accesskey_mod_content

El Consell de la UE avança cap a la cartera digital de la UE, un canvi de paradigma per a la identitat digital a Europa

  • Escoltar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".

07 desembre 2022

El Consell adopta la seua posició comuna («orientació general») sobre la proposta legislativa en relació amb el marc per a una Identitat digital Europea (ID electrònica). 

El reglament revisat té com a objectiu garantir l'accés universal de les persones i les empreses a una identificación i autenticació electròniques segures i confiables per mitjà d'una cartera digital personal en un telèfon mòbil.

Al juny de 2021, la Comissió va proposar un marc per a una identitat digital Europea que estaria disponible per a tots els ciutadans, residents i empreses de la UE a través d'una cartera d'identitat digital europea.

El nou marc proposat modifica el reglament de 2014 sobre identificació electrònica i servicis de confiança per a transaccions electròniques en el mercat interior (reglament eIDAS), que va asseure les bases per a accedir de forma segura als servicis públics i realitzar transaccions en línia i transfrontereres en la UE.

La proposta requerix que els estats membres emeten una cartera digital baix un esquema d'identificació electrònica notificat, basat en estàndards tècnics comuns, i després d'una certificació obligatòria. Per a establir l'arquitectura tècnica necessària, accelerar la implementació de la regulació revisada, proporcionar pautes als estats membres i evitar la fragmentació, la proposta està acompanyada d'una recomanació per al desenvolupament d'una caixa de ferramentes de la Unió que definix les especificacions tècniques de la cartera.

La cartera Europea d'identitat digital

Un dels principals objectius polítics de la proposta és proporcionar als ciutadans i altres residents, tal com els definix la legislació nacional, un mitjà d'identitat digital europeu normalitzat basat en el concepte de cartera Europea d'identitat digital.

Com a mitjà d'identificació electrònica («ID electrònica mitjà») emès en el marc dels sistemes nacionals amb un nivell de garantia «alt», la Cartera seria un mitjà d'identitat electrónicda (ID electrònica) per dret propi basat en l'emissió de dades d'identificació personal i la cartera per part dels estats membres. Per tant, el text de l'orientació general del Consell desenvolupa encara més el concepte de la cartera i la seua interacció amb els mitjans d'identificació electrònica nacionals.

Nivells de seguretat

Els nivells de garantia haurien de caracteritzar el grau de confiança en els mitjans d'identificació electrònica, proporcionant així seguretat que la persona que reclama una identitat particular és de fet la persona a la qual se li assigna eixa identitat. En este sentit, la cartera ha d'emetre's dins d'un sistema d'identificació electrònica que complisca amb el nivell de garantia "alt".

A més, s'ha agregat una disposició específica sobre la incorporació de registre d'usuaris per a abordar les preocupacions dels estats membres on ja s'ha emès una quantitat significativa de mitjans nacionals d'identificació electrònica en el nivell de garantia "substancial".

La disposició permet a un usuari utilitzar els seus mitjans nacionals d'identificació electrònica juntament amb procediments addicionals d'incorporació remota per a fer possible la prova d'identitat amb un nivell de seguretat "alt" i, en última instància, per a obtindre una cartera.

Atés que l'esborrany del reglament d'identificació electrònica es basa en esquemes de certificació de ciberseguretat que haurien de generar un nivell harmonitzat de confiança en la seguretat de les carteres, s'espera que l'emmagatzematge segur de material criptogràfic també estiga subjecte a la certificació de ciberseguretat.

Per tant, el text conté un nou considerant que aborda estes condicions tècniques prèvies per a aconseguir un nivell de garantia "alt" i permetre un procés de seguiment dins de la implementació de carteres d'identitat digital europees.

Notificació de les parts usuàries

S'ha reformulat la part de la proposta sobre la notificació de les parts usuàries. Com a regla general, el procés de notificació per mitjà del com la part usuària comunica la seua intenció de confiar en la cartera ha de ser rendible, proporcional al risc i garantir que la part usuària proporciona almenys la informació necessària per a identificar-se en la cartera.

De manera predeterminada, solament es requerix informació mínima i la notificació ha de permetre l'ús de procediments d'autoinforme simples o automatitzats.

No obstant açò, pot ser necessari un règim específic a causa de requisits sectorials, com els aplicables al tractament de categories especials de dades personals. Per tant, s'ha introduït una disposició destinada a cobrir els casos en els quals es requerix un procediment de registre o autorització més estricte.

