La firma de servicios jurídicos Écija ha publicado una nota informativa, en la que explica detalladamente en qué consiste el último cambio en la normativa del blockchain en nuestro país.
Reproducimos, a continuación, la nota íntegra:
Desde el pasado mes de Julio ha quedado superada en España la limitación de uso de tecnologías blockchain en sistemas de identificación digital y firma electrónica, regulada en la Disposición adicional sexta de la Ley 39/2015, de 1 de octubre, modificada por el artículo 3.3 del Real Decreto-ley 4/2019, de 31 de octubre. por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
El 27 de junio del 2023, el Consejo de Ministros alcanzó un acuerdo en el que se definen las excepciones específicas a esta limitación que se introdujo como provisional, estableciendo los supuestos concretos en los que se considerarán válidos los sistemas de identificación y firma electrónica basados en tecnología de registros distribuidos (también conocida como blockchain).
A efectos de dar publicidad al citado acuerdo del Consejo de Ministros, su contenido ha sido incluido como anexo de la Resolución de 6 de julio de 2023, dictada por la Secretaría de Estado de Digitalización e Inteligencia Artificial, publicada en el BOE número 166 de 13 de julio de 2023.
I. ¿Qué regulaba la limitación de la Disposición adicional sexta de la Ley 39/2015?
La norma jurídica de referencia estableció en su día la inadmisibilidad por defecto del uso de sistemas de identificación y firma electrónica basados en tecnologías de registro distribuido, en tanto, estos sistemas no fueran objeto de regulación específica por el Estado español en el marco del Derecho de la Unión Europea, en tanto
la identificación de los ciudadanos recaía exclusivamente en el Estado.
Asimismo, quedó establecido que, en caso de regulación estatal de esta materia, la Administración General del Estado actuará como autoridad intermedia que ejercerá las funciones que corresponda para garantizar la seguridad
pública y el adecuado control y administración de la identidad de los ciudadanos.
II. ¿Por qué se levanta ahora la limitación provisional de la Disposición adicional sexta de la Ley 39/2015?
La citada limitación normativa, es levantada ahora para dotar de reconocimiento legal en el ordenamiento jurídico español al uso de la tecnología blockchain en los proyectos piloto en los que está participando España en el marco del programa Europa Digital de la Unión Europea, para la creación de la nueva Cartera de Identidad Digital europea que modifica y actualiza al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, también conocido como “Reglamento eIDAS”.
III. ¿Cuál ha sido la evolución de la regulación aplicable a la identificación electrónica en Europa?
Repasemos brevemente los hitos más relevantes que se han producido en Europa en los últimos años respecto a la identidad digital y los servicios de confianza regulados por el citado Reglamento eIDAS y las tecnologías asociadas para dotar de seguridad y fiabilidad a las transacciones digitales transfronterizas.
En primer lugar, la Directiva1999/93/CE regulaba los servicios de identificación digital y la firma electrónica dejando a los Estados miembros su interpretación. En 2014, se publica el Reglamento eIDAS con aplicación directa en los ordenamientos jurídicos de los Estados miembros de la UE y se deroga la citada Directiva.
El Reglamento eIDAS, que definió el marco común para la identidad digital en Europa, la firma electrónica y los servicios de confianza, siendo de aplicación a partir del mes de julio de 2016 y algunos de sus requisitos se han ido implementado de manera progresiva de acuerdo con los plazos previstos en la regulación.
Ciertamente, el eIDAS ha supuesto un gran avance en la seguridad y confianza de las operaciones digitales al sentar las bases de la identificación electrónica a nivel europeo. Sin embargo, en la práctica, esta regulación ha presentado ciertas limitaciones motivadas por incompatibilidades técnicas que afectan a la interoperabilidad de los distintos sistemas de identificación así como por la falta, tanto de confianza en los servicios de identidad electrónica de terceros, como de una regulación adecuada para la verificación de la identidad en línea.
En el año 2020, con las medidas adoptadas por los gobiernos para hacer frente a la situación generada por el COVID 19, restringiendo la movilidad y el contacto físico, se potenciaron las interacciones digitales entre las personas y también aumentaron los índices de suplantaciones de identidad. Este escenario fue el catalizador del desarrollo de varias tecnologías alternativas, desplegadas para garantizar la fiabilidad y seguridad de las transacciones que requieren la identificación/autenticación de las personas en línea. También en el contexto de los servicios de confianza regulados por eIDAS, en el que se abrieron oportunidades de desarrollo de soluciones de gestión de identidad digital a distancia utilizando entre otras tecnologías la video identificación sistemas de identificación biométricos, inteligencia artificial, entre otros.
III. ¿Cuál ha sido la evolución de la regulación aplicable a la identificación electrónica en Europa?
Admisión del uso de sistemas de identificación y firma electrónica basados en tecnología blockchain en el sector público español La tecnología blockchain es otra de las alternativas tecnológicas que han sido estimuladas en su desarrollo durante el período de pandemia para casos de uso asociadas a la identificación digital.
En este sentido, la banca ha sido pionera en diseñar sistemas de identidad digital que agilizaran los trámites y operaciones comerciales cotidianas de este sector utilizando tecnologías de registro distribuido, como por ejemplo, el proyecto español DALION basado en el modelo de identidad digital Alastria ID, cuyo desarrollo ha derivado en la creación de la Norma UNE 71307-1:2020 Tecnologías Habilitadora Digitales. Modelo de Gestión de Identidades Descentralizadas sobre Blockchain y otras Tecnologías de Registros Distribuidos (DLT).
Parte 1: Marco de Referencia
En este contexto internacional, en marzo de 2021 la Comisión Europea comunicó a los“Brújula Digital 2030, el camino europeo para la década digital” en el que establece el objetivo de desplegar proyectos de digitalización de la identidad de los ciudadanos europeos, con el fin de que en 2030, aproximadamente el 80% de los ciudadanos europeos puedan beneficiarse de una identidad digital segura y confiable que le permita acceder a los servicios de las Administraciones Públicas en todo el territorio de la Unión, así como a servicios privados, sin perder de vista la legislación de protección de datos personales.
En junio de 2021 la Comisión Europea propuso la creación de un marco para la identificación digital que estuviera disponible de manera voluntaria para todos los ciudadanos y las empresas que operan en el mercado europeo, a través de una Cartera Europea de Identidad Digital, también denominada “EUDI Wallet”.
La Wallet europea permitirá a sus usuarios guardar de manera segura, documentos nacionales de identificación y otros atributos de identificación como, por ejemplo:
Sobre esta cartera digital, el ciudadano mantendrá el pleno control de sus datos personales, limitando el intercambio de datos e información personal asociada a lo estrictamente necesario para la prestación del servicio requerido.
Para llevar a cabo esta propuesta, se exige a los Estados miembros expedir una cartera europea digital a través de los sistemas nacionales de identificación electrónica notificados en virtud del artículo 9 del Reglamento eIDAS, basándose en estándares técnicos comunes y haber superado una certificación técnica obligatoria.
Adicionalmente, la Comisión hace la Recomendación 2021/946 en la que invita a los Estados miembros a definir un conjunto de herramientas común (Toolbox eIDAS), que define la arquitectura técnica, el marco de referencia (ARF), las directrices y especificaciones técnicas, así como las mejores prácticas para el diseño y puesta en marcha de la citada Cartera de Identidad Digital europea.
A partir del conjunto de estos datos permitirá crear una identidad global de la UE para sus ciudadanos, que podrá ser utilizada para servicios públicos y privados tanto en línea, como fuera de línea en toda la UE. También se podrá vincular o no a certificados electrónicos para autenticación y firma electrónica. Para facilitar la experiencia de usuario se prevé su utilización con la comodidad de aplicaciones móviles.
A propósito de esta iniciativa, también se revisa y actualiza el Reglamento eIDAS en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea (futuro Reglamento eIDAS2). Hasta la fecha, el Reglamento eIDAS2 es un borrador, aunque se espera que a finales de año se apruebe y publique el texto definitivo.
El eIDAS 2 tiene entre sus objetivos estratégicos: sentar las bases para la adopción de la citada Cartera de Identidad Digital europea, comoun medio de identificación normalizado, con plena validez y reconocimiento en todos los estados miembros de la UE.
Reforzar la privacidad y la ciberseguridad de la Cartera de Identidad Digital Europea por diseño, dado que debe sustentarse en sistemas de identificación digital que cumplan con un nivel de seguridad “alto” como regula el Artículo 8 del eIDAS y el Reglamento de Ejecución 1502/2015. Las wallets además ofrecerán al usuario el pleno control de sus datos personales y el emisor de la wallet no podrá recopilar información relativa a su uso, solo la estrictamente necesaria para la identificación.
Para servicios transfronterizos, los Estados miembros realizarán correspondencias inequívocas de identidad declarada. Supondrá una mejora en los procesos de contratación pública y en la interoperabilidad entre los sistemas nacionales. Se permitirá el uso transfronterizo de las “Wallets” emitidas por cualquier Estado miembro, para el acceso a servicios públicos online en cualquier otro país dentro de la UE, la emisión, la utilización para autenticación y la revocación de las carteras deben ser gratuitas para las personas físicas, quienes también tendrán la posibilidad de disponer de una firma electrónica de manera gratuita.
