El reto de la identidad digital desde una perspectiva jurídica

Carlos Sáenz Quintero – Socio Director de Trebia Abogados.

Una las grandes cuestiones que están en debate actualmente es la identidad digital en las redes de información. La necesidad de llevar a cabo una identificación eficiente de las personas, no es una novedad derivada del impulso de la sociedad de la información; es una constante en los estados modernos la eficiente identificación de las personas, con independencia de las finalidades que se persigan con la misma. 

La creación de medios de identificación física que sirven para que los Gobiernos y los Órganos de administración de los Estados ejerciten sus competencias sobre los administrados es un realidad que se ha generalizado a lo largo del siglo XX. Muchos y múltiples han sido los sistemas que se han elaborado para lograr esta finalidad. El fin fundamental que se ha perseguido -y se continúa persiguiendo en la actualidad- con los sistemas de identificación, es determinar la pertenencia de una persona a un grupo concreto. De esta forma, se han desarrollado mecanismos de identidad para asegurarse de la pertenencia de un miembro a un club privado, a una comunidad de vecinos, a un municipio, a una Comunidad Autónoma e incluso a un Estado. 

Obviamente, la identificación física de las personas, tal y como se ha venido produciendo tradicionalmente, se basa en un sencillo mecanismo de comprobación. La verificación de la identidad se basa en la posesión de un determinado documento y en la comprobación de los elementos del mismo mediante la comparación con los elementos físicos de la persona que los posee –fotografía, huella dactilar, etc-.

Este sencillo procedimiento se complica en el momento en el que se incorporan procesos electrónicos, en los cuales no existe un presencia física y simultanea de las partes; donde la mera exhibición o posesión de documentos no permiten concluir que la persona que opera dentro de la red sea quien dice ser. Esto provocará que los procesos de identificación electrónica tengan que evolucionar y adaptarse a un medio en principio inapropiado para la identificación tal y como la concebimos.

Hasta la aprobación del REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, no se había manifestado, en el ordenamiento jurídico comunitario, una auténtica preocupación por la identidad electrónica o por la prestación de servicios tendentes a generar cierta seguridad jurídica en relación con la identificación a distancia de las personas; mas allá de la aportación efectuada por nuestro legislador en relación con la incorporación de un certificado electrónico de autenticación, al DNI electrónico o la utilización de certificados electrónicos de firma electrónica para lograr de una manera indirecta la identificación de una persona; aún cuando únicamente están concebidos, desde una perspectiva jurídica para firmar electrónicamente documentos. 

Estos sistemas no han venido siendo eficientes y la prueba la tenemos en que, al igual que el DNI ha sido utilizado por el sector privado para la identificación de personas en un terreno físico, no ha sucedido igual con el DNI electrónico. Igual podemos predicar de la utilización de certificados de firma electrónica, su complejidad de uso y elevado coste de implantar una tecnología -pensada para la firma de documentos- en procesos de identificación ha devenido en inaplicable. Por tanto, las empresas del sector privado que han necesitado un identificación de las personas, para relacionarse con ellos en entornos virtuales, han venido empleando sistemas de identificación física previos a la emisión de certificados. Esto evidentemente, ralentiza los procesos de adquisición de nuevos clientes y retarda la operativa de negocio de las corporaciones.

La aprobación del Reglamento 910/2014 ha venido a aportar algo de luz a los procesos de identificación electrónica, regulando expresamente esta circunstancia y determinando los procesos y los condicionamientos técnicos que deben de darse en los procesos de identificación para que estos tengan una suficiente seguridad jurídica. En este sentido, y siguiendo el modelo que ya se había manifestado en la normativa de firma electrónica, se establecen destinos niveles de seguridad –medio, básico y sustancial- que servirá para determinar el nivel de eficacia jurídica en el proceso de identificación. Este panorama que a simple vista parece idílico para la identificación electrónica, tras un análisis detenido nos devuelve una realidad un tanto incierta. 

Así, el modelo regulado afecta a los procesos de identificación electrónica para el sector público y a los mecanismos de identificación que los Estados miembros desarrollarán para generar una identidad electrónica de las personas; y como estos sistemas pueden ser aceptados o reconocidos por otros Estados de la Unión. Por tanto, nos encontramos una regulación que pretende incidir en la identificación en el ámbito público y, como mucho de manera derivativa, en el sector privado. No obstante, siempre se parte de una idea común y es que el sistema de identificación sea creado o desarrollado en el ámbito de Estado, es decir que su impulso venga del sector público. 

Por tanto, la regulación establecida por el Reglamento comunitario parece apuntar a un mecanismo similar al que actualmente tenemos implantado en España, es decir, a los certificados de autenticación incluidos en el DNI electrónico, extendido al resto de estados miembros; y, al reconocimientos mutuos de los mismo por los órganos administrativos dentro de la Unión Europea.

Consecuentemente, esta situación no parece una verdadera solución para el sector privado, ya que no estará amparado para implantar sus propias soluciones de identificación electrónica, debiendo adaptarse a aquellas que surjan del sector publico; lo cual, puede situarnos en una realidad similar a la actual, donde el DNI electrónico en absoluto es empleado por entidades financieras, compañías aseguradoras, etc. para la identificación electrónica de las personas. Esta circunstancia, nos sitúa nuevamente  en un paradigma de cierta inseguridad en los procesos de identificación electrónica fuera de los estamentos públicos.

Ante esta situación, surge la necesidad de crear un mecanismo de identificación electrónica  útil, versátil y que aporte seguridad jurídica. Para ello, deberá pensarse en un proceso íntegramente on-line, rápido y ágil, tanto para el usuario como para las entidades; y con seguridad razonables de la identificación que se lleva a cabo. A este reto pretendemos asomarnos en este artículo.

