La identidad digital autosoberana y el principio de sólo una vez, como palanca de transformación digital

Dr. Ignacio Alamillo
Astrea Infopista Jurídica, iDerTec-U Murcia
Experto legal del proyecto European Blockchain Services Infrastructure (Comisión Europea)

Las tecnologías de registro distribuido, como blockchain, crean nuevas oportunidades para la transformación de los procesos tradicionalmente basados en la intervención de intermediarios. Una de ésta se refiere a la denominada identidad auto-soberana (self-sovereign identity, en inglés), que es aquella creada y gestionada por cada persona individualmente, sin la intervención de terceras partes.

Estas identidades deben atender a las siguientes características: existencia de la identidad de una persona independientemente de administradores o proveedores de identidad; control por la persona de sus identidades digitales; acceso completo por las personas a sus datos; transparencia de los sistemas y algoritmos; persistencia de las identidades digitales; portabilidad de las identidades digitales; interoperabilidad de las identidades digitales; cumplimiento de la economía de datos; y protección de los derechos de la persona.

En un sistema de identidad auto-soberana basado en tecnologías de registro distribuido, el usuario puede obtener testimonios de datos de identidad, producidos por entidades que los han verificado, y para posteriormente poder crear alegaciones de identidad en las que presentará, a terceros, los datos que requiera para acreditar su identidad u otras atribuciones.

A diferencia, pues, de los sistemas que más se emplean en la actualidad en el procedimiento administrativo electrónico, como Cl@ve, en los que interviene un proveedor de identidad en cada autenticación, en estos sistemas de identidad auto-soberana tal intervención desaparece.

En efecto, en el sistema Cl@ve la identificación se sustenta en un proceso en el que participan diversas entidades: en primer lugar, el interesado se conecta al servicio electrónico ofrecido por la Administración a que desea acceder, y selecciona autenticarse mediante Cl@ve. Este servicio reenvía al interesado a la página web del servicio Cl@ve, donde se produce la autenticación (por ejemplo, mediante contraseña o doble factor de autenticación). Una vez autenticado el interesado, se le entrega una prenda (un código) y se le reenvía de nuevo al servicio al que precisa acceder, debiendo entregarle dicha prenda. A continuación, el servicio pregunta a Cl@ve acerca de la identidad del interesado, para lo cual le envía esta prenda, y recibe una respuesta, en forma de documento en XML, con dichos datos de identidad. Finalmente, concede acceso.

Fuente: https://unsplash.com/photos/JNxTZzpHmsI

En cambio, en un sistema de identidad auto-soberana, dado que el interesado posee ya los datos de identidad y otros atributos autenticados por los emisores, debidamente enlazados en la red de nodos, para identificarse frente a terceros ya no necesita de la intervención de los emisores.

Respecto a la posibilidad de emplear estas tecnologías, la nueva redacción de los artículos 9.2 y 10.2 (sorprendentemente) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC), dada por Real Decreto-ley 14/2019, , por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, sujeta a autorización administrativa previa el uso de sistemas de identificación y firma electrónica por parte de los ciudadanos en sus relaciones con las Administraciones Públicas a autorización por parte de la Secretaría General de Administración Digital, con la prevención de que dicha autorización únicamente podrá ser denegada, previo informe vinculante, en caso de que se aprecie, de forma motivada, la existencia de riesgos significativos para la seguridad pública.

Además, en ambos artículos se incorpora un nuevo epígrafe que “establece la obligatoriedad de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en caso de tratarse de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en territorio español”, añadiéndose que, “en cualquier caso, los datos se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes”, cabe imaginar que en los casos y con las cautelas legalmente previstas.

No parece arriesgado aventurar la hipótesis de que esta reforma se ha basado en premisas políticas y no en criterios técnicos, especialmente atendiendo a la prohibición temporal, mediante la nueva disposición adicional sexta de la LPAC, de admisión de los sistemas de identificación basados en tecnologías de registro distribuido, ni de los servicios de firma electrónica basados en dichos sistemas de identificación, que no podrán ser autorizados hasta su regulación por Ley estatal.

