Aún no estás suscripto a Microjuris? Ingresá aquí.
Autor: Guini, Leonor
Fecha: 21-04-2023
Colección: Doctrina
Cita: MJ-DOC-17108-AR||MJD17108
Voces: DERECHO – INFORMÁTICA – TECNOLOGÍA – MONEDA VIRTUAL – DINERO DIGITAL – CRIPTOMONEDAS
Sumario:
I. Introducción. II. Derecho Comparado. III. Concepto de Identidad electrónica en el Reglamento eIDAS. IV. Proyecto de modificación o eIDAS2. V. Transformación del concepto de Identidad Digital en el proyecto de modificación del Reglamento eIDAS. VI. Un sistema de identidad basado en Blockchain como tercero de confianza.
Doctrina:
Por Leonor Guini (*)
Resumen: El objetivo de este artículo es que el lector entienda que es la Identificación digital auto-soberana o SSI. Para lo cual se parte del concepto de Terceros de Confianza e Identificación electrónica para luego realizar un estudio de derecho comparado a fin de demostrar como las normativas se van adaptando a este nuevo concepto de identidad digital auto-soberana prestado mediante infraestructuras descentralizadas.
I. INTRODUCCIÓN
Los servicios de identificación y autenticación electrónica son prestados por prestadores de servicios de certificación a los que también se conocen como prestadores de servicios de confianza o terceros de confianza
Terceros de confianza es un término genérico que abarca cualquier entidad de confianza de las partes intervinientes en una transacción para proporcionar servicios de seguridad.
En términos genéricos, estos servicios de confianza se pueden agrupar en:
Generación y custodia de certificados electrónicos, que permiten autenticación digital de la identidad, así como su verificación y validación.
Soluciones para la firma electrónica de documentos y mensajes. Esto incluye la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos.
Servicios de entrega certificada de documentos electrónicos y mensajes.
La custodia de evidencias electrónicas, documentos, firmas, sellos o certificados electrónicos.
Vamos a continuación a explicar que servicios ofrecen los proveedores de servicios de Confianza en una infraestructura centralizada y como esta misma infraestructura de clave pública puede implementarse dentro de una infraestructura descentralizada.
Al entender cómo opera la tecnología de registro distribuido como tercero de confianza comprenderemos como los proveedores de identidad se convierten en verdaderos emisores y certificadores de los atributos de identidad de los usuarios.
II.DERECHO COMPARADO
Regulación de identificación electrónica en la nueva ley de Paraguay
Ley nº 6822 / de los servicios de confianza para las transacciones electrónicas, del documento electrónico y los documentos transmisibles electrónicos.
Esta ley de reciente aparición, se equipara a una ley Uncitral de avanzada, puesto que abarca un concepto de identidad electrónica sustentada en cualquier tipo de tecnología, siempre que se cumpla con los requisitos de seguridad y confiabilidad establecidos en la referida normativa.
Sección VI Identificación Electrónica
Artículo 29. Efecto jurídico.
No se negarán efectos jurídicos ni admisibilidad en procedimientos privados, judiciales y administrativos a la identificación electrónica de una persona física o jurídica o a una persona física que representa a una persona jurídica por la sola razón de que la comprobación de identidad y la identificación electrónica se hayan hecho en forma electrónica expedidos en virtud de un sistema de identificación electrónica que cumplan con las condiciones de seguridad previstas en la presente ley.
Cuando la ley requiera o permita que se identifique a una persona, ese requisito se dará por cumplido respecto al sistema de identificación electrónica si se utiliza un método fiable para la identificación electrónica de la persona física o jurídica o a una persona física que representa a una persona jurídica.
Artículo 30.Requisitos de un sistema de identificación electrónica.
Un sistema de identificación electrónica cumple los siguientes requisitos:
a) Que los medios de identificación electrónica en virtud del sistema de identificación electrónica hayan sido expedidos por un prestador de servicios de confianza.
b) Que tanto el sistema de identificación electrónica como los medios de identificación electrónicos en su virtud expedida cumplan los requisitos de al menos uno de los niveles de seguridad previstos en la reglamentación a que hace referencia el artículo 31, apartado 3.
c) Que el prestador de servicios de confianza garantiza que los datos de identificación de la persona que representan en exclusiva a la persona en cuestión.
d) Que la parte que expide los medios de identificación electrónica previstos en este sistema garantice que los medios de identificación electrónica se atribuyan a la persona de conformidad con las especificaciones técnicas, las normas y los procedimientos del nivel de seguridad pertinente establecidos en la reglamentación a que se refiere el artículo 31, apartado 3.
e) Que el prestador de servicios de confianza garantiza la disponibilidad de la autenticación en línea de manera que cualquier parte usuaria pueda confirmar los datos de identificación de la persona recibidos en formato electrónico.