Con estos requerimientos arriba expuestos y con la tecnología que actualmente disponemos, el proceso de identificación, desde una perspectiva jurídica debería basarse en dos momentos o procesos diferenciados:

1. Pre-registro de la identidad.

Este proceso será aquel que permita llevar a cabo la vinculación de la identidad física, por medios telemáticos, es decir a distancia, con una identidad electrónica que, con posterioridad, pueda ser empleada en las distintas relaciones jurídicas que mantengan la persona identificada con la entidad que requiere de su identificación.

Dicho esto, el proceso debería emular el proceso tradicional de personación e identificación y, consecuentemente, debería verificar:

  • Que la persona se encuentra presente en un entorno electrónico, es decir que no es una imagen inerte, si no al contrario que es una persona que interactúa.
  • Que la persona se encuentra en posesión un documento de identificación que vincula a la persona con su identidad.
  • Que el documento de identidad no ha sido manipulado o, al menos, que existen unas garantías de no manipulación similares a las que existiría en un entorno físico.
  • Que se produce una vinculación entre la imagen de la persona que aparece en el entorno virtual y la que aparece en el documento de identidad.

Todos estos requerimientos pueden llevarse a cabo, con la tecnología actual a través de medios telemáticos: uso de webcam, reconocimientos de documentos de identidad con puntos de control y validación de su no manipulación (ciertamente evolucionados y que permiten detectar muchas de las falsificaciones de estos documentos), utilización de reconocimiento facial –ya sea a través de mecanismos físicos (persona que comprueba la identidad) o de procesos automáticos (algo mas complejos y costoso), etc.

Obviamente, estos procesos no son infalibles cien por cien; pero en mi opinión, no nos otorgarán cuanto menos, la misma seguridad jurídica que un procedimiento de identificación física mediante la exhibición de un documento a la persona encargada de verificar o comprobar nuestra identidad.

2. Comprobación de la identidad en las operaciones.

Una vez finalizado el proceso de preregistro o verificación de la identidad, ya estaríamos en disposición de permitir a este usuario que realice operaciones o transacciones en un entorno virtual; para lo cual será necesario que, en cada una de las ocasiones que el usuario pretenda acceder al mismo, se pueda comprobar su identidad de manera sencilla y ágil.

En este punto, operador del sector privado podrá optar por el mecanismo que considere mas oportuno en un entorno electrónico y que, a su criterio, le otorgue una mayor seguridad jurídica. Ahora bien, desde una perspectiva absolutamente garantista, entiendo que el sistema, para gozar de una evidente robustez legal, debería basarse en la emisión de certificados electrónicos de autenticación.

Con esto, no estoy preconizando el uso de certificados de firma electrónica, tal y como los reconoce nuestro ordenamiento jurídico; cuyo nivel de complejidad técnica es muy elevado para generar firmas electrónicas de documentos equiparables a firmas manuscritas.  Lo que planteo es la posibilidad de emplear esta tecnología para generar certificados electrónicos simplemente válidos para identificar a las personas, mucho mas usables y menos rígidos que los certificados de firma electrónica, ya que no sería necesario la utilización de dispersivos seguros de creación de firma, mantener bajo exclusivo control del firmante los datos de creación de firma, y demás complicaciones técnicas y jurídicas exigidas por nuestro ordenamiento para generar firmas electrónicas equiparables a las manuscrita. 

Con este proceso emularíamos perfectamente y con idéntica seguridad jurídica el típico proceso de identificación y transacción en un entorno cerrado; piénsese en el proceso de adhesión a la biblioteca de nuestro barrio. Cuando pretendo asociarme, el proceso de identificación es sencillo, exhibo del DNI y me entregan el carnet de socio, cuando quiero retirar mi libro, me permitirán entran a la biblioteca con mi carnet de socio y, una vez que escojo el libro que me quiero llevar, simplemente tendré que firmar la ficha oportuna para retirarlo.

El sistema electrónico de identificación que propongo sería idéntico al descrito, la biblioteca en lugar de entregarme un carnet físico de socio, me entregaría un certificado electrónico de autenticación, que me permitiría hacer las mismas funciones que el carnet de socio de la biblioteca pero en un entorno virtual. A nadie se le escapa que este carnet de socio no puede ni debe tener las mismas garantías técnicas ni de seguridad que un DNI, ni tiene que tener la misma seguridad que una firma electrónica equivalente a la firma manuscrita que utilizo para retirar el libro.

De esta manera, el certificado electrónico de autenticación deberá tener suficientes garantías para la entidad emisora, que le permita confiar en que una persona es quién dice ser, sin tener que volver a sufrir un proceso de identificación una y otra vez. 

Posteriormente, las transacciones que se efectúen se llevarán a cabo con los mecanismos oportunos para dotarles de suficiente seguridad jurídica a criterio de la entidad –uso de tarjetas de claves, firmas electrónicas –simples, avanzadas o reconocidas-, etc.

Con este proceso, en mi opinión podría implementarse un sistema de identificación electrónica, con la incorporación de mecanismos tecnológicos que aporten la suficiente seguridad jurídica, no sólo en el proceso previo de verificación de identidad sino en las posteriores comprobaciones de la misma. De esta forma, entiendo que seríamos capaces de romper el reto de la identificación electrónica y tener una razonable seguridad jurídica en relación con la misma.

Firmado: Carlos Sáez Quintero.
Socio Director de Trebia Abogados.
Colaborador en Derecho & Perspectiva.

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada.

* Copy This Password *

* Type Or Paste Password Here *