accesskey_mod_content

O Consello da UE avanza cara á carteira dixital da UE, un cambio de paradigma para a identidade dixital en Europa

  • Escoitar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

07 decembro 2022

O Consello adopta a súa posición común («orientación xeral») sobre a proposta lexislativa en relación co marco para unha Identidade dixital Europea (eID). 

O regulamento revisado ten como obxectivo garantir o acceso universal das persoas e as empresas a unha identificación e autenticación electrónicas seguras e confiables por medio dunha carteira dixital persoal nun teléfono móbil.

En xuño de 2021, a Comisión propuxo un marco para unha identidade dixital Europea que estaría dispoñible para todos os cidadáns, residentes e empresas da UE a través dunha carteira de identidade dixital europea.

O novo marco proposto modifica o regulamento de 2014 sobre identificación electrónica e servizos de confianza para transaccións electrónicas no mercado interior (regulamento eIDAS), que sentou as bases para acceder de forma segura aos servizos públicos e realizar transaccións en liña e transfronteirizas na UE.

A proposta require que os estados membros emitan unha carteira dixital baixo un esquema de identificación electrónica notificado, baseado en estándares técnicos comúns, e tras unha certificación obrigatoria. Para establecer a arquitectura técnica necesaria, acelerar a implementación da regulación revisada, proporcionar pautas aos estados membros e evitar a fragmentación, a proposta está acompañada dunha recomendación para o desenvolvemento dunha caixa de ferramentas da Unión que define as especificacións técnicas da carteira.

A carteira Europea de identidade dixital

Un dos principais obxectivos políticos da proposta é proporcionar aos cidadáns e outros residentes, tal como defíneos a lexislación nacional, un medio de identidade dixital europeo normalizado baseado no concepto de carteira Europea de identidade dixital.

Como medio de identificación electrónica («eID medio») emitido no marco dos sistemas nacionais cun nivel de garantía «alto», a Carteira sería un medio de identidade electrónicda (eID) por dereito propio baseado na emisión de datos de identificación persoal e a carteira por parte dos estados membros. Por tanto, o texto da orientación xeral do Consello desenvolve aínda máis o concepto da carteira e a súa interacción cos medios de identificación electrónica nacionais.

Niveis de seguridade

Os niveis de garantía deberían caracterizar o grao de confianza nos medios de identificación electrónica, proporcionando así seguridade de que a persoa que reclama unha identidade particular é de feito a persoa á que se lle asigna esa identidade. Neste sentido, a carteira debe emitirse dentro dun sistema de identificación electrónica que cumpra co nivel de garantía "alto".

Ademais, agregouse unha disposición específica sobre a incorporación de rexistro de usuarios para abordar as preocupacións dos estados membros onde xa se emitiu unha cantidade significativa de medios nacionais de identificación electrónica no nivel de garantía "substancial".

A disposición permite a un usuario utilizar os seus medios nacionais de identificación electrónica xunto con procedementos adicionais de incorporación remota para facer posible a proba de identidade cun nivel de seguridade "alto" e, en última instancia, para obter unha carteira.

Dado que o borrador do regulamento de identificación electrónica baséase en esquemas de certificación de ciberseguridade que deberían xerar un nivel harmonizado de confianza na seguridade das carteiras, espérase que o almacenamento seguro de material criptográfico tamén estea suxeito á certificación de ciberseguridade.

Por tanto, o texto contén un novo considerando que aborda estas condicións técnicas previas para lograr un nivel de garantía "alto" e permitir un proceso de seguimento dentro da implementación de carteiras de identidade dixital europeas.

Notificación de pártelas usuarias

Hase reformulado a parte da proposta sobre a notificación de pártelas usuarias. Como regra xeral, o proceso de notificación por medio do cal a parte usuaria comunica a súa intención de confiar na carteira debe ser rendible, proporcional ao risco e garantir que a parte usuaria proporciona polo menos a información necesaria para identificarse na carteira.

De maneira predeterminada, só requírese información mínima e a notificación debe permitir o uso de procedementos de autoinforme simples ou automatizados.

No entanto, pode ser necesario un réxime específico debido a requisitos sectoriais, como os aplicables ao tratamento de categorías especiais de datos persoais. Por tanto, introduciuse unha disposición destinada a cubrir os casos nos que se require un procedemento de rexistro ou autorización máis estrito.

