Carlos B Fernández. El pasado 8 de junio, el Consejo de la OCDE ha adoptado una recomendación sobre la Gobernanza de la Identidad Digital (OECD, Recommendation of the Council on the Governance of Digital Identity, OECD/LEGAL/0491).
Pese a su nombre, las recomendaciones, junto con las decisiones, son los dos tipos de actos normativos que emite este organismo, por lo que su contenido se extiende a todos los estados miembros de la Organización.
La Recomendación pretende guiar a los países miembros a establecer con éxito enfoques nacionales de identidad digital centrados en el usuario, fiables y bien gobernados. Para ello, proporciona un estándar para la gobernanza de la identidad digital en línea con los valores de la OCDE, permitiendo enfoques accesibles, fáciles de usar, de alta confianza, seguros y equitativos para la identidad digital que simplificarán y acelerarán las interacciones, lograrán servicios más proactivos y personalizados, y reducirán las oportunidades de error, fraude y otras actividades ilícitas.
Todo ello con el objetivo de alcanzar una plena interoperabilidad internacional que permita hacer realidad el valor de la identidad digital a través de la geografía, la tecnología y los sectores.
Necesidad de una norma sobre identidad digital
La verificación de la identidad es esencial para el funcionamiento y la resistencia de las sociedades, las economías y los sistemas políticos. Aunque los documentos físicos, como los carnés de identidad y los pasaportes, han permitido a las personas acceder a servicios esenciales y cruzar fronteras, no son adecuados para hacer frente a las oportunidades y los desafíos de la era digital.
En consecuencia, para garantizar la sostenibilidad a largo plazo de la identidad digital, los gobiernos deben establecer bases de gobernanza sólidas y tratar la identidad digital como una infraestructura pública digital crítica.
Y aunque diferentes gobiernos, incluida la Unión Europea, están trabajando para garantizar un acceso fiable y de confianza a una identidad digital para las personas físicas y jurídicas, que sea portable a través de plataformas, sectores y fronteras, existen retos tanto tanto a nivel nacional como internacional para poner en práctica esta ambición, incluyendo la percepción pública, la experiencia del usuario y la adopción, la inclusión digital, el intercambio de datos, la interoperabilidad, la responsabilidad, la privacidad y la seguridad. A menudo, estos retos vienen determinados por la tecnología y se basan en cuestiones fundamentales de gobernanza, que incluyen la estrategia, la colaboración público-privada, la regulación y la cooperación internacional.
Por tanto, la OCDE considera necesario el desarrollo de un enfoque estratégico y sistemático para crear un sistema de identidad digital fiable y sólido que tenga en cuenta la aparición y la gestión de nuevos modelos y tecnologías. Para lograrlo, los gobiernos necesitan equilibrar diferentes objetivos en función de su contexto nacional. Esto requiere un marco de gobernanza que sea flexible, adaptable y promueva la interoperabilidad transfronteriza.
Ámbito de aplicación de la Recomendación
La Recomendación se estructura en torno a tres pilares:
El primer pilar subraya la importancia de desarrollar sistemas de identidad digital inclusivos y centrados en el usuario. Esto implica diseñar y aplicar sistemas de identidad digital que sean eficaces, utilizables y respondan a las necesidades de los usuarios y los proveedores de servicios. Este pilar también subraya la necesidad de que los sistemas de identidad digital den prioridad a la inclusión y minimicen las barreras de acceso, preservando al mismo tiempo las formas no digitales de probar la identidad.
El segundo pilar se centra en reforzar la gobernanza de la identidad digital. Para ello es necesario adoptar un enfoque estratégico de la identidad digital y definir funciones y responsabilidades en todo el ecosistema de la identidad digital. También hace hincapié en la importancia de proteger la privacidad y dar prioridad a la seguridad para garantizar la confianza en los sistemas de identidad digital. Además, se centra en la necesidad de alinear los marcos jurídicos y normativos, y proporcionar recursos que permitan la interoperabilidad entre los diferentes sistemas y servicios.
