LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

20/05/2025. 12:51:15
20/05/2025. 12:51:15

LegalToday

Por y para profesionales del Derecho

InicioDerecho PúblicoProtección de Datos

Novedades del Reglamento eIDAS 2

Empresa

En primer lugar, conviene aclarar qué se entiende por el término “eIDAS”. Estas siglas son el acrónimo de: electronic IDentification, Authentication and trust Services, lo que en castellano se traduce como: servicios electrónicos de identificación, autenticación y confianza.

La primea regulación del eIDAS fue la ofrecida por el Reglamento nº910/2014, el cual fue aprobado en 2014 y se presentó como una solucionar para lograr un facilitamiento de las relaciones y transacciones electrónicas entre ciudadanos, administraciones públicas y empresas en el ámbito de la Unión Europea. Para lograrlo, se estableció un marco jurídico común a nivel europeo, estableciendo medios de confianza y de identificación electrónica, lo que fomentaba a su vez el uso de sistemas como es por ejemplo la conocida firma digital.

Sin embargo, lo cierto es que el eIDAS no ha satisfecho del todo las necesidades de un sistema europeo de identidad electrónica seguro y eficiente. Es por ello que el 29 de febrero de 2024 el pleno del Parlamento Europeo aprobó la Propuesta de modificación de Reglamento nº 910/2014, a la cual se le denomina “eIDAS2”.

¿Qué novedades supone?

El objetivo principal de esta normativa es ofrecer un marco de identidad digital armonizado, tratando de reducir los posibles obstáculos digitales que existen, y proporcionar herramientas para que los ciudadanos de la Unión Europea puedan realizar sus transacciones de forma segura. En este sentido, se intentarán fomentar todos estos aspectos a la vez que se garantiza la protección de los derechos de cada usuario, así como la transparencia de los sistemas.

En definitivita, se trata de permitir a los ciudadanos acceder a un gran abanico de servicios en línea y fuera de línea, a la vez que se les garantiza una adecuada protección contra los riesgos de ciberseguridad, como puede ser una posible violación de la seguridad de los datos o una usurpación de identidad.

Como aspecto novedoso, este nuevo reglamento introduce la figura de la “Carta Europea de Identidad Digital”. Se trata de un nuevo sistema de identificación electrónica el cual va a permitir el almacenamiento, gestión y sistemas de validación de forma segura. permitirá a los ciudadanos de la UE almacenar de manera segura sus documentos e información personal en una aplicación. Esta herramienta no solo contendrá documentos de identidad y licencias de conducir, sino también historiales médicos, tarjetas bancarias y títulos universitarios. En conjunto, estos datos crearán una identidad digital global de la UE para cada ciudadano, que podrá utilizarse en todos los estados miembros.

A continuación, procederemos a explicar, los aspectos más relevantes de esta Carta Europea de Identidad Digital:

  • Será emitida por cada Estado miembro, siguiendo directrices y estándares comunes previstos en la normativa. De la misma forma, se garantiza la protección de datos en el sentido de que el emisor de esta Cartera no podrá recopilar información sobre su uso, excepto la necesaria para proporcionar el servicio de identificación.
  • Permitirá a los usuarios almacenar sus datos identificativos, credenciales y otros atributos relacionados con su identidad.
  • Podrá utilizarse para la identificación tanto online como offline de personas físicas y jurídicas, así como para acceder a una amplia gama de servicios públicos y privados. Todo esto deberá realizarse forma transparente y bajo el control del titular dentro del territorio de la Unión Europea.
  • Será gratuita para las personas físicas.
  • Será válida en todos los Estados miembros para acceder a servicios públicos que requieran identificación electrónica. Igualmente, deberá ser accesible para personas con discapacidades.
  • Permitirá el uso transfronterizo de las Carteras de Identidad Digital Europea emitidas por cualquier Estado miembro para acceder a servicios públicos online en cualquier otro país de la Unión Europea.

¿Qué obligaciones surgen para las empresas?

Dado que el ámbito de aplicación es muy amplio, diferentes proveedores de servicios privados deberán adaptarse para poder aceptar este tipo de herramientas.

Según la propuesta del nuevo eIDAS 2, esto incluye áreas como transporte, energía, bancos y servicios financieros, seguridad social, salud, agua, servicios postales, infraestructura digital, educación y telecomunicaciones.

Igualmente, esta nueva propuesta introduce la inclusión de los denominados proveedores de servicios de confianza (QTPS), que serán aquellos que cumplan con las normas de seguridad establecidas por la Unión Europea. Estas medidas serán más estrictas que las previstas por la normativa anterior y deberán someterse a auditorías periódicas con el fin de garantizar que siguen cumpliendo las normas exigidas

¿Qué medidas de seguridad deberán implementarse?

Para asegurar la implementación efectiva de todos estos aspectos por las empresas, deberán adoptarse una serie de medidas de seguridad rigurosas. Estas medidas garantizan la protección de los datos personales y la conformidad lo previsto en el nuevo eIDAS 2.0.

A continuación, se detallan las recomendaciones más importantes:

  1. Elegir un proveedor de confianza: Resulta fundamental seleccionar un proveedor de servicios de confianza que ofrezca un soporte adecuado y actualizaciones regulares para garantizar la seguridad de los certificados. Los proveedores de servicios de confianza cualificados (QTSP) deberán cumplir con las normas de seguridad y fiabilidad previstas en la normativa, las cuales estarán sujetas a auditorías periódicas.
  2. Implementar medidas técnicas y organizativas apropiadas, como el cifrado de datos y el control de accesos, para asegurar la integridad y confidencialidad de las transacciones electrónicas y la gestión de identidad.
  3. Generación segura de claves utilizando para ellos métodos seguros para generar claves y prevenir accesos no autorizados. Esto incluye el uso de protocolos y estándares reconocidos para cifrar las comunicaciones, como por ejemplo implementar protocolos de cifrado avanzados para proteger los datos en tránsito y en reposo. Esto asegurará que solo aquellos usuarios autorizados puedan acceder a la información, utilizando comunicaciones cifradas de extremo a extremo.
  4. Llevar a cabo actualizaciones y renovaciones de certificados, puesto que es necesario mantener los certificados al día mediante procesos regulares de actualización y renovación para asegurar su validez y eficacia.
  5. Recuperación de claves privadas, contando para ello con un procedimiento robusto de recuperación de claves privadas, garantizando a su vez la seguridad de los correspondientes certificados digitales.
  6. La realización de Evaluaciones de impacto, puesto que las empresas deberán realizar evaluaciones de impacto para analizar cómo los sistemas están afectados por eIDAS 2.0 y adaptar las medidas necesarias. Esto supondrá la implementación de planes de respuesta a incidencias y mecanismos de recuperación de desastres para minimizar el impacto en la seguridad.
  7. Cumplir con el consentimiento informado, ya que será crucial para todas las operaciones realizadas a través de las carteras digitales. Los usuarios deben confirmar de manera segura, explícita y activa cada transacción.
  8. Implementar medidas específicas en línea para garantizar la correspondencia inequívoca de la identidad cuando los usuarios acceden a servicios públicos transfronterizos en línea.

¿Cómo cumplir con el eIDAS?

Para cumplir con eIDAS y sus actualizaciones, las empresas deben seguir estos pasos:

  • Comprender los requisitos de eIDAS y familiarizarse con las disposiciones relacionadas con la identificación electrónica, firmas electrónicas y servicios de confianza.
  • Evaluar las prácticas actuales realizando una evaluación exhaustiva de las prácticas actuales de identificación electrónica y servicios de confianza para identificar brechas y áreas de mejora.
  • Seleccionar QTSPs o elegir proveedores de servicios de confianza cualificados acreditados y autorizados bajo eIDAS en base a lo que se ha expuesto en el apartado anterior.
  • Implementar medidas técnicas y organizativas que garanticen la seguridad e integridad de las transacciones electrónicas mediante protocolos de encriptación, controles de acceso y medidas de protección de datos.
  • Capacitar y fomentar a nuestros empleados, llevando a cabo programas de capacitación y concienciación para asegurar que los empleados comprendan sus responsabilidades y cómo cumplir con eIDAS.
  • Mantener una documentación detallada de políticas, procedimientos y evidencias de cumplimiento.
  • Y lo más importante, mantenerse informado y estar al tanto de cambios y actualizaciones en las regulaciones eIDAS y las orientaciones emitidas por las autoridades regulatorias.

Siguiendo estos pasos, las empresas no solo cumplirán con las normativas, sino que también promoverán la confianza, seguridad y eficiencia en sus transacciones electrónicas y prácticas de gestión de identidad.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

No hay entradas relacionadas

RECOMENDAMOS

CONTACTO     AVISO LEGAL     QUIÉNES SOMOS     MAPA WEB     POLÍTICA DE COOKIES     GESTIONAR COOKIES     POLÍTICA DE PRIVACIDAD        © Aranzadi LA LEY