Pola contra, cando a lexislación nacional ou da Unión Europea non estableza requisitos específicos para acceder á información proporcionada por medio da carteira, os estados membros poden eximir a ditas partes usuarias da obriga de notificar a súa intención de confiar nas carteiras.

Certificación

A regulación debe aproveitar, depender e esixir o uso de esquemas de certificación da Lei de Ciberseguridade relevantes e existentes, ou partes dos mesmos, para certificar o cumprimento das carteiras, ou partes das mesmas, cos requisitos de ciberseguridade aplicables.

En consecuencia, o marco do Regulamento sobre a Ciberseguridade aplícase plenamente, incluído o mecanismo de revisión por pares entre as autoridades nacionais de certificación de ciberseguridade previsto no Regulamento.

Para aliñar a regulación de eID e a Lei de Ciberseguridade na medida do posible, os estados membros designarán organismos públicos e privados acreditados para certificar a carteira segundo o disposto no Regulamento sobre a Ciberseguridade.

Período de aplicación para a prestación da carteira e taxas

Baseado na orientación dos estados membros, o texto do Consello propón que o período de aplicación de 24 meses cóntese a partir da adopción dos actos de execución.

O texto tamén aclara que a emisión, o uso para a autenticación e a revogación das carteiras deben ser gratuíta para as persoas físicas.

Con todo, cando se utilizan carteiras para a identificación, ou os servizos que dependen do uso da carteira poden incorrer en custos, por exemplo, a emisión de certificacións electrónicas de atributos da carteira dixital.

Acceso a funcións de hardware e software

O texto establece unha articulación explícita coa lexislación existente, o que garante o acceso ás funcións de equipamentos informáticos (hardware) e dos programas informáticos (software) como parte dos servizos da plataforma central proporcionados polos porteiros.

Unha disposición recentemente agregada aclara que os provedores de carteiras e os emisores de medios de identificación electrónica notificados que actúan en capacidade comercial ou profesional son usuarios comerciais de porteiros dentro do significado da definición en Regulamento de Mercados Dixitais (DMA).

Tamén se agregou texto para delinear a implicación da interconexión co Regulamento de Mercados Dixitais (DMA), a saber, que se debe esixir aos porteiros que garantan, de forma gratuíta, a interoperabilidade efectiva e o acceso con fins de interoperabilidade ao mesmo sistema operativo, hardware ou software, características que están dispoñibles ou se utilizan na prestación dos seus propios servizos complementarios e de apoio.

Alternativas para a expedición da declaración electrónica de atributos por parte de organismos públicos

Mantívose a emisión de certificados electrónicos cualificados de atributos por parte de provedores cualificados, incluída a obriga dos estados membros de garantir que os atributos poidan verificarse cunha fonte auténtica dentro do sector público.

Ademais, introduciuse a posibilidade de que o organismo do sector público responsable da fonte auténtica ou o organismo do sector público designado en nome dun organismo do sector público responsable dunha fonte auténtica poidan expedir na carteira directamente as declaracións electrónicas de atributos cos mesmos efectos xurídicos que as declaracións electrónicas de atributos cualificadas, sempre que se cumpran os requisitos necesarios.

Correspondencia entre rexistros

Con respecto á coincidencia de rexistros, mantívose o concepto de identificador único e persistente para as Carteiras Dixitais. A definición pertinente aclara que o identificador pode consistir nunha combinación de varios identificadores nacionais e sectoriais se cumpre o seu propósito.

Establécese explicitamente que o cotejo de rexistros pode ser facilitado por atestación electrónica cualificada de atributos. Ademais, engadiuse unha disposición de salvaguardia, en virtude da cal os estados membros deben garantir a protección dos datos persoais e evitar a elaboración de perfís dos usuarios. Por último, os estados membros, na súa calidade de partes interesadas, deben garantir a coincidencia de rexistros.

Próximos pasos

A adopción do enfoque xeral permitirá ao Consello establecer negociacións co Parlamento Europeo (“diálogos tripartitos”) unha vez que este último adopte a súa propia posición con vistas a chegar a un acordo sobre o regulamento proposto.

Fonte orixinal da noticia(Abre en nova xanela)

  • Desenvolvemento de Sistemas, Aplicacións e Soluciones Informáticas
  • Identidade e Firma electrónica
  • Servizos electrónicos