Beneficia no solo a las administraciones públicas, sino también a multitud de entidades privadas de diferentes sectores como energía, banca, salud, telecomunicaciones o transporte. Las empresas se verán beneficiadas por este nuevo modelo de identidad digital en remoto, ofreciendo mayor agilidad a procesos como Know Your Customer (KYC) o en el marco de procesos de contratación de todo tipo únicamente debiendo contar con la tecnología (DLT) requerida para leer e identificar el e-ID del usuario. Admisión del uso de sistemas de identificación y firma electrónica basados en tecnología blockchain en el sector público español.
En paralelo a los avances en la tramitación del texto del Reglamento eIDAS 2, desde el año 2022 se han ido realizando acciones para impulsar tres acciones determinantes para la implantación de la Cartera de Identidad Digital Europea. Estos son:
1) Definición de la arquitectura y el marco de referencia para desarrollar una solución interoperable de la cartera de identidad digital europea (EUDI) basada en normas y prácticas comunes. Tras la publicación de un borrador inicial presentado en febrero de 2022, el 9 de febrero de 2023 se aprobó el documento final del citado marco, según el cual la cartera digital ha de ser compatible con la especificación W3C Verifiable Credentials Data Model 1.1.2
2) Licitación del desarrollo del código fuente de la cartera digital europea que fue adjudicada en fecha 6 de diciembre de 2022 a las empresas Scytáles AB y Netcompany-Intrasoft 3
3) Subvención de 4 proyectos piloto paneuropeos, que desarrollarán y pondrán a prueba el uso de la cartera EUDI para particulares y empresas en torno a una amplia variedad de casos de uso cotidiano. Estos casos de uso abarcan tanto los servicios públicos como los privados con interacciones nacionales y transfronterizas. Sus resultados se incorporarán al desarrollo en curso de las especificaciones técnicas de la cartera EUDI por parte del grupo de expertos eIDAS. Estos proyectos piloto son:
IV. ¿Cuáles han sido los avance paralelos al texto legislativo del eIDAS2 para implantar la EUDI Wallet?
Participan más de 35 Administraciones Públicas y más de 40 entidades privadas .El proyecto pondrá a prueba el uso de la cartera EUDI en el sector educativo y en el ámbito de la seguridad social. El proyecto piloto se ajustará a la tarjeta europea de seguridad social y al modelo europeo de aprendizaje. Utilizará la Infraestructura Europea de Servicios Blockchain (EBSI) en el contexto de la cartera EUDI.
Cabe mencionar que la citada Infraestructura Europea de Servicios Blockchain (EBSI) es un proyecto del sector público europeo en el que participa España, que consiste en una red peer-to-peer de nodos interconectados que ejecutan una infraestructura de servicios basada en blockchain. Cada miembro de la Asociación Europea de Blockchain (EBP), los 27 países de la UE, Noruega, Liechtenstein y la Comisión Europea, ejecutará al menos un nodo.
Esta infraestructura permitirá a las organizaciones públicas desarrollar aplicaciones que se conecten y hagan uso de la infraestructura EBSI para notarización, gestionar la identidad digital europea, permitir a los ciudadanos gestionar y administrar sus credenciales educativas (titulaciones), intercambio de información entre autoridades de la UE de forma segura como los números de identificación IVA IOSS, ventanillas únicas de importación entre autoridades aduaneras y fiscales, etc. Eventualmente, se extenderá el uso de esta infraestructura a organizaciones privadas. Admisión del uso de sistemas de identificación y firma electrónica basados en tecnología blockchain en el sector público español
La utilización de la Infraestructura Europea de Servicios Blockchain (EBSI) dentro del proyecto piloto DC4EU cobra especial relevancia a los efectos de la supresión de la limitación provisional de la Disposición adicional sexta de la Ley 39/2015 que venimos comentando, toda vez que, el marco de referencia y de arquitectura técnica (ARF) de la EUDI Wallet que se ha aprobado, establece que la cartera digital ha de construirse sobre la base de la tecnología de registro distribuido compatible con la especificación W3C Verifiable Credentials Data Model 1.1. La misma especificación técnica que se utiliza en el citado proyecto European Blockchain Services infrastructure (EBSI) a la hora de emitir y validar credenciales verificables.
La inclusión de la especificación W3C Verifiable Credentials Data Model 1.1., en el marco de referencia y arquitectura técnica (ARF) de la EUDI Wallet evidencia que dentro de las tecnologías alternativas ya existentes que podrían garantizar la seguridad de las operaciones en esta cartera, los expertos han decidido optar por el uso de la tecnología blockchain por las ventajas que ofrece. Con esta decisión, ya se vislumbra que la misma será un elemento imprescindible en el diseño de la EUDI Wallet y que tendrá un papel fundamental en el desarrollo de nuevos servicios digitales.
Teniendo en cuenta que el enfoque de los trabajos en el diseño de la EUDI Wallet están orientados a la utilización de la tecnología blockchain y que esto ya se ha plasmado en documentación técnica (el marco de referencia ARF) asociada al borrador del Reglamento eIDAS2, el gobierno español ha decidido allanar el camino del reconocimiento legal del uso de la citada tecnología en el ordenamiento jurídico nacional levantando así la limitación provisional contenida en la Disposición adicional sexta de la Ley 39/2015 y definiendo excepciones concretas a la citada limitación.
Admisión del uso de sistemas de identificación y firma electrónica basados en tecnología blockchain en el sector público español
En virtud del citado Acuerdo del Consejo de Ministros, se considerarán validos los sistemas de identificación y firma de los interesados por medio de una credencial incorporada a la cartera digital, cuya verificación se lleve a cabo por medio de sistemas de tecnología de registro distribuido basados en los proyectos piloto europeos en los que España participa; y que han sido seleccionadas por la Comisión Europea en el marco del programa Europa Digital para desarrollar la EUDI Wallet, estos son:
a) un sistema de tecnología de registro distribuido basado en la Infraestructura Europea de Servicios de Blockchain (EBSI-NODES EXPANSION)4 en el contexto de los proyectos europeos vinculados a la Propuesta de Reglamento eIDAS2, en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea,
b) un sistema de tecnología de registro distribuido incorporada a la Cartera Digital española5, para su utilización en los casos de uso del consorcio europeo Digital Credentials For Europe (DC4EU), en el nuevo marco de identidad digital europea.6 (artículo 28.3 del Reglamento 203/2021 en relación con apartado 1 de la Disposición adicional sexta de la Ley 39/2015).
En ambos casos, se requiere que las credenciales utilizadas cumplan con lo establecido en el Esquema Nacional de Seguridad y contener, como mínimo, el nombre y apellidos y el número de Documento Nacional de Identidad, Número de Identificación de Extranjero o Número de Identificación Fiscal.
V. ¿Cuáles son los casos concretos que se consideran válidos según el Acuerdo del Consejo de Ministros?
Admisión del uso de sistemas de identificación y firma electrónica basados en tecnología blockchain en el sector público español La EUDI Wallet está en camino con fecha prevista de lanzamiento en 2024 y su impacto en el panorama de la identificación digital sin duda será importante, fundamentalmente en cuanto seguridad, armonización e interoperabilidad.
Al ofrecerse a través de carteras nacionales de identidad digital notificadas por los Estados Miembros, tendrá la consideración de un medio de identificación de pleno derecho como otros ya existentes, que además tendrá reconocimiento en todos los estados miembros de la EU.
Por otro lado, después del Acuerdo político provisional entre el Parlamento y la Comisión europea sobre los aspectos más relevantes del borrador del Reglamento eIDAS 2, se espera que muy pronto se concluyan los trabajos técnicos derivados del Acuerdo y se complete un texto jurídico final. Dicho texto se remitirá a los Estados miembros debiendo ser aprobado formalmente por el Parlamento y el Consejo Europeo. Una vez adoptado, entrará en vigor a los 20 días de su publicación en el Diario Oficial de la UE.
Al utilizar la tecnología blockchain en la arquitectura técnica de la EUDI Wallet en el contexto del Reglamento para la identidad digital eIDAs2, se sientan las bases para que los Estados miembros desarrollen carteras digitales que involucren el uso de blockchain y también para su reconocimiento legal en aquellos estados que, como España, hubieran definido alguna limitación jurídica interna. Sin duda, se vislumbra un mayor desarrollo y uso de esta tecnología que se encuentra vinculada a la gestión de la identidad digital de manera fiable y segura.
No obstante, cabe señalar que la limitación provisional de la Disposición adicional sexta de la Ley 39/2015 se levanta exclusivamente para las excepciones concretas definidas en el acuerdo del Consejo de Ministros. Sin perjuicio de ello, esta habilitación legal ya supone, a nuestro juicio, un hito en el panorama nacional actual y presenta nuevos desafíos y oportunidades para las empresas desarrolladoras de soluciones de identidad digital europea.