El tercer pilar está dedicado al uso transfronterizo de la identidad digital. Esto requiere identificar las necesidades cambiantes de los usuarios y proveedores de servicios en diferentes escenarios transfronterizos y cooperar internacionalmente para establecer las bases de la confianza en los sistemas de identidad digital de otras jurisdicciones y en las identidades emitidas. Lograr la portabilidad transjurisdiccional de la identidad digital es complejo, pero la colaboración internacional y el desarrollo de instrumentos internacionales pueden ayudar a establecer expectativas, crear consenso y generar confianza.
Estructura de la Recomendación
La Recomendación consta de los siguientes epígrafes:
I. Definiciones
Destacamos, en este sentido, que la Recomendación define a la identidad digital como un conjunto de atributos y/o credenciales capturados y almacenados electrónicamente que pueden utilizarse para probar un rasgo, cualidad, característica o afirmación sobre un usuario y, cuando sea cuando sea necesario, permitir la identificación única de dicho usuario.
En este contexto, “Atributo” se refiere a un rasgo, cualidad o característica verificada atribuida a un usuario, por ejemplo datos biométricos, nombre, fecha de nacimiento, lugar de nacimiento, identificador único (como el número de la seguridad social, el número de registro de la empresa), o la dirección, en formato electrónico. Y “Credencial” se refiere a un conjunto de una o más afirmaciones electrónicamente registradas y verificables sobre un usuario hechas por un emisor de credenciales, por ejemplo, una licencia de conducir, tarjeta de identificación, permiso o calificación. La Recomendación precisa que algunos países miembros pueden referirse o entender indistintamente los términos Atributo y Credencial, en función de su contexto.
II. Recomendación a los Adherentes para que diseñen y apliquen sistemas de identidad digital que respondan a las necesidades de los usuarios y de los proveedores de servicios.
III. Recomendación a los Adherentes para que den prioridad a la inclusión y reduzcan al mínimo los obstáculos al acceso y al uso de la identidad digital.
IV. Recomendación a los Adherentes para que adopten un enfoque estratégico de la identidad digital y definan funciones y responsabilidades en todo su ecosistema.
V. Recomendación a los Adherentes para que protejan la privacidad y den prioridad a la seguridad para garantizar la confianza en los sistemas de identidad digital.
VI. Recomendación a los Adherentes para que armonicen sus marcos jurídicos y reglamentarios y proporcionen recursos para permitir la interoperabilidad.
VII. Recomendación a los Adherentes de que identifiquen las necesidades cambiantes de los usuarios y los proveedores de servicios en diferentes escenarios transfronterizos.
VIII. Recomendación a los Adherentes para que cooperen internacionalmente para establecer las bases de la confianza en los sistemas de identidad digital de otros países y en las identidades digitales emitidas.
Iniciativas para la regulación de la identidad digital
Esta Recomendación de la OCDE se enmarca dentro de un amplio conjunto de iniciativas que, a lo largo de los últimos años, han tratado de definir un marco jurídico para la identidad digital.
Entre ellas pueden señalarse las actividades del Comité Europeo de Normalización (CEN), del Instituto Europeo de Normas de Telecomunicación (ETSI), del Grupo de Financiera (GAFI), del G20, de GovStack, de la Organización Internacional de Normalización (ISO), de la Comisión Electrotécnica Internacional (CEI), del Instituto Nacional de Normas y Tecnología norteamericano (NIST), de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI), del Banco Mundial y del World Wide Web Consortium (W3C). Todas ellas se han orientado tanto la normalización política como la técnica.
Por parte de la Unión Europea,eEl Reglamento (UE) nº 910/2014 (LA LEY 13356/2014) relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS), adoptado el 23 de julio de 2014, se consdiera un destacado ejemplo de marco jurídico transfronterizo que apoya el reconocimiento de confianza de las identidades digitales. En junio de 2021, la Comisión Europea publicó una propuesta de reglamento para modificar el actual Reglamento eIDAS y establecer un marco para una identidad digital europea que incluya disposiciones para fomentar una mayor usabilidad intersectorial y transfronteriza en el mercado único de la UE y permitir a los ciudadanos un mayor control sobre sus datos. Un proyecto enmarcado en el programa político de la Década Digital 2030 de la Comisión, que establece una serie de objetivos e hitos objetivos e hitos, entre ellos que para 2030 todos los servicios públicos clave estén disponibles en línea, que todos los ciudadanos tendrán acceso a historiales médicos electrónicos; y todos los ciudadanos deberán disponer de una solución de DNIe electrónico.