Carlos B Fernández. La séptima sesión del ciclo “La revolución regulatoria digital europea 2022-2023", organizado por LA LEY bajo la dirección del magistrado Eloy Velasco, contó con la intervención del también magistrado Joaquín Delgado, quien abordó los retos que plantean la confianza y la seguridad en la contratación y la prestación de servicios online, con especial foco en el Reglamento eIDAS.
Como explicó Joaquín Delgado, la Identidad Digital constituye la esencia de nuestros negocios jurídicos en el ámbito digital, que son hoy la gran mayoría, tanto en el ámbito público como el privado. Por ello es necesaria una confianza y una seguridad en la contratación, lo que nos sitúa directamente en el ámbito del Reglamento IDAS (Reglamento UE 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014 (LA LEY 13356/2014), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior), que será en breve modificado por un Reglamento del Parlamento Europeo y del Consejo, en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, conocido como eIDAS2.
Esta seguridad digital se puede conseguir por tres cauces: los servicios de certificación electrónica; la autenticación de documentos electrónicos y la autenticación de la persona o identificación electrónica propiamente dicha, como desgranó a continuación el ponente.
Servicios de certificación electrónica
Los servicios de certificación electrónica mediante servicios de confianza, son aquellos servicios prestados en forma electrónica por terceros (entidades públicas o privadas) para otorgar confianza (seguridad) en las relaciones online de las personas con las entidades públicas o en los negocios jurídicos privados online.
Estos servicios permiten emitir certificaciones electrónicas (o certificados digitales), que son un fichero digital emitido por una tercera parte de confianza (una autoridad de certificación o prestador de servicios de confianza) que garantiza la vinculación entre la identidad de una persona o entidad y su clave pública, por tanto, permite identificar a su titular de forma inequívoca. Este fichero puede ser la firma electrónica (para personas físicas) o el sello electrónico (para personas jurídicas). Una vez emitido el certificado, su titular (persona física o persona jurídica) puede usarlos para: autenticarse (identificarse) ante una entidad pública o privada para la realización de una actuación online; autenticar (firmar) un documento electrónico.
Los servicios de certificación también permiten crear, verificar y validar firmas electrónicas y sellos electrónicos; autenticar un documento electrónico, es decir, garantizar la autenticidad e integridad de los datos de un documento electrónico, por medio de un sello de tiempo electrónico o un servicio de entrega electrónica certificada; igualmente permite autenticar un sitio web, vinculándolo con la persona física o jurídica a quien se ha expedido el certificado y, finalmente, permite también preservar las firmas, sellos o certificados electrónicos relativos a estos servicios.
Los servicios de certificación digital son claves para la seguridad digital de los negocios jurídico online y la relación online con las entidades públicas, por ello la UE les reconoce un carácter “cualificado”, que les dota de efectos jurídicos y probatorios privilegiados en todos los Estados de la UE, en base al principio de reconocimiento mutuo.
Estos efectos jurídicos privilegiados se centran en dos aspectos: por una parte, la firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita (art. 25.2 eIDAS) y, en España,presunción procesal ex artículo 326.4 LEC (LA LEY 58/2000)
En cuanto a los sellos electrónicos cualificados (art. 35.2 eIDAS), los sellos de tiempo cualificados (art. 41.2 eIDAS) y el servicio cualificado de entrega (art. 43.2 eIDAS), suponen que la firma o el sello correspondiente disfrutan de presunción de integridad o de exactitud. En concreto, según el art. 43.2 eIDAS, los datos enviados y recibidos mediante un servicio cualificado de entrega electrónica certificada disfrutarán de la presunción de la integridad de los datos, el envío de dichos datos por el remitente identificado, la recepción por el destinatario identificado y la exactitud de la fecha y hora de envío y recepción de los datos que indica el servicio cualificado de entrega electrónica certificada.
La firma o el sello correspondiente serán reconocidos como cualificados en todos los Estados miembros de la UE.
