European Blockchain Services Infrastructure: algunas lecciones legales aprendidas (II)

Acabamos el artículo de Nacho Alamillo iniciado la semana pasada sobre este proyecto tan interesante con la importancia de su evaluación jurídica y los aprendizajes hasta la fecha.

La necesidad de evaluación jurídica del proyecto

EBSI dispone de un amplio equipo de funcionarios, tanto de la Comisión como de los Estados Miembros, y profesionales externos, que trabajan para impulsar el proyecto, incluyendo un equipo, en el que me incluyo, específicamente dedicado a la evaluación de las diferentes problemáticas jurídicas que pueden afectar negativamente a la iniciativa, pero también con el encargo de identificar posibles reformas legales que incidirían positivamente en la misma.

Cuadro del Burgo de Brujas de Jan Baptist van Meunincxhove, que ilustra este artículo sobre European Blockchain Service Infraestructure
Ciudad de Brujas, que se enriqueció a través del comercio que se basa en intercambios despersonalizados sin apenas intervención de la autoridad en pequeñas gestiones. Fuente

En este sentido, para cada caso de uso debe evaluarse el marco legal aplicable, y, en su caso, realizar propuestas de aplicación directa del mismo, o de reforma. Aunque aún no se han completado los trabajos, y por tanto habrá que esperar a la publicación de los correspondientes informes, resulta posible avanzar algunas de las reflexiones más relevantes, en especial, en el ámbito de la normativa de identificación electrónica y de los servicios de confianza, por su impacto en los casos de uso de ESSIF y Diplomas, ambos relativos a la identidad descentralizada. Cabe especificar, antes de continuar, que estas reflexiones han sido objeto de presentación pública durante el 2nd EBSI ESSIF Stakeholders Meeting, que tuvo lugar en Bruselas el pasado 15 de enero.

El objeto de los trabajos jurídicos acometidos en relación con la identidad descentralizada era evaluar los posibles desafíos jurídicos horizontales a cualquier solución de esta naturaleza, incluyendo los siguientes:

  • En relación con los Identificadores Descentralizados (DIDs), se considera necesario analizar cuál es su naturaleza jurídica y su titularidad (activos digitales vs en tipo especial de seudónimo), cómo deberían ser gestionados en caso de menores y mayores incapacitados, si los mismos pueden ser objeto de incautación legal, cuándo pueden desactivados, qué régimen legal aplica a las claves y a las carteras electrónicas que las gestionan, etc.
  • Por lo que se refiere a las Credenciales Verificables (VCs), sean empleadas para la identificación o para acreditar una titulación, se incluye el análisis de cuestiones como la determinación de los deberes y responsabilidades de los emisores de estas credenciales, cómo pueden modelarse las relaciones contractuales y extracontractuales de emisores, poseedores y verificadores de credenciales, y cómo trasladarlo a modelos de responsabilidad (civil o administrativa, en función del caso), todo ello con especial atención a los aspectos jurídicos del ciclo de vida de las credenciales, incluyendo la emisión, suspensión y revocación, etc.
  • La alineación de la solución SSI con el Reglamento eIDAS, en relación con las VCs y las reglas de identificación electrónica del eIDAS, así como respecto a la vinculación de las VCs con firmas y sellos electrónicos.
  • La realización de aportaciones al marco de confianza relativas a los niveles de aseguramiento y las cuestiones relativas a la gobernanza y conformidad, entre otras.

La idea de acudir al Reglamento eIDAS viene dada, entre otros motivos, porque el mismo constituye el principal marco de confianza de identificación electrónica en el Espacio Económico Europeo; porque la identificación electrónica es un componente básico del Mercado Único Digital, que permite el establecimiento de relaciones electrónicas a distancia transfronterizas en el campo del gobierno electrónico; por la posibilidad de extender esta normativa para incluir el reconocimiento de la identificación electrónica para usos del sector privado, como por ejemplo, a efectos de prevención del blanqueo de capitales y la financiación del terrorismo, o para su uso por plataformas en línea, etc.

Ello es posible porque su enfoque de neutralidad tecnológica podría permitir fácilmente el uso de sistemas SSI, lo que constituye una oportunidad real para su adopción y, además, desde la perspectiva global, el Reglamento tiene una fuerte influencia en el espacio regulatorio internacional, gracias a trabajos recientes de la CNUDMI.

En relación con este tópico específico, se han evaluado diversos escenarios, entre los cuales los siguientes.

En primer lugar, existe la posibilidad de utilización de medios de identificación electrónica notificados conforme al Reglamento eIDAS para la expedición de credenciales verificables (como, por ejemplo, el DNI-e español, que por fin podrá resultar útil al no tener “competencia interna”, si se me permite la maldad), así como de emplear certificados cualificados para ese mismo propósito; posibilidad que, adicionalmente, parece resultar plenamente compatible con las restricciones impuestas por el muy criticado (y criticable, con razón) Real Decreto-ley 14/2019.