El régimen expuesto exige diversas consideraciones. En primer lugar, resulta injustificable el recurso del Real Decreto-Ley, reservado a causas de extraordinaria y urgente necesidad, dada la inmadurez de los sistemas de identidad auto-soberana en general, y en las relaciones con las Administraciones Públicas en particular. En segundo lugar, la conexión entre las competencias de las Administraciones Públicas relativas a la identificación electrónica de los interesados, y la competencia de seguridad pública plantea problemas de orden constitucional, dada la necesidad de sustentar de forma sólida tan grave interferencia vertical. Aunque puede imaginarse una posible invocación del artículo 2 de la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, en atención a la consideración de la Administración Pública como un servicio esencial, no parece encajar con la reforma tan urgentemente (e innecesariamente, en mi opinión) aprobada, ni siquiera en el marco del Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Fuente: https://unsplash.com/photos/aU1cBKa3mJU

Es cierto que existen riesgos que dimanan de las diversas arquitecturas existentes de identidad digital auto-soberana. Determinados sistemas podrían impedir o, cuanto menos, dificultar extraordinariamente, algunas de las “funcionalidades deseables” (para algunos, obviamente) en las arquitecturas de control propias de los sistemas de seguridad pública en Internet, esencialmente poder trazar la comisión de ilícitos de todo tipo, e incluso impedirlos mediante la “incautación” de una cuenta de usuario, pero ciertamente los interesados tienen también derecho a la protección de datos personales, y ello puede conducir a la sustitución de los sistemas actuales, como Cl@ve, precisamente por ser incompatibles con los principios de protección de datos.

Quizá se quieran (o se deban) poner restricciones a los usuarios legítimos de forma preventiva, pero ello supone un reto importante de balanceo entre derechos fundamentales y cumplimiento de la Ley, al que estamos asistiendo los últimos años en el ámbito de la retención y utilización de datos de tráfico por parte de los prestadores de servicios de comunicaciones electrónicas y algunos servicios de la sociedad de la información como el correo electrónico.

En este sentido, resulta especialmente preocupante el epígrafe 2 de la nueva disposición adicional sexta de la LPAC, que ordena que “cualquier sistema de identificación basado en tecnología de registro distribuido que prevea la legislación estatal a que hace referencia el apartado anterior deberá contemplar asimismo que la Administración General del Estado actuará como autoridad intermedia que ejercerá las funciones que corresponda para garantizar la seguridad pública”, norma absolutamente abierta que podría entenderse como una restricción al seudonimato en el uso de los sistemas de identidad-autosoberana o, incluso peor, a la autonomía en su uso, que es la principal propiedad que les diferencia, a mi juicio, de los sistemas actualmente en funcionamiento.

Lo cierto es que determinadas opciones legislativas podrían erosionar aún más derechos fundamentales, en particular la intimidad, la protección de datos o la libertad de expresión; al tiempo de que la experiencia histórica demuestra que los infractores despliegan sus propios sistemas para la comisión de ilícitos penales, por lo que la probabilidad de que los verdaderos criminales sustenten sus actividades en el uso de servicios de administración digital es más que remota.

En tercer lugar, no parece aportar mucho la exigencia de que los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de los sistemas de identificación y firma electrónica se encuentren situados en territorio de la Unión Europea, aunque es cierto que parece constituir una restricción adicional con respecto a la posibilidad de ubicar dichos sistemas en sistemas en Cloud de terceros Estados, que gocen, por ejemplo, de una decisión de adecuación.

Más llama la atención la exigencia de que dichos sistemas estén en suelo español cuando traten las categorías especiales de datos a los que se refiere el artículo 9 del RGPD, previsión que sólo resulta comprensible en atención al uso de biometría, algo que únicamente podría realizarse con base en el principio del consentimiento, al tratarse de sistemas de uso voluntario.

Cabe, sin embargo, apreciar positivamente la reinstauración del derecho de los interesados al uso de la firma electrónica avanzada basada en certificado cualificado, gracias a la uniformización del tratamiento de los artículos 9.2 y 10.2 de la LPAC operada por el citado RD-ley 14/2019. En efecto, mientras la redacción anterior permitía a la Administración la imposición del uso en exclusiva de sistemas de firma electrónica no avanzada, el nuevo artículo 10.2 LPAC ordena que “las Administraciones Públicas deberán garantizar que la utilización de uno de los sistemas previstos en las letras a) y b) sea posible para todos los procedimientos en todos sus trámites, aun cuando adicionalmente se permita alguno de los previstos al amparo de lo dispuesto en la letra c)”.

El efecto de esta modificación es mayor de lo que inicialmente pueda parecer, porque conlleva la aplicación del artículo 27 (en el caso de la firma electrónica) y del artículo 37 (en el caso del sello electrónico) del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, extendiendo este mismo derecho a los interesados domiciliados o residentes en otros Estados de la Unión que deban relacionarse electrónicamente con las Administraciones Públicas.

Sin embargo, el aspecto más relevante, es la oportunidad que supone la necesidad de regular el uso de las tecnologías de registro distribuido por parte de las Administraciones Públicas, tanto en sus relaciones con los interesados, cuanto entre ellas mismas.

Aunque la prohibición no tiene un alcance tan importante como inicialmente pueda parecer, al no haber restringido el uso, en transacciones registradas en Blockchain, de sistemas de identificación “clásicos”, como el propio DNI electrónico o sistemas como Cl@ve o idCAT Mòbil, abre el debate que realmente hay que tener en España y en la Unión Europea. Quizá sólo de esta forma se pueda avanzar en la creación de un marco europeo en el que tenga encaje la normativa de los diversos Estados Miembros. Sin duda, los ya avanzados trabajos de la EBSI – Infraestructura Europea de Servicios de Blockchain, en el ámbito de la European Blockchain Partnership y la Comisión Europea, podrán realizar contribuciones relevantes en este sentido.

Más allá de la identificación personal, la identidad auto-soberana constituye, sin embargo, un mecanismo complementario al intercambio de datos, en el marco del principio de “sólo una vez”.

En este sentido, el debate alrededor de los sistemas de identificación basados en tecnologías de registro distribuido, al que nos acabamos de referir, ha desenfocado la principal utilidad que esta tecnología ofrece, que no es otra que la de permitir a la persona interesada recibir credenciales con sus datos de identidad (que en realidad pueden ser cualesquiera informaciones personales) y compartirlas con terceras entidades.

Desde este punto de vista, nos encontramos frente a un mecanismo que parece resultar contradictorio atendiendo al derecho del interesado a no aportar datos y documentos, consagrado en el artículo 28 de la LPAC , que responde al dictado del principio europeo de “sólo una vez”, pero lo que hay que considerar es que el mismo permite al interesado compartir con terceros (o autorizar el acceso a) las informaciones personales que constan a la Administración, algo especialmente relevante debido a las limitaciones del artículo 155 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, mayores si cabe tras su reforma por el ya mencionado Real Decreto-ley 14/2019.

Aunque es cierto que la disposición adicional décima de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, permitiría, en determinados casos, la cesión de datos de las Administraciones Públicas a entidades privadas, ello exige contar con el consentimiento o apreciar la existencia de un interés legítimo, lo que no resulta procedente cuando es el propio interesado quien comparte sus informaciones con quien considera oportuno.

Y en sentido contrario, estos sistemas también permiten compartir informaciones producidas por entidades privadas con las Administraciones Públicas, de forma interoperable, segura y con pleno cumplimiento de la legislación de protección de datos, por lo que coadyuva a facilitar la carga de aportación documental de los interesados, cuando la misma resulte exigible. De nuevo, proyectos españoles como Alastria y europeos como EBSI permiten el desarrollo y la implementación de estas técnicas, llamadas a tener un importante protagonismo en el Mercado Único Digital de la Unión.

Finalmente, y también en íntima conexión con las necesidades de identificación y firma electrónicas que se acaban de exponer, encontramos la acreditación de las facultades de representación de un tercero.

Conforme autoriza el artículo 5.4 de la LPAC, “la representación podrá acreditarse mediante cualquier medio válido en Derecho que deje constancia fidedigna de su existencia”, por lo que podría perfectamente plantearse la posibilidad de utilizar también para ello la tecnología de registro distribuido, dado que en el fondo nos estamos refiriendo a atributos de una persona.

En efecto, sistemas como el ya indicado de Alastria permitirían la obtención de un poder notarial, por ejemplo, y su tokenización a efectos de trasferencia a la Administración por parte del interesado, para lo cual debería producirse la correspondiente copia electrónica auténtica conforme a las previsiones del artículo 17 bis.3 de la Ley del Notariado de 28 de mayo de 1862, incorporado por artículo 115 de la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social.

Más aún, puede emplearse el propio sistema de Blockchain para la concesión del apoderamiento electrónicamente, que será entregado al apoderado, encontrándonos ante un apoderamiento que ya no será apud acta, sino endosado con base en la red.

Estas posibilidades de apoderamiento no se ven necesariamente afectadas por el RD-Ley 14/2019 anteriormente reseñadas, pudiéndose emplear cuando el medio de identificación y firma no se base en tecnologías de registro distribuido, sino que se emplee un medio ya autorizado, como certificado electrónico de persona física o bien sistemas como Cl@ve.

Astrea Infopista Jurídica, iDerTec-U Murcia
Experto legal del proyecto European Blockchain Services Infrastructure (Comisión Europea)