Artículo 31.Niveles de seguridad de los sistemas de identificación electrónica.
Los sistemas de identificación electrónica pueden contar con diversos niveles de seguridad y deberán ser provistos por un prestador de servicios de confianza.
Un sistema de identificación electrónica debe especificar los niveles de seguridad bajo, sustancial y alto para los medios de identificación electrónica expedidos en virtud del mismo.
Los niveles de seguridad bajo, sustancial y alto cumplirán los siguientes criterios, respectivamente:
a) El nivel de seguridad bajo se refiere a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado limitado de confianza en la identidad pretendida o declarada de una persona y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, y cuyo objetivo es reducir el riesgo de uso indebido o alteración de la identidad.
b) El nivel de seguridad sustancial se refiere a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado sustancial de confianza en la identidad pretendida o declarada de una persona y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, y cuyo objetivo es reducir sustancialmente el riesgo de uso indebido o alteración de la identidad.
c) El nivel de seguridad alto se refiere a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado de confianza en la identidad pretendida o declarada de una persona superior al medio de identificación electrónica con un nivel de seguridad sustancial, y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, cuyo objetivo es evitar el uso indebido o alteración de la identidad.
Los medios de identificación electrónica en virtud del sistema de identificación electrónica con nivel de seguridad alto, debenser expedidos por un prestador cualificado de servicios de confianza.
Como podemos observar el concepto de Identificación electrónica en esta ley es amplio, se puede identificar en forma presencial o a distancia, esta norma no se limita al uso de ninguna tecnología en particular, en lo que sí hace hincapié es en el nivel de seguridad requerido y en los controles técnicos que se deben adoptar conforme al sistema de identificación elegido, con el fin de reducir los riesgos derivados del uso indebido o alteración de la identidad.
III. CONCEPTO DE IDENTIDAD ELECTRÓNICA EN EL REGLAMENTO EIDAS
El Reglamento eIDAS (1) viene de las siglas Identificacion Electronica (eID) y Servicios de Confianza. Con este nombre se identifica al Reglamento Europeo que ha creado un marco único para la identificación electrónica y los servicios de confianza.
El «Reglamento eIDAS» establece un marco legal común para las firmas electrónicas en la Unión Europea, que parte del principio de que no se deben denegar efectos jurídicos -incluso no debe dudarse de su admisibilidad como prueba en procedimientos judiciales- de una firma electrónica por el mero hecho de ser una firma electrónica, o porque no cumpla todos los requisitos de la firma electrónica cualificada. Ahora bien, el Reglamento eIDAS remite a los Estados miembros la determinación de los efectos jurídicos de las firmas electrónicas en cada uno de ellos, con la sola excepción de la firma electrónica «cualificada(2)», a la que se reconoce «un efecto jurídico equivalente al de una firma manuscrita» (Cfr.artículo 25.2)
Por lo que en el eIDAS, la firma digital, junto con la identificación electrónica,- la cual puede ser presencial o a distancia,- y el sello de tiempo son servicios de confianza que ayudan a las organizaciones a garantizar la seguridad y eficiencia de sus operaciones.
Veremos en el capítulo siguiente como el Reglamento eIDAS se encuentra en proceso de reforma, ya que la Comisión Europea entiende que ha aparecido un nuevo entorno en el cual es necesario redefinir el concepto de identidad, pasando de un concepto de identidad rígido a nuevas soluciones de identidad digital descentralizadas y gestionadas por el propio usuario, tal como se va a explicar a continuación.
IV. PROYECTO DE MODIFICACIÓN O EIDAS2
La Unión Europea (UE) ha demostrado consistentemente su enfoque innovador hacia la tecnología y la protección de datos a través de la implementación de leyes innovadoras como el Reglamento General de Protección de Datos (RGPD) y el Reglamento de Servicios de Identificación, Autenticación y Confianza Electrónica (eIDAS). Estos marcos legales han puesto el listón muy alto en cuanto a la protección de datos, la privacidad y los estándares de identidad digital, situando a la UE como líder mundial en estos dominios. Como resultado, muchos países de todo el mundo se han sentido inspirados a hacer lo mismo, adoptando regulaciones y mejores prácticas similares que se alinean con la postura progresista de la UE, para garantizar la seguridad, la interoperabilidad y la confianza en la era digital.