Autenticación de documentos electrónicos
La autenticación de documentos electrónicos se refiere al proceso electrónico que permite acreditar el origen (autenticidad) y la integridad de los datos de un documento electrónico, entendido este como todo contenido almacenado en formato electrónico, en particular, texto o registro sonoro, visual o audiovisual. Esta autenticación despliega determinados efectos jurídicos y probatorios, de forma que una vez que el documento está autenticado puede desplegar efectos jurídicos y probatorios.
En concreto, gozan de pleno valor jurídico como prueba. Para ello deben aportarse al juicio en soporte material que pueda almacenar datos en formato digital, junto con un instrumento que permita su lectura (percepción por los sentidos). Una vez aportados, estos documentos están sometidos al principio general de libre valoración de la prueba (si bien el ordenamiento prevé algunas reglas de valoración).
En cuanto a la firma electrónica que permite esta autenticación de documentos, puede ser 1) simple; 2) avanzada, que es aquella que está vinculada de manera exclusiva al firmante; es capaz de identificar al firmante; está creada con datos de creación de firma que el firmante pueda emplear bajo su control exclusivo y esté vinculada a los datos firmados de tal manera que cualquier cambio posterior en los datos sea detectable y, 3) Firma avanzada cualificada, que es aquella que reúne los requisitos de la firma electrónica avanzada y, además, está respaldada por un certificado cualificado. Esta firma cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita (art. 25.2 eIDAS).
Un caso específico de esta firma son los documentos electrónicos acreditados por un servicio electrónico de confianza, que puede ser cualificado (en cuyo caso se presumirá que el documento reúne la característica cuestionada y que el servicio de confianza se ha prestado correctamente, pero que si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación), o no cualificado (art. 3.2 de la Ley 6/2020, de 11 de noviembre (LA LEY 21517/2020), reguladora de determinados aspectos de los servicios electrónicos de confianza, por la que se desarrolla en España el Reglamento eIDAS)
Por su parte, los sellos electrónicos (art. 35.2 eIDAS), los sellos de tiempo (art. 41.2 eIDAS) y el servicio cualificado de entrega (art. 43.2 eIDAS) disfrutan de presunción de integridad o de exactitud.
Identificación electrónica
Finalmente, la autenticación o identificación digital de una persona se refiere al proceso electrónico que permite acreditar la identidad de una persona física o jurídica. Una vez que la persona ha sido identificada ante la entidad, la misma estará autorizada para ejercitar una facultad (derecho) o para realizar un acto o negocio jurídico.
En la actualidad, esta identificación digital, que solo tiene validez ante las entidades públicas, requiere que un tercero (intermediario) autorizado certifique la identidad del usuario. En la práctica, no existe una plataforma común para otorgar la identidad digital y para su acreditación (identificación), sino que caben diversos métodos, como las opciones de autenticación operados el propio gobierno o la propia empresa (DNI electrónico, sistema cl@ve PIN..; pantallas de inicio de sesión en un sitio web bancario…); los servicios ad hoc prestados por terceros (como el inicio de sesión con una cuenta de red social, o una cuenta de servicio de pago como Paypal), o los mecanismos que requieren un hardware adicional: lectores de huellas dactilares, escáneres de iris conectados a los dispositivos de los ordenadores de los usuarios…
Actualmente, el ordenamiento jurídico español permite varias posibilidades de identificación digital, como son los sistemas fundamentados en certificados digitales de firma electrónica cualificada o bien de sello electrónico cualificada, que son certificados emitidos por terceros de confianza que deben admitirse necesariamente por las Administraciones, incluida la de Justicia. También caben otros sistemas que la Administración considere válidos, destacando los sistemas de clave concertada (pero éstos no son los únicos), siempre que los mismos se encuentren previamente autorizados por la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior (artículos 9, 13 y 14 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas; y artículos 26 a (LA LEY 6540/2021)31 del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos (LA LEY 6540/2021)).
Pero estos sistemas plantean una serie de problemas, como son la fragmentación, al existir diferentes entidades certificadoras (públicas-privadas-terceros de confianza), distintas tecnologías y una multitud de contraseñas y credenciales para el acceso online, lo que conduce a una falta de control, pues las personas no tenemos el control de nuestros datos (atributos) en Internet. Esto plantea riesgos sobre la privacidad y para la Riesgos de ciberseguridad, y nos sitúa en manos de proveedores.
El Reglamento eIDAS 2
Para paliar estos problemas, la propuesta de Reglamente eIDAS 2 se orienta a una identidad Auto-Soberana (SSI-Self-Sovereign Identity), que tendrá validez ante entidades públicas y ante entidades privadas, permitiendo realizar con confianza certificada gran número de acciones, desde la identificación de una persona tanto online como offline, acceder a servicios públicos, solicitar plazas de universidad, alquilar un coche, comprar billetes de vuelos, solicitar un préstamo o simplemente acreditar nuestra mayoría de edad.
Para ello, propone un nuevo marco para la “Identidad Digital Europea” que sea reconocida en todos los países de la UE por medio de los European Digital Identity Wallets (carteras digitales disponibles en aplicaciones para teléfonos móviles y otros dispositivos) y un Sistema de Identidad Auto-Soberana
Esta nueva regulación, además, amplia el catálogo de servicios de confianza que puedan alcanzar el grado de “cualificados”, para pasar a incluir servicio de archivo de documentos electrónicos (archiving services); servicio de testación electrónica de atributos (attestation of attributes); Servicio de registro de datos electrónicos en libros de contabilidad electrónicos (electronic ledgers) y Servicio de gestión de dispositivos remotos de creación de firmas electrónicas y sellos electrónicos: prestado en soluciones móviles y en la nube, en los que el entorno es gestionado por un prestador de servicios de confianza en nombre del titular (remote signing).
La identidad autosoberana se refiere a la identidad gestionada por cada persona individualmente, sin dependencia de terceras partes. Se basa en unos registros descentralizados de información. Esto supone que la prueba de la propiedad de los identificadores descentralizados y las credenciales verificables se almacenan en una red o registro descentralizado. El emisor deja todas las pruebas criptográficas necesarias para verificar esa credencial digital (firmas digitales, sellos de tiempo, etc.) en un registro descentralizado público. Esto permite que cualquiera pueda verificar las credenciales digitales sin necesidad de interactuar con el emisor directamente.
Estas billeteras digitales son repositorios personales portables y seguros (como, por ejemplo, una aplicación de un teléfono móvil) que nos permiten administrar nuestros identificadores, autenticadores, datos y credenciales verificables, de forma que estén completamente protegidos y bajo nuestro control. De este modo, podemos decidir qué información compartimos y con quién, en forma de presentaciones verificables.
Según explicó Joaquín Delgado, según Allen, esta Identidad Digital Autosoberana se basa en diez principios: 1) Existencia (a identidad auto soberana simplemente hace pública y accesible algunos aspectos del “yo” que ya existe); 2) Control por el usuario; 3) Acceso: No puede haber datos ocultos o información inaccesible para el dueño de la identidad; 4) Transparencia: los algoritmos y los sistemas deben ser transparentes; 5) Persistencia: las identidades deben ser longevas, a ser posible, deberían durar para siempre o, como mínimo, hasta cuando el usuario quiera; 6) Portabilidad: la portabilidad garantiza que la identidad de un usuario puede ser transferida y almacenada en múltiples lugares, a su propia discreción; 7) Interoperabilidad: la identidad puede utilizarse de la forma más amplia posible; 8) Consentimiento: el usuario debe consentir el uso de su identidad; 9) Minimización: la divulgación de los datos propios debe ser mínima y, 10) Protección: los derechos de los usuarios deben ser respetados. Cuando hay un conflicto entre las necesidades de la red de identidad y los derechos de los usuarios, la red debe estar a favor de preservar las libertades y derechos de las personas.