Per contra, quan la legislació nacional o de la Unió Europea no establisca requisits específics per a accedir a la informació proporcionada per mitjà de la cartera, els estats membres poden eximir a aquestes parts usuàries de l'obligació de notificar la seua intenció de confiar en les carteres.

Certificació

La regulació ha d'aprofitar, dependre i exigir l'ús d'esquemes de certificació de la Llei de Ciberseguretat rellevants i existents, o parts dels mateixos, per a certificar el compliment de les carteres, o parts de les mateixes, amb els requisits de ciberseguretat aplicables.

En conseqüència, el marc del Reglament sobre la Ciberseguretat s'aplica plenament, inclòs el mecanisme de revisió per parells entre les autoritats nacionals de certificació de ciberseguretat previst en el Reglament.

Per a alinear la regulació d'ID electrònica i la Llei de Ciberseguretat en la mesura del possible, els estats membres designaran organismes públics i privats acreditats per a certificar la cartera segons el que es disposa en el Reglament sobre la Ciberseguretat.

Període d'aplicació per a la prestació de la cartera i taxes

Basat en l'orientació dels estats membres, el text del Consell proposa que el període d'aplicació de 24 mesos s'explique a partir de l'adopció dels actes d'execució.

El text també aclarix que l'emissió, l'ús per a l'autenticació i la revocació de les carteres han de ser gratuïta per a les persones físiques.

No obstant açò, quan s'utilitzen carteres per a la identificació, o els servicis que depenen de l'ús de la cartera poden incórrer en costos, per exemple, l'emissió de certificacions electròniques d'atributs de la cartera digital.

Accés a funcions de maquinari i programari

El text establix una articulació explícita amb la legislació existent, la qual cosa garantix l'accés a les funcions d'equips informàtics (maquinari) i dels programes informàtics (programari) com a part dels servicis de la plataforma central proporcionats pels porters.

Una disposició recentment agregada aclarix que els proveïdors de carteres i els emissors de mitjans d'identificació electrònica notificats que actuen en capacitat comercial o professional són usuaris comercials de porters dins del significat de la definició en Reglament de Mercats Digitals (DMA).

També s'ha agregat text per a delinear la implicació de la interconnexió amb el Reglament de Mercats Digitals (DMA), a saber, que s'ha d'exigir als porters que garantisquen, de forma gratuïta, la interoperabilitat efectiva i l'accés amb finalitats d'interoperabilitat al mateix sistema operatiu, maquinari o programari, característiques que estan disponibles o s'utilitzen en la prestació dels seus propis servicis complementaris i de suport.

Alternatives per a l'expedició de la declaració electrònica d'atributs per part d'organismes públics

S'ha mantingut l'emissió de certificats electrònics qualificats d'atributs per part de proveïdors qualificats, inclosa l'obligació dels estats membres de garantir que els atributs puguen verificar-se amb una font autèntica dins del sector públic.

A més, s'ha introduït la possibilitat que l'organisme del sector públic responsable de la font autèntica o l'organisme del sector públic designat en nom d'un organisme del sector públic responsable d'una font autèntica puguen expedir en la cartera directament les declaracions electròniques d'atributs amb els mateixos efectes jurídics que les declaracions electròniques d'atributs qualificades, sempre que es complisquen els requisits necessaris.

Correspondència entre registres

Respecte de la coincidència de registres, s'ha mantingut el concepte d'identificador únic i persistent per a les Carteres Digitals. La definició pertinent aclarix que l'identificador pot consistir en una combinació de diversos identificadors nacionals i sectorials si complix el seu propòsit.

S'establix explícitament que l'acare de registres pot ser facilitat per atestació electrònica qualificada d'atributs. A més, s'ha afegit una disposició de salvaguardia, en virtut de la qual els estats membres han de garantir la protecció de les dades personals i evitar l'elaboració de perfils dels usuaris. Finalment, els estats membres, en la seua qualitat de parts interessades, han de garantir la coincidència de registres.

Pròxims passos

L'adopció de l'enfocament general permetrà al Consell entaular negociacions amb el Parlament Europeu (“diàlegs tripartits”) una vegada que este últim adopte la seua pròpia posició amb vista a arribar a un acord sobre el reglament proposat.

Font original de la notícia(Obri en nova finestra)

  • Desenvolupament de Sistemes, Aplicacions i Soluciones Informáticas
  • Identitat i Firma electrònica
  • Servicis electrònics