La propuesta de modificación deriva de un estudio re alizado por la Comisión Europea que ha permitido comprobar que, si bien el eIDAS ha supuesto un avance favorable en todo lo relacionado con la firma electrónica de documentos, sellados y envíos certificados de documentos electrónicos, no se puede decir lo mismo de todo lo relacionado con la adopción de sistemas de identificación electrónica transfronterizos por parte de las administraciones públicas.Como parte del proceso legislativo, la Comisión Europea realizó una evaluación del reglamento eIDAS después de varios años de implementación para determinar si era necesario realizar cambios o ajustes. Esta evaluación se llevó a cabo desde el inicio de la regulación en 2014 hasta 2020.Durante este período, se observó que solo 14 estados miembros habían notificado esquemas de identificación electrónica, lo que significa que solo alrededor del 59% de los ciudadanos tenían acceso a un mecanismo de identificación electrónica. De estos 14 esquemas de identidad electrónica, solo siete eran móviles. Como resultado, se hizo evidente que la regulación no estaba respondiendo a las expectativas y necesidades de los ciudadanos, quienes cada vez más prefieren utilizar dispositivos móviles para acceder a servicios e información.
Este nuevo Marco para una Identidad Digital Europea, supone un cambio fundamental, ya que se pasa de la utilización exclusiva de soluciones de identidad digital a la provisión de declaraciones electrónicas de atributos, garantizándose de esta forma que los ciudadanos y las empresas puedan acceder a servicios públicos y privados en cualquier parte de Europa basándose en pruebas de identidad y atributos verificados.
El referido proyecto en proceso de modificación, amplia el catálogo de servicios de confianza que puedan alcanzar el grado de «cualificados». Así, se contempla la regulación del servicio de archivo de documentos electrónicos (archiving services), la atestación electrónica de atributos (attestation of attributes) o el registro de datos electrónicos en libros de contabilidad electrónicos (electronic ledgers), entre otros.
Para comprender el proyecto debemos partir de la idea que los atributos de identidad,-(carnet de conducir, N° de cuenta bancaria, título de abogado, certificado de domicilio, mi historia clínica)-, pueden o no ser datos personales y, se pueden representar digitalmente y contener en un sistema de identificación electrónica, tal como se va a tratar de explicar a continuación.
V.TRANSFORMACIÓN DEL CONCEPTO DE IDENTIDAD DIGITAL EN EL PROYECTO DE MODIFICACIÓN DEL REGLAMENTO EIDAS
El concepto de identidad digital redefinido en el eIDAS2 es mucho más amplio que el de identificación electrónica, ya que no sólo se trata de confirmar la identidad legal de una persona sino de la certificación electrónica de todos los atributos vinculados a dicha persona.
El Reglamento eIDAS no establecía nada respecto a Identidad digital y esto suponía un freno a su utilización a pesar de los modelos de identidad desarrollados por Alastria (3), o el caso de uso de la European Blockchain Services Infrastructure conocido como European Self-Sovereign Identity Framework (4). El nuevo eIDAS2, supone una transformación conceptual, ya que se pasa de un concepto de identificación rígida otorgada por el estado (identidad legal) a un sistema de identificación liquida y reconfigurable, que expande el concepto de identidad pública.
De tal forma que los atributos de identidad en este sistema de identidad auto-soberana, están contenidos en una credencial digital y el titular controla sus atributos y los comparte con quien él decida. Cada wallet (5) o cartera del usuario almacena certificados de atributos expedidos por distintos proveedores, algunos de los cuales podrán ser cualificados y otros no, incluso se prevé en el proyecto en estudio que los proveedores de Servicios de Certificación puedan tener acceso a los Registros Públicos, como fuentes auténticas a los fines de la obtención de datos certeros desde el punto de vista de su validez probatoria.
Para operar en este sistema el usuario debe crear su identificador único o seudónimo y solicitar a los distintos proveedores que le expidan credenciales asociadas a su identificador, para luego compartirlas con terceros.La validación del Identificador ID único y de las credenciales del usuario se verifica en blockchain.
La credencial que contiene afirmaciones sobre los atributos de identidad, es un documento electrónico que contiene datos, datos que su titular como usuario autónomo del sistema,- el cual no depende de una base de datos-, decidirá compartir con un verificador. Todos los sujetos que participan en este sistema de ID digital auto-soberana, emisor, verificador y sujeto titular de la wallet, están identificados en Blockchain por un identificador único descentralizado o DID.
Todas las credenciales verificables pueden ser revocadas, sin embargo el Identificador único o DID base, no puede ser revocado ni suspendido excepto por el propio usuario, superándose el modelo de identificación delegada, ya que se distribuye la autenticación, superándose el riesgo del punto único de control o nodo único de autenticación, dado que no existe dependencia de un único proveedor.
Cada titular puede tener varias credenciales y estas pueden identificar a un sujeto a un objeto o a un proceso. La información de cada credencial es similar a la de un certificado de atributos firmado digitalmente por el emisor.La validación de las transacciones es por consenso, utilizándose un esquema de consenso que sea sostenible y que no genere especulación, por eso se piensa en utilizar un sistema de prueba de autoridad o prueba de compromiso,(6) de tal forma que SSI (7) pueda ofrecer garantías jurídicas sólidas y un mayor marco de privacidad.
Por lo que con SSI se determina la identidad de un sujeto, objeto o proceso titular de un DID de forma fiable tanto para la emisión de la credencial como para su consumo, lo que falta todavía es definir marcos de gobernanza y anclajes de confianza que acompañen este proceso.
Crear Infraestructuras de clave pública en las cuales se depende técnica y jurídicamente de un Certificador licenciado, no responde a las recomendaciones de la OCDE sobre la gobernanza de la Identidad digital ni al proyecto de normativa Europea.
En líneas generales y conforme lo expuesto podemos observar a nivel global que a medida que los servicios esenciales se trasladaron en línea, surgieron canales digitales para manejar los procesos de verificación de identidad, la prueba de identidad y la autenticación de declaraciones de identidad verificadas. La aparición de las credenciales y billeteras digitales, las tarjetas de identificación electrónicas y las aplicaciones de identificación móvil proporcionadas por entidades públicas o privadas han contribuido a la evolución del panorama de la identidad digital. A pesar de estos avances, en muchos países sigue habiendo una falta de colaboración entre sectores, interoperabilidad y una experiencia de usuario de baja calidad. A medida que se accede a más y más servicios esenciales en línea y más allá de las fronteras, se vuelve importante mejorar la gobernanza y la implementación de los sistemas de identidad digital en línea con las necesidades del usuario.
De allí la necesidad de la OCDE (8) de formular recomendaciones en torno a tres pilares:Desarrollar sistemas de identidad digital inclusivos y centrados en el usuario
Fortalecimiento de la gobernanza de la identidad digital
Permitir el uso transfronterizo de la identidad digital
Estos son justamente los propósitos del eIDAS 2 ya comentado, dado que cuando la Recomendación OCDE se refiere a sistemas inclusivos y centrados en el usuario se refiere a la llamada Identidad digital auto-soberana.
VI. UN SISTEMA DE IDENTIDAD BASADO EN BLOCKCHAIN COMO TERCERO DE CONFIANZA
Siempre para disminuir nuestra incertidumbre necesitamos confiar en terceros de confianza tales como instituciones políticas y económicas, como bancos, corporaciones, gobiernos o proveedores de servicios de certificación; ahora lo podemos hacer solo con la tecnología, ya que la tecnología blockchain por si misma actúa como tercero de confianza. La pregunta es porque?
En primer lugar porque la tecnología de la cadena de bloques es una base de datos descentralizada que almacena un registro de activos y transacciones en una red peer-to-peer.
Es prácticamente un registro público de quién posee qué y quién gestiona qué. Las transacciones se protegen con criptografía, y el historial de transacciones se guarda en bloques de datos que más tarde se agrupan y protegen mediante criptografía. Esto crea un registro inmutable e infalsificable de todas las transacciones de esta red, registro que se copia en cada ordenador que utiliza la red.
Las cadenas de bloques nos permiten crear una plataforma global abierta en la que almacenar cualquier verificación sobre cualquier individuo de cualquier fuente. Esto nos permite crear una identidad transferible controlada por los usuarios. Más que un perfil, esto significa poder revelar diferentes atributos de forma selectiva que ayudan a facilitar el comercio o la interacción. Esta identidad transferible, tanto en el mundo físico como en el digital, nos permite establecer todo tipo de comercio de una forma totalmente nueva.
La tecnología de registro distribuida (DLT), propia del blockchain, es lo que hace esto posible.Y tal como lo vimos permite a múltiples instituciones, organizaciones y gobiernos trabajar juntos por primera vez formando una red distribuida, donde los datos se replican en múltiples ubicaciones para resistir las fallas y la manipulación (de ahí el nombre de «identidad -digital – distribuida», DID).
En dicho modelo, las organizaciones que actualmente sirven como «proveedores de identidad» pasan a ser creadoras o certificadoras de identidad. En otras palabras, alguien todavía necesita asegurar que un indi viduo es quien dice ser.