En segundo lugar, se ha implementado la posibilidad de utilización de incrementar el valor legal de las credenciales verificables mediante la técnica de sellarlas con un sello electrónico avalado con un certificado cualificado (posibilidad conocida como “eIDAS Bridge”) – ¿quién dijo que no tenían sentido los certificados en los entornos de blockchain?

En tercer lugar, se ha considerado la posibilidad de emplear una credencial verificable como medio de identificación electrónica; esto es, sustituyendo el actual sistema de autenticación delegada a nodos nacionales que intermedian en las transacciones.

Algunas lecciones jurídicas aprendidas durante el proyecto

En mi opinión personal (que, por supuesto, no representa ninguna posición oficial de la Comisión Europea), se puede considerar que el Reglamento eIDAS es un marco regulatorio apropiado para atender a soluciones SSI, como en el caso propuesto en EBSI, alineado con el nivel de seguridad sustancial (o superior, en función del dispositivo del usuario y su configuración).

Resultaría factible proponer aprobar, en el futuro, especificaciones técnicas para una nueva red de nodos de interoperabilidad para la identificación electrónica.

Dado que el Reglamento eIDAS no regula la identificación electrónica en sí (porque se considera una prerrogativa nacional), sino sólo su reconocimiento transfronterizo, diversas cuestiones jurídicas seguirán dependiendo de lo establecido en la legislación nacional, lo que podría afectar al uso efectivo de la VC de identificación del ESSIF, incluyendo la posibilidad de utilizar una VC notificada para autenticarse frente a los consumidores del sector privado; la posibilidad de delegar VCs a personas diferentes de sus titulares; el régimen legal de emisión y uso de VCs a menores o personas incapaces; la posibilidad (y el régimen legal) de los prestadores de servicios de confianza cualificados que emitan VCs como identidades derivadas ancladas en certificados cualificados; o cualquier regla legal con respecto a la trazabilidad del usuario al recibir y compartir VCs.

Por ello, sería conveniente ampliar el alcance legal del Reglamento eIDAS, para reducir la complejidad del sistema.

Por otra parte, el Reglamento eIDAS actualmente no ofrece un marco legal apropiado para otros tipos de Credenciales Verificables, diferentes de las empleadas para la identificación electrónica, lo cual es razonable desde la perspectiva del régimen legal del contenido (por ejemplo, un diploma).

Existe una oportunidad de extender el Reglamento eIDAS a esquemas para el intercambio autogestionado de atributos de identidad, aprovechando la infraestructura legal para crear el marco general para este proceso, al tiempo que otras normas legales definirían las reglas asociadas al contenido (fomentando así el concepto de bloque de construcción reutilizable).

Finalmente, como desafíos legales inmediatos, hay que considerar la definición de reglas de gobierno para cualquier solución compatible con ESSIF (algo que generalmente se conoce como marco de confianza de identidad); y definir un estatuto legal que defina los derechos, obligaciones y responsabilidades de todas las partes (emisores, usuarios y consumidores, pero también los Estados miembros que otorgan cualquier sistema notificado basado en credenciales verificables), para cualquier solución que cumpla con ESSIF y deba ser ejecutada en una DLT/Blockchain compatible con EBSI.

Aunque se trata de desafíos complejos, especialmente en un ámbito como el de la Unión Europea, su consecución permitirá obtener un verdadero aprovechamiento de estas tecnologías emergentes, sin merma de la seguridad jurídica, algo especialmente necesario en entornos como la Administración Pública, frecuentemente resistente a la innovación y el cambio.

Comparte este artículo

Acerca del autor

Regístrate y consigue los últimos artículos en tu mail.

Deja un comentario

SUSCRÍBETE AL BOLETÍN DEL BLOG

y recibe novedades y material exclusivo sobre transformación digital en Administraciones Públicas
Analítica Pública usará esta información para mandarte el boletín y actualizaciones puntuales. Del mismo modo, si deseas señalar qué aspectos son los que te interesan de la Transformación Digital, lo tendremos en cuenta para trabajar más en esos campos. También tendremos en cuenta si abres o no los correos y si haces clic en ellos. No es por cotilleo, eso ayuda mucho a la hora de saber qué temas y enfoques son los que interesan y los que hacen que la gente nos regale un poco de su tiempo. En cumplimiento de lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal le informamos que sus datos personales quedarán incorporados y serán tratados en los ficheros de Analítica Pública, con el fin de poderle prestar y ofrecer nuestros servicios, así como para informarle sobre novedades y nuevos proyectos en los que se encuentre trabajando la empresa. Le informamos de la posibilidad de que ejerza los derechos de acceso, rectificación, cancelación y oposición de sus datos de carácter personal en info@publilitica.es, mediante la utilización de un correo electrónico conforme se informa en la política de privacidad.»