El marco legal actual para la verificación de la identidad digital

La regulación legal es siempre uno de los puntos más controvertidos de cualquier nueva tecnología. Hasta hace unas décadas, la tecnología estaba poco o nada regulada, tampoco era demasiado necesario. El «nacimiento» de internet se marca en 1983, pero no fue hasta 1991 que usuarios externos pudieron acceder a la red creada por Tim Berners Lee para el CERN.

A partir de aquí, la World Wide Web ha crecido de manera exponencial: en 1993 había solo 100 webs, y en 1997 ya había más de 200.000. ¿Sería posible contar las que hay hoy en día? Según el informe Digital 2022 de We Are Social y Hootsuite, actualmente en internet hay casi 5 billones de personas, el 62,5% de la población mundial.

Evidentemente, este nuevo mundo digital —ya no podemos entenderlo solo como un canal, ni tan siquiera un entorno— necesita ser regulado y controlado, para evitar los delitos y usos fraudulentos de la información, y proteger tanto a usuarios como a empresas.

Si tenemos en cuenta el exponencial ritmo de crecimiento del uso de internet y la velocidad a la que surgen nuevas tecnologías y funcionalidades, ¿podemos afirmar que está suficientemente regulado? Además, hay que tener en cuenta que la regulación legal de la tecnología es uno de los principales factores que genera confianza en los consumidores.

El marco normativo para la identidad digital

Afortunadamente, en los últimos años ha habido grandes avances en el marco regulatorio de las nuevas tecnologías, especialmente aquellas que afectan a las soluciones de verificación de la identidad digital. La Asociación Española de Fintech (AEFI), en su reciente publicación del "Libro blanco de RegTech: La industria RegTech española y su marco regulatorio", expone en uno de sus apartados el estado actual de la normativa que regula los usos y aplicaciones de la identidad digital.

¿Cuáles son estas normativas?

1. Normativa de prevención del blanqueo de capitales y financiación del terrorismo

En España, la normativa de referencia es la Ley 10/20, de 28 de abril, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, también conocida por sus siglas LPBC. La normativa está armonizada a nivel de la Unión Europea. El dato más interesante respecto a esta normativa es que está prevista la aprobación de un paquete de nuevas medidas, en el marco del proyecto Security Union Strategy 2020-2025, que establece las herramientas y medidas que se están desarrollando para garantizar la seguridad en el entorno físico y digital.

Como indicó Ylva Johansson, Commissioner for Home Affairs, «saber que uno está seguro, online, en público o en su casa, para sus hijos, genera confianza y cohesión en la sociedad. Con la Security Union Strategy, nos centramos en los ámbitos en los que la UE puede marcar la diferencia a la hora de proteger a las personas en toda Europa, anticipando y haciendo frente a la evolución de las amenazas».

Entre las obligaciones de esta normativa se encuentra la identificación en operaciones no presenciales o a distancia. El auge de las operaciones y contrataciones electrónicas, especialmente en el sector financiero, han hecho necesaria la aplicación de medidas de identificación de clientes a través de sistemas electrónicos. La LPBC establece que se pueda realizar esta identificación no presencial mediante una firma electrónica (Reglamento eIDAS) o acreditar la identidad mediante procedimientos seguros autorizados previamente por el SEPBLAC.

2. El Reglamento eIDAS

El Reglamento eIDAS regula lo que se conoce como servicios electrónicos de confianza, una categoría de servicios electrónicos de la sociedad de la información que comprende, entre otros, la firma electrónica. La importancia del eIDAS radica en que supuso una homogenización de los estándares técnicos y las medidas de seguridad entre los operadores de los Estados miembro de la UE. En España, la LSEC refuerza y complementa algunos aspectos del eIDAS.

En 2021 se publicó una propuesta de Reglamento del Parlamento Europeo y el Consejo que se conoce como European Digital Identity Regulation o eIDAS2. Los dos puntos más destacados de esta propuesta son el propósito de imponer a los Estados miembros la obligación de expedir una cartera de identidad digital que permita a los ciudadanos identificarse de forma segura y uniforme en entidades públicas y privadas; y avanzar hacia la descentralización de los sistemas de verificación de la identidad, lo que se conoce como Self Sovereign Identity o Identidad Soberana.

3. El Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos o RGDP tiene como objeto regular el uso de datos de personas físicas. Una de las principales novedades que introdujo fue una ampliación de las obligaciones para los responsables del tratamiento de los datos, y nuevos derechos para las personas sobre el acceso, modificación y cancelación de sus propios datos. Sin embargo, uno de los puntos todavía en el aire y que despiertan más controversia es la regulación del tratamiento de los datos biométricos.

El RGPD indica que «serán considerados datos sensibles aquellos datos biométricos cuyo tratamiento con medios técnicos específicos permita la identificación o la autenticación unívocas de la persona física». Así, el tratamiento general no podrá llevarse a cabo fuera de esta base jurídica.

Uno de los problemas de la regulación actual es que no diferencia entre verificación y autenticación, y que puede resultar un sistema muy intrusivo para los derechos fundamentales de las personas cuando se utiliza para dar de alta clientes en un canal online, como manifestó la Agencia Española de Protección de Datos o AEPD. Por otra parte, la identificación digital por medios biométricos es actualmente uno de los sistemas más seguros que existen, por lo que seguramente veremos un cambio también en la normativa que regula esta tecnología.

4. Espacios controlados de pruebas (sandbox)

Una de las buenas noticias respecto a la regulación de la tecnología fue la aprobación en España en el 2020 de un sandbox o espacio controlado de pruebas, donde empresas financieras pueden testar y aprobar nuevas soluciones. Este espacio es especialmente interesante para las fintech, que suelen ser las más proactivas a la hora de desarrollar y proponer soluciones disruptivas, aunque puede beneficiarse todo el ecosistema financiero.

Las empresas que quieran acceder al sandbox deberán cumplir unos ciertos requisitos, y realizarán el protocolo de pruebas bajo la supervisión de la autoridad competente en función del ámbito en el que operen. Por ejemplo, se han presentado proyectos relacionados con la contratación online y con la biometría y la seguridad.

¿Quieres saber más? Consulta el libro blanco RegTech

El poder de la verificación de la identidad

 ¿Cómo se puede implementar?