Podemos como conclusión afirmar que estamos viviendo una etapa en la cual el monopolio público de la identidad se ve cuestionado, y las emergentes identidades descentralizadas o identidades soberanas están iniciando un relevante debate regulatorio y filosófico. La Identidad Digital con el enfoque estudiado genera inclusión y multiplica la cantidad de transacciones transfronterizas reduciéndose de este modo todo tipo de brechas de seguridad. No dudo que para acompañar este proceso se requiere el acompañamiento de un marco legal de gobernanza adecuado que confiera confianza y seguridad. Por lo que sin duda el concepto de Identidad digital, es un concepto clave en este futuro mercado global para alcanzar una economía descentralizada o un verdadero ecosistema blockchain.
———-
(1) La denominación formal sería REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE
La firma cualificada es aquella expedida por un Prestador de Servicios licenciado o cuya licencia fue aprobada por el Estado
(2) La firma cualificada es aquella expedida por un Prestador de Servicios licenciado o cuya licencia fue aprobada por el Estado
(3) Asociación Nacional Española de Blockchain
(4) (ESSIF)
(5) las credenciales verificables o VC tienen que ser almacenadas en algún sitio. Ese sitio es tu wallet (o billetera si prefieres la traducción), un wallet digital.Hoy en día estamos acostumbrados a tener un wallet digital en el móvil, uno en el que guardamos las tarjetas de crédito, de descuento, de fidelidad.
Las VC podrían acabar ahí pero a los wallet integrados en los móviles les faltan algunas funciones cruciales, generalmente relacionadas con seguridad y auditoría.
Así que se necesita una nueva generación de wallets para gestionar la identidad digital. Ya hay algunos en el mercado y tengamos en cuenta que aunque parece que el más propicio sería uno en el móvil podríamos tener otros, como por ejemplo en la nube.
Las operaciones básicas de un wallet son recibir credenciales de un Emisor, almacenarlas y presentarlas a un proveedor para acceder a algún tipo de servicio.
(6) Un algoritmo de prueba de autoridad, sistema de ‘reputación’ o simplemente sistema PoA (del inglés Proof-Of-Authority system) es un algoritmo utilizado en blockchain que permite validar transacciones de manera rápida, a través de un mecanismo de consenso distribuido basado en la identidad y reputación de los nodos elegidos como validadores de bloques, de tal manera que para realizar sus funciones los nodos no tienen que apostar, pero es necesario realizar una verificación de su identidad y fiabilidad.
Los algoritmos PoA se basan en un conjunto de N nodos de confianza llamados validadores o autoridades. Cada validador es identificado por un identificador único y se supone que la mayoría de ellos actúan de forma honesta, es decir, al menos N/2 + 1.1
Este algoritmo de consenso tiene una diferencia principal con respecto a los mecanismos de PoW y PoS, esta es que aprovecha la identidad real revelada de forma voluntaria por cada uno de los validadores, como seguro de confianza y muestra de transparencia para que el resto de nodos confíen en él y así pueda encargarse de la generación de los nuevos bloques.Al asociar una reputación a la identidad real, se incentiva a los validadores a mantener el proceso de transacción, ya que cualquier acto que atente contra la fiabilidad y transparencia de la red, recae directamente sobre esa persona o institución y puede provocar que su reputación se arruine en todas partes
(7) Self-Sovereign Identity (SSI) pretende de la mano de blockchain (aunque no necesariamente) devolver el poder de la identidad al propio usuario, permitiendo al mismo gobernar los atributos que componen su identidad, maximizando su privacidad.
(8) https://www.oecd.org/governance/digital-government/online-public-consultation-draft-oecd-recommendation-on-th
-governance-of-digital-identity.htm
(*) Abogada UBA, Obtuve mi título de posgrado como abogada especialista en Derecho de la Alta Tecnología en la UCA (2005), con amplia trayectoria en el desarrollo de proyectos jurídicotecnológicos en el ámbito público y privado. He desarrollado proyectos de regulación compleja en seguridad tales como los relacionados con la Autoridad Certificante Raíz de la República Argentina y el licenciamiento de Prestadores de Servicios de infraestructura de clave pública del Sector Privado. He participado como asesora legal en proyectos tecnológicos relacionados con temas de firma electrónica/digital, protección de datos, historia clínica digital y en temas relacionados con Propiedad Intelectual. Realicé relevamientos y Auditorías integrales relacionados con la implementación de infraestructuras de firma digital. Me encuentro certificada por la Asociación Española de Calidad como Delegada en Protección de Datos, cargo que desempeño actualmente en Gire SA como DPO Externa. Actualmente me desempeño como adjunta del Posgrado de «Derecho Informático» de la UBA y asimismo en la actividad privada como Consultora en temas relacionados con el Derecho de las Nuevas Tecnologías de la Información.
