LA REGULACIÓ DE LA IDENTITAT
DIGITAL EUROPEA I DE LA
TECNOLOGIA DE REGISTRE
DISTRIBUÏT
DR. IGNACIO ALAMILLO DOMINGO
ADVOCAT, CISA, CISM, CDPSE

IDENTITAT DIGITAL EUROPEA – 1
Què porta a una regulació de la identitat digital europea?
• Nou entorn on l'enfocament ha canviat de la provisió i ús d'identitats digitals rígides a la
provisió i dependència d'atributs específics relacionats amb aquestes identitats.
• Major demanda de solucions d'identitat electrònica que puguin oferir aquestes capacitats
proporcionant guanys d'eficiència i un alt nivell de confiança en tota la UE, tant en el
sector públic com en el privat.
• Insuficiències del Reglament eIDAS actualment vigent (R. 910/2014, de 23 de juliol).
• Problemes de privacitat i protecció de dades de les solucions d'identitat que queden fora
de l'abast de eIDAS (proveïdors de xarxes socials i les institucions financeres), i manca
d'abast transfronterer per abordar necessitats sectorials específiques on la identificació
és sensible i requereix un alt grau de certesa.

IDENTITAT DIGITAL EUROPEA – 2
Quin es l’objectiu?
• Accés a solucions d'identitat electrònica altament segures i fiables.
• Que els serveis públics i privats puguin confiar en solucions d'identitat digital fiables i segures.
• Que les persones físiques i jurídiques estiguin facultades per a utilitzar solucions d'identitat digital.
• Que aquestes solucions estiguin vinculades a una varietat d'atributs i permetin l'intercanvi específic
de dades d'identitat limitat a les necessitats del servei específic sol·licitat.
La proposta es basa en dos elements: la cartera d’identitat digital europea i
el servei d’expedició de declaracions electròniques d’atributs, que es poden
basar en un tercer element: el llibre major electrònic (DLT/BC)
Presentem el règim legal proposat, en la versió negociada pel Consell de la
UE, a aprovar el 6 de desembre de 2022 (suposadament).

CARTERA D’IDENTITAT DIGITAL EUROPEA – 1
Un mitjà d’identificació electrònica que permet a l'usuari emmagatzemar i
recuperar dades d'identitat, incloent-hi dades d’identificació personal,
declaracions electròniques d’atributs vinculats a la seva identitat,
proporcionar-les a les parts que confien quan ho sol·licitin i utilitzar-les per
l'autenticació, en línia i, quan sigui apropiat, fora de línia, per a un servei [...];
i permet signar mitjançant signatures electròniques qualificades i segellar
mitjançant segells electrònics qualificats.
Enrolament amb mitjans eID nivell alt o substancial conjuntament amb
procediment addicional d’enrolament remot (videoconferència, possiblement).
Permet “record matching” entre la Cartera i un ”compte d’usuari” (per evitar
imposar “identificació única” global).

CARTERA D’IDENTITAT DIGITAL EUROPEA – 2
Obligació dels estats membres de expedir-la a persones físiques i jurídiques,
en el termini de 24 mesos des de l’entrada en vigor dels actes
d’implementació [...]. S’han de dictar en 6 mesos des de l’entrada en vigor del
Reglament modificat → vol dir mitjans de 2027!
La Cartera s’ha d’emetre sota un esquema d’identificació electrònica notificat
de nivell alt (Estat espanyol: DNI electrònic).
L’emissió, l’ús per a l’autenticació i la revocació de la Cartera han d’ésser
gratuïts per a les persona físiques:
• