La identificación imposible en internet
La Comisión Europea está impulsando para toda la Unión un sistema que permita el uso de los certificados digitales
La comprobación de la identidad de las personas es una premisa sin discusión. Los fraudes en la identidad y los perjuicios que generan no son admisibles.
El principal instrumento de identificación es el DNI, que, además, ha empezado a ajustarse a un estándar en la Unión Europea. El DNI contiene un chip con los datos del titular y unos certificados electrónicos que permiten identificarse y firmar documentos digitalmente. Parece perfecto: un dispositivo de máxima seguridad y generalizado para los ciudadanos que permite identificarnos ante una persona o ante una máquina y que, en teoría, impide el fraude de identidad.
Pero, muy pocos lo han utilizado alguna vez. Las empresas no lo han integrado en los procesos digitales de contratación y la Administración ha desarrollado desde apps (Cl@ve PIN o autofirm@) hasta asignación de referencias que sirven para lo mismo y, de facto, lo sustituyen. Esto se debe a lo aparatoso que resulta su uso, que requiere de un dispositivo de lectura del chip del que carecen los móviles y las tabletas.
Las empresas de certificación electrónica tampoco han desarrollado ningún servicio para identificarse en la Red, de modo que, hoy en día, la seguridad del tráfico en internet es imposible.
Este problema debe de ser común a todos los Estados miembros y la Comisión Europea está impulsando para toda la Unión un sistema que permita el uso de los certificados digitales (no solo del DNI, sino también los de empresas certificadoras), con independencia del Estado miembro desde el que se haya emitido o desde el que se use para identificarse.
Pero parece que este sistema no llega nunca. La directiva de firma electrónica de 1999 fragmentó la regulación e impidió la unidad del mercado digital. El reglamento eIDAS (1) de 2014 reguló los certificados electrónicos europeos para toda la Unión, pero pasó inadvertido.
Ahora, la Comisión ha publicado, el 3 de junio de 2021, una propuesta de modificación del sistema eIDAS para impulsar la creación de la cartera europea de identidad digital, como una app, API o similar, regulada y reconocida en toda la Unión, que facilitará la identificación, la firma electrónica de contratos y la conservación digital de documentos, y aportará a los usuarios seguridad, confianza y facilidad de acceso a los certificados.
La cartera europea de identidad digital la anunció Ursula von der Leyen en su discurso sobre el estado de la Unión de 2020 manifestando: "Cada vez que una aplicación o un sitio web nos pide que creemos una nueva identidad digital o que nos conectemos fácilmente a través de una gran plataforma, en realidad no tenemos ni idea de lo que sucede con nuestros datos. Esta es la razón por la que la Comisión propondrá una identidad electrónica europea segura. Una identidad en la que confiemos y que cualquier ciudadano pueda utilizar en cualquier lugar de Europa para cualquier operación, desde el pago de sus impuestos hasta el alquiler de una bicicleta. Una tecnología con la que nosotros mismos podamos controlar qué datos se utilizan y cómo".
La seguridad es la piedra angular para el desarrollo del comercio electrónico, pero todavía hoy no se ofrece ni usa, a pesar de que la tecnología existe. Según vemos cómo se demoran los procesos en la Unión Europea, podemos afirmar que la espera será muy larga.
Sin embargo, la actividad online no puede esperar a las condiciones propicias y las empresas compiten en internet batallando por la innovación, la eficiencia y la calidad de los servicios.
Además, la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo (PBCyFT) exige a las entidades financieras y a las demás reguladas que identifiquen a las personas con las que contratan sirviéndose de la firma electrónica cualificada como mejor solución (2), aunque admite otras, como una transferencia bancaria en ciertas condiciones, que es poco eficaz en el tráfico interactivo al requerir la verificación del ingreso.
La ausencia de un servicio efectivo de identificación electrónica obliga a las entidades reguladas a aceptar bajo su responsabilidad pruebas de identidad fácilmente manipulables, como la fotocopia del DNI.
Ante esto, el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias, SEPBLAC, tuvo la sensibilidad de admitir como sistema de identificación un video selfi que mostrara el rostro del contratante y las dos caras de su DNI. Como regla general, las entidades analizan manualmente estos archivos, aunque cada vez son más las que refuerzan esta actividad con sistemas biométricos de verificación de la identidad.
Sin embargo, resurgen los inconvenientes: un informe jurídico de la Agencia Española de Protección de Datos (AEPD), del 2 de julio de 2021, ha determinado que el Reglamento General de Protección de Datos (RGPD) no permite utilizar la biometría para verificar la identidad en este ámbito.
El RGPD prohíbe el tratamiento de datos biométricos con ciertas excepciones, como las de supuestos en los que concurran razones de interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros, o el consentimiento explícito del interesado.
El informe de la AEPD razona, en primer lugar, que no cabe apreciar la concurrencia de razones de interés público esencial en estos sistemas de identificación, ya que la ley de PBCyFT no lo declara específicamente, ni ampara restringir la protección de datos. Además, la identificación sirve a las entidades financieras, no solo para la PBCyFT, sino también para prevenir la suplantación y el fraude, que es un interés meramente privado.
En segundo lugar, el consentimiento carece de libertad y, por tanto, de validez si se impone al interesado, lo que sucede cuando condiciona el acceso a los servicios de la entidad. Sería libre si el interesado pudiera optar por algún sistema distinto para identificarse que se le ofreciera. En definitiva, las entidades que utilizan la biometría como refuerzo de estos procesos tienen que solicitar el consentimiento al interesado y, si lo rechaza, impedir el refuerzo para ese expediente.
Cabe añadir a esta última cuestión que la interpretación de la libertad del consentimiento es un tema discutido y que, aunque ha sido en otros ámbitos, las autoridades de protección de datos han manifestado posturas enfrentadas. Si esto diera lugar a diferencias entre los Estados miembros, el Comité Europeo de Protección de Datos y, en última instancia, el Tribunal de Justicia de la Unión Europea, tendrían que dirimir este aspecto para garantizar la libertad de servicios en la Unión.
Por tanto, el sistema de identificación sólo puede completarse con intervención humana, asistida o no mediante la biometría, y siempre con opción del interesado. Pero la intervención humana incrementa el riesgo de errores.
Cabe también proponer otros métodos diferentes de identificación automáticos amparados en la directiva de medios de pago (PSD 2, en siglas inglesas), como, por ejemplo, la verificación del titular de la cuenta, pero el SEPBLAC tiene que validarlos antes de desarrollarlos y permitir su uso.
En definitiva, parece que la cartera europea de identidad digital va a ser la única solución realmente operativa, ya que permitirá automatizar totalmente el proceso garantizando los mejores resultados. Pero tardará en llegar. Mientras tanto, sin perjuicio de intentar alternativas creativas que resuelvan este problema, la actividad online continuará frenada por el fraude amparado por las dificultades para identificar a las personas.
[1] Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE. Se conoce como eIDAS por las siglas inglesas de electronic IDentification, Authentication and trust Services.
[2] Artículo 12 de la ley de PBCyFT.
Javier Aparicio, socio de finReg360