La identidad (auto)soberana como evolución de la identidad digital, es un nuevo modelo que afectará a nuestra forma de convivencia digital, hasta el punto de ser el sistema que gestionará el suministro de nuestros propios datos en un futuro próximo.

Con ellos, el titular toma el control de su información y compartirá solo aquella que sea útil y necesaria para lo que necesita buscar, contratar o aportar en la red.

Pero, ¿Puede esto afectar a los procesos de selección de una empresa? Mucho se habla sobre el “edadismo” o la problemática que – gran parte – de talento senior encuentra a la hora de buscar trabajo. ¿Será la identidad soberana un aliado para terminar con estas situaciones y muchas otras?

Veamos antes qué significa cada uno de estos conceptos:

A/ La identidad digital.

La identidad digital podemos entenderla como la forma que tenemos de identificarnos inequívocamente a la hora de acceder a servicios mediante vía electrónica.

1.- Identidad como coste:

En este sentido, nos encontramos con un escenario asociado a la identidad como un coste, con especial énfasis en el coste que nos cuesta la protección de la identidad (por ejemplo: Un banco hace una inversión para garantizar la seguridad de los usuarios y es además autenticable, pero esto genera un coste para la entidad).

2.- Identidad como medio de pago:

Hemos experimentado una evolución de sistemas como las contraseñas a sistemas de tipo de pagos con segundo factor de autenticación, verificación de identidad y medidas de seguimiento. En este sentido, las entidades bancarias han implementado sistemas de seguridad mediante comprobación con apps que te solicitan PIN o huella biométrica.

También pagamos con nuestra identidad digital. Cuando el servicio es gratuito, la mercancía son nuestros datos, somos nosotros mismos. Los operadores emplean tu identidad para venderla o mercadear con ella, a cambio de recibir determinados accesos o servicios.

«La Administración pública ha logrado crear un metasistema de identidad para acceder con tu DNI electrónico a sus páginas y servicios» (Foto: Economist & Jurist)

3.- Monopolio del dato:

Usamos cuentas proporcionadas por grandes operadores como Google o Facebook para acceder a todas partes y rincones de la red. La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la información (“LSSI”) establece al respecto determinadas obligaciones para los negocios online, las comunicaciones comerciales y la contratación electrónica (avisos legales, contenido de las condiciones de contratación en los Ecommerce…).

4.- Bien social:

La Administración pública ha logrado crear un metasistema de identidad para acceder con tu DNI electrónico a sus páginas y servicios. Ahora, gracias a esto, es posible no desplazarnos de casa para hacer trámites, es por ello que la ID está ligada al bien social.

Hemos visto un cambio de desarrollo incentivando el uso de medios electrónicos para la prevención del blanqueo de capitales a efectos a efectos de identificación para que se puedan admitir sistemas del Reglamento eIDAS. Además, en la normativa relativa a la prevención del blanqueo de capitales, se han insertado actores nuevos como las criptomonedas.

B/ Identidad autosoberana

Identificación basada en alegaciones endosadas mediante DLT (“Distributed Ledger Technology” – blockchain). Estos mecanismos se regulan por Reglamento eIDAS y la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común (en adelante “LPAC”).

La entendemos como una identidad descentralizada: Gracias a la sofisticación de los teléfonos móviles, los bienes de equipo, los avances en criptografía y blockchain, es posible crear nuevos marcos de identidad descentralizados que pueden incluir un interesante conjunto de identidad soberana descentralizada conocida como identidad autosoberana o auto gestionada (SSI).

La identidad autosoberana es el siguiente paso más allá de la identidad centrada en el usuario y esto quiere decir que comienza en el mismo lugar: el usuario controla su identidad.

Esto requiere un verdadero control del usuario de esta identidad digital, creando la autonomía del usuario.

Funcionamiento

Como usuario, me genero mi identificador que no depende de nadie, porque lo registro en una red de DLT (Distributed Ledger Technology), y obtengo credenciales para acceder a mis perfiles de redes sociales, tiendas o servicios. Sin embargo, el receptor, la tienda, la plataforma que recibe mi credencial, no va a tener ningún transvase de información.

La tecnología blockchain, se usa para sustentar el mecanismo de control de la identidad soberana. Es como mi URL personal, ostenta una dirección que controlo solo yo, me aporta garantía de existencia, persistencia y control. El perfil lo voy completando con información bancaria o de diferentes registros como el Registro Civil, Universidad, Ayuntamiento (padrón, títulos, etc.).

En el modelo DLT,  que se basa la identidad autosoberana:

• Entregamos nuestra fecha nacimiento, por ejemplo, para acceder a una plataforma.
• Pero no todos los datos (nuestro domicilio o edad) pueden ser necesarios para los fines o servicio que vamos a usar. En ese caso, los elegimos a la carta y solo utilizamos los que se acomodan al uso concreto.

Ejemplo; Si voy a formalizar una inscripción en una red social, poco les interesa conocer donde vivo, tan solo si soy mayor de edad y mi nombre.  Todo ello, implementado en algunos casos, es un modelo mucho más garante, y actúa como muestra de un camino hacia la seguridad.

El tercero receptor no tiene que tener datos que no necesita para ofrecerme un servicio concreto y eso es lo que ocurre a la hora de presentarnos a una candidatura de empleo en una empresa.

