¿Qué es el reglamento eIDAS2?
El Reglamento eIDAS2 es una actualización del Reglamento (UE) n.º 910/2014, conocido como “eIDAS original”, orientado a establecer un marco europeo modernizado para la identidad digital
Fue adoptado como Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, el 11 de abril de 2024, y entró en vigor el 20 de mayo de 2024.
El propósito de esta reforma es adaptar el régimen de identificación digital, firma y otros servicios de confianza al contexto digital moderno, de tal forma que los ciudadanos de la UE puedan identificarse y usar credenciales electrónicas de forma segura, interoperable y con control sobre sus datos.
Los detalles más relevantes del elIDAS2
La cartera debe ofrecer paneles o interfaces para que el usuario vea con qué proveedores (servicios) ha compartido datos, qué datos, y permitir solicitar la supresión de esos datos bajo el RGPD (por ejemplo, artículo 17).
Divulgación selectiva (revelación mínima): Solo se revelan los atributos estrictamente necesarios en cada transacción.
Seudonimización y uso de identificadores no rastreables: Para evitar que diferentes usos de la cartera puedan relacionarse entre sí o vincularse al usuario real, debe aplicarse el principio de no vinculación (unlinkability) e inobservabilidad (unobservability). Estos principios garantizan la seguridad y la integridad de cada una de las carteras.
Evaluaciones de impacto en protección de datos (EIPD): Los responsables que manejen credenciales o servicios relacionados con la cartera deben evaluar riesgos altos y, de ser necesario, cooperar con las autoridades de control de datos.
Registro de transacciones (logs) y trazabilidad controlada: Siempre que registre actividades, estos registros deben respetar la privacidad (mínimos, cifrados, acceso restringido).
Revocación y control del ciclo de vida de credenciales: Mecanismos para revocar una credencial emitida y evitar su uso indebido, sin comprometer la privacidad del usuario.
Funcionalidad y privacidad en la cartera eIDAS2
Para que la cartera sea útil, debe integrar servicios públicos y privados, autenticación fuerte, firmas digitales, etc. Pero estas funcionalidades pueden exigir revelar atributos, generar identificadores, realizar auditorías o trazabilidad que compitan con la privacidad del usuario.
El reglamento eIDAS2 representa un paso decisivo hacia una identidad digital europea moderna, interoperable y controlada por los ciudadanos. Pero su éxito dependerá no solo de su adopción técnica, sino de que los principios de privacidad y protección de datos se concreten en diseños criptográficos, reglas claras, auditorías y una supervisión efectiva.
El gran desafío será mantener el equilibrio entre la funcionalidad (autenticación, firma, interoperabilidad) y la protección real de la intimidad de los usuarios, especialmente frente a las amenazas de vinculación, cooperación entre partes y diseño insuficiente de protocolos.
Fuente: AEPD
En Forlopd, seguimos la actualidad normativa en referencia a la protección de datos de los usuarios, con tal de ayudar a empresas, profesionales y entidades a adaptar sus procesos a las exigencias de su sector de actividad. Evitando así costosas sanciones por parte de la Agencia Española de Protección de Datos. Puedes solicitarnos un análisis de cumplimiento gratuito a través del siguiente enlace.
