar les seves pròpies interaccions i presència en línia. En aquest sentit, exposava que un enfocament més harmonitzat de la identificació digital hauria de reduir els riscos i els costos de l'actual fragmentació deguda a l'ús de solucions nacionals divergents i enfortiria, en aquest sentit, el mercat únic, permetent, per tant, als ciutadans i a les empreses identificar-se en línia de manera còmoda i uniforme en la Unió Europea. D’aquesta manera, es pot permetre l’accés de manera segura als serveis públics i privats basant-se en un ecosistema millorat de serveis de confiança i en proves d'identitat verificades i certificats d'atributs, tot d’acord i en línia amb la regulació en matèria de protecció de dades personals.
Fruit d’aquestes iniciatives, la Comissió Europea va publicar el passat 3 de juny la seva proposta de modificació del reglament eIDAS. Aquesta proposta, en paraules de la Comissió, pretén proporcionar mecanismes d’identificació i autenticació d’usuaris amb un alt nivell de garantia i confiança, en serveis públics i privats, i que puguin ésser reconeguts a la Unió Europea.
L’anterior encaixa dins l’objectiu de la identitat digital europea que pretén oferir la seguretat i el control dels usuaris sobre qui té accés a les dades. Això requereix un alt nivell de seguretat, noves formes de custòdia de dades (i.e. cartera europea d’identitat digital), i una infraestructura propícia per a recopilar, emmagatzemar i divulgar les dades d’identitat digital.
La proposta supera les mancances del reglament eIDAS (i.e. inclusió de nous serveis de confiança electrònica, com la prestació de serveis d'arxiu electrònic, els llibres electrònics i la gestió de dispositius de creació de segells i signatures electròniques a distància) i es proposa un concepte d’identitat digital molt més ampli que el sistema d'identificació electrònica anterior, apostant, com hem vist, per un model d'identitat digital autosobirana (SSI).
Però la novetat radica també en la creació d’un European Digital Identity Wallet (Cartera d'Identitat Digital Europea) per a les persones físiques i jurídiques, que podran obtenir, emmagatzemar i intercanviar les seves dades i les credencials d'atributs d'identitat, i crear signatures electròniques qualificades amb aquesta cartera; certificacions que tindran el mateix efecte jurídic que la certificació expedida en paper.
En definitiva, l’objectiu de la SSI com a model d'identitat digital és permetre als usuaris mantenir un control complet sobre les seves dades i una total independència sobre els proveïdors i intermediaris. Casos d’ús els trobarien en la presentació de la declaració de la renda o qualsevol tràmit administratiu, matricular-se en una universitat, realitzar operacions bancàries i financeres, llogar un cotxe o, fins i tot, la creació d’una empresa.
Tanmateix, i malgrat que Andorra no és un Estat Membre de la Unió Europea, l’ordenament jurídic andorrà ja disposava d’una normativa molt similar, la Llei 35/2014, del 27 de novembre, de serveis de confiança electrònica (que amb la modificació recent passa a anomenar-se, de certificació i confiança electrònica) que derogava la Llei 6/2009 del 29 de desembre de signatura electrònica. Dita llei ha estat desenvolupada per ser l’equivalent europeu i, en la pràctica, podrà esdevenir una oportunitat per al nostre país.