C/ ¿Por qué es útil?

Servicios en línea:

Miles de usuarios se ven abocados a que les cierren sus cuentas en redes sociales  por faltar algún dato, o recibir denuncias de phising o similares. Deberíamos existir como personas con independencia de cualquier proveedor de servicios, con potestad para decidir sobre nuestra propia identidad.

Esto es lo que se quiere realmente en la red, y la identidad soberana podría ser una revolución en este sentido.

Control de la identidad:

Con este sistema eres tu propia fuente de autoridad, puedes seleccionar los datos que quieres compartir en cada situación. Si para optar a un empleo tan solo es necesario compartir tu titulación y que eres mayor de edad, sería una solución ideal a todo acto de discriminación o como complemento al tan anhelado “curriculum ciego”.

Histórico digital:

Todos los “me gusta”, “recomendaciones” que puedo conseguir en las redes sociales se acumularían en este perfil digital.  Toda esa información estaría en mi sistema de almacenamiento en nube controlado únicamente por mí.

Phising y ciberseguridad:

Se reduce el riesgo de robo de identidad por estar dentro de la red DLT, puesto que es más difícil atacar 1 millón de móviles (nodos) que una base con datos de 1 millón de personas. Sustituir un nodo central por una red de cientos de nodos, hace que el riesgo se disminuya (no quizás descentralizada, pero distribuida sí).

Eliminamos la posibilidad de tener información colateral del usuario en línea, la traza de ese día, de lo que he realizado (trámites en el banco, compra…).

Reduce riesgo de “gran hermano”, y el coste de cumplimiento de protección de datos.

D/ Marco jurídico en España.

1. Normativa de Procedimiento Administrativo Común.

Artículo 9.2. LPAC (art. 3.1. del Real Decreto-ley 14/2019, de 31 de octubre), los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas siguientes:

1. Certificados electrónicos cualificados de firma electrónica.
2. Certificados electrónicos cualificados de sello electrónico.

Sistemas de clave concertada y cualquier otro sistema, que las Administraciones consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad, previa autorización por parte de la Secretaría General de Administración Digital del Ministerio de política Territorial y Función pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del ministerio del interior.

La autorización se emitirá en el plazo máximo de tres meses. Sin perjuicio de la obligación de la Administración General del estado de resolver en plazo, la falta de resolución de la solicitud de autorización se entenderá que tiene efectos desestimatorios.

A este respecto, se puede realizar lo que no está prohibido, mientras seas parte privada en relación a la utilización de un sistema de DLT para emitir credenciales verificables. Ello se sustenta mediante un contrato privado.

Se protege a la Administración por el anonimato del ID soberano, puede ser anónimo cuando genero mi pareja de claves y accedo con un nodo. En ese momento, hasta que no tengo credenciales no existe identidad. Si no hay credenciales el sistema no es útil, la Administración puede rechazarlo, pero sorprende que incluya la indicación de un informe previo (art. 9.2.).

1. Reglamento eIDAS:

El reglamento eIDAS define diversos niveles de autenticación:

• Nivel básico:

El PIN, puede ser gestionado por el ID soberano.

• Nivel alto:

Es bueno que pasemos de modelos centralizados como el DNI (presentamos certificado para todos los usos), a modelos distribuidos porque nos da garantías cuando distribuimos la información.

Sin embargo, la idea es que este régimen no aplica a ID basado en tecnologías de registro distribuido y requiere de una futura ley que garantice que la Administración actúa como autoridad intermedia para cumplir seguridad pública.

3. Nueva DA 6ª LPAC (artículo 3.3 RD-ley 14/2019):

No obstante lo dispuesto en los artículos 9.2 c) y 10.2 c) de la presente ley, en las relaciones de los interesados con los sujetos sometidos al ámbito de aplicación de esta Ley, no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificación basados en tecnología de registro distribuido y los sistemas de firma basados en los anteriores, en tanto no sean objeto de regulación específica por el estado en el marco del Derecho de la Unión Europea.

No impide el uso de DLT/BC con base en sistemas de identificación existentes.

2. En todo caso, cualquier sistema de identificación basado en tecnología de registro distribuido que prevea la legislación estatal a que hace referencia el apartado anterior deberá contemplar asimismo que la Administración General del Estado actuará como autoridad intermedia que ejercerá las funciones que corresponda para garantizar la seguridad pública.

El Tribunal Constitucional esperará a esta ley antes de pronunciarse al respecto. La Administración no quiere el anonimato, para niveles de seguridad altos considera que sería aceptable pero en los otros quizás no son compatibles con la protección de datos.

El ID es barra pública salvo en la Administración Pública.

E/ Conclusión:

Y con todo ello, acabaría el modelo de feudalismo digital, no pudiéndose  suspender el identificador base por nadie.

Un futuro ideal que precisa todavía de algunos cambios y derogaciones normativas como el Real Decreto-ley 14/2019, de 31 de octubre al establecer que en las relaciones de la Administración con los usuarios;

“no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificación basados en tecnología de registro distribuido y los sistemas de firma basados en los anteriores, en tanto no sean objeto de regulación específica por el estado en el marco del Derecho de la Unión Europea”.