PyE
La presidencia checa del Consejo de la UE hizo circular la semana pasada un nuevo texto de compromiso sobre la propuesta de Identidad Digital Europea (eID), un archivo que hasta ahora ha tenido un progreso limitado debido a su complejidad técnica.
El documento será discutido en las reuniones del Grupo de Trabajo de Telecomunicaciones del Consejo de la UE los días 5 y 8 de septiembre. Los representantes nacionales podrán presentar sugerencias de redacción específicas hasta el 12 de septiembre.
El compromiso sigue a una discusión que tuvo lugar en julio donde, con la significativa excepción de Francia y Alemania, todos los estados miembros presionaron para que la billetera digital sea un medio de identificación por derecho propio, en lugar de solo un «caparazón vacío».
El cambio más significativo ahora es que se han agregado las Carteras Europeas de Identidad Digital como medio de identificación electrónica.
El compromiso incluye una definición de «identificador único y persistente» como «un identificador que puede consistir en datos de identificación nacionales o sectoriales únicos o múltiples, está asociado con un solo usuario dentro de un sistema dado y es persistente en el tiempo».
El artículo sobre identificación única se ha cambiado por coincidencia de registros, un sistema más complejo y respetuoso con la privacidad que permite identificar a una persona mediante la coincidencia de varios segmentos de datos personales. Sin embargo, un identificador único todavía es posible según la legislación nacional y la práctica administrativa, donde este último concepto se deja sin definir.
Los servicios públicos y privados que pretendan utilizar la billetera europea con fines de identificación deberán registrarse en los estados miembros donde estén establecidos, una salvaguarda ya incluida bajo la presidencia francesa de la UE, ya que estos servicios estarían procesando datos personales.
Se han incluido nuevas especificaciones para que estos servicios puedan registrarse, pero los checos también incluyeron una excepción para el registro en caso de que la interacción se produzca en ‘modo completamente fuera de línea’.
Por ejemplo, si un usuario muestra un código QR y el proveedor de servicios lo escanea, calificaría como totalmente fuera de línea si la información del código escaneado permanece en el dispositivo y no se transmite a un servidor.
“Desde la perspectiva de la privacidad, no tiene absolutamente ningún sentido”, dijo Thomas Lohninger, director ejecutivo de Epicenter.works, una organización de defensa de los derechos digitales, y enfatizó que una situación física podría, de hecho, presionar aún más a los usuarios para que acepten renunciar a más datos que los estrictamente necesarios.
Para Lohninger, dado que los sistemas de identificación electrónica podrían volverse omnipresentes en los próximos diez años, necesitan garantías sólidas de protección de datos, mientras que los checos están «sacrificando la privacidad por la facilidad de los negocios».
Por ejemplo, el texto no cubre el procesamiento de datos adicional que podría ocurrir después de la interacción.
Un punto de discusión es si los estados miembros podrían proporcionar, siguiendo la legislación nacional, funcionalidades adicionales como la interoperabilidad con las identificaciones electrónicas existentes.
Además, Praga propuso que la verificación de la identidad del usuario la lleven a cabo proveedores certificados solo en el nivel de garantía más alto en lugar del nivel intermedio ‘sustancial’ también.
La conformidad de las Carteras Europeas de Identidad Digital con los requisitos establecidos en el reglamento será certificada por organismos públicos y privados acreditados. La presidencia checa considera que esta acreditación debe durar dos años e incluir una evaluación de las vulnerabilidades que, de no ser abordadas, pueden conducir a la cancelación de la certificación.
Se ha agregado una referencia a la Ley de Mercados Digitales, que establece que los emisores de billeteras de identidad digital europeas se considerarán usuarios comerciales al considerar los umbrales que califican a las empresas como guardianes.
Las disposiciones sobre la dependencia transfronteriza se han atribuido solo a las billeteras digitales, y se agregaron pagos y dinero electrónico a la lista de sectores que pueden usar la billetera sin una base legal, simplemente debido a sus términos de servicio.
Además, los checos están poniendo a discusión la cuestión de si la Comisión debe tener el poder de adoptar legislación secundaria y exigir la aceptación de la billetera de identificación digital europea por parte de servicios privados adicionales en función de la demanda de los usuarios.
El texto proporciona dos opciones para la fecha límite para que los proveedores de servicios confiables y calificados informen a las autoridades pertinentes sobre infracciones o interrupciones, ya sea 24 o 72 horas.
Además, las autoridades nacionales de ciberseguridad en virtud de la Directiva revisada de seguridad de la información y las redes (NIS2) deberán informar a las autoridades de supervisión si estos servicios cumplen con los requisitos de ciberseguridad de la UE en un plazo de dos meses o justificar la demora.
Para las firmas y sellos electrónicos avanzados, la presidencia dejó abierta la opción de que la Comisión tenga la oportunidad o la obligación de establecer números de referencia de las normas.
Se eliminan las referencias a los estados miembros que deben reconocer tales firmas y sellos electrónicos calificados, mientras que se agregan nuevos artículos que enumeran los requisitos para su validación.
Se introdujo un artículo que ordena el reconocimiento mutuo de los servicios de entrega certificados electrónicamente calificados entre todos los países de la UE.
En cuanto al plazo de implementación, la presidencia señaló que se invitará a los representantes nacionales a una discusión general “una vez que el texto esté más estable”. El plazo para que la Comisión revise el reglamento se ha movido de dos a tres años desde la entrada en vigor.
La presidencia tiene la intención de organizar un taller técnico para aclarar el proceso de registro de organizaciones que utilizan las billeteras europeas de identidad digital y el proceso de certificación.
[Edited by Zoran Radosavljevic]
