eIDAS2, la cartera europea de identidad digital y el RGPD

Foto de Brett Jordan en Unsplash.

El reglamento eIDAS2 incluye entre sus objetivos garantizar la protección de datos y la privacidad de las carteras de identidad digital de la UE. Sin embargo, surge una pregunta esencial: ¿Puedo usar mi cartera para probar de forma anónima atributos específicos, como ser estudiante, ser mayor de edad o ser miembro de una asociación, sin revelar mi identidad? Si no es así, ¿quién tiene la capacidad de identificarme y con qué medios?

En el contexto de las carteras, las amenazas de identificación surgen cuando actores del ecosistema como los emisores de credenciales, las partes usuarias (Relying Parties o RP) o los proveedores de carteras conocen de manera inapropiada o innecesaria la identidad real de un usuario. Esto se vuelve particularmente relevante según el caso de uso. Por ejemplo, ciertos escenarios, como el cruce de fronteras o los sistemas de pago, requieren una identificación y autenticación seguras del usuario. Por el contrario, otros escenarios, como la verificación de edad, solo requieren la prueba de un atributo específico y deben preservar el anonimato del usuario. La amenaza de identificación, a veces denominada sobreidentificación, puede materializarse directa o indirectamente (como resultado de un fallo al desacoplar los atributos de identidad de un usuario de sus transacciones seudónimas o no identificables).

Con los casos directos, una RP solicita al usuario que se identifique cuándo no es necesario que lo haga. Las salvaguardias deben garantizar que una RP no pueda solicitar la identificación del usuario a menos que sea estrictamente necesaria, y que la cartera dé soporte al uso de seudónimos para ayudar a evitar la sobreidentificación.

Las RP que tienen la intención de utilizar las carteras deben registrarse en el Estado miembro en el que estén establecidas. Durante el registro deben especificar el uso previsto para la cartera, incluidos los datos exactos que solicitarán y las razones para hacerlo. Las RP no pueden solicitar ningún dato adicional de los usuarios más allá de lo que han registrado. Este proceso evita prácticas como que una RP solicite el nombre completo de un usuario cuando sólo se requiere que verifique su edad, y sirve para implementar el principio de minimización de datos, lo que permite evitar las amenazas de identificación.

Leer el artículo completo, así como el resto de la serie en la web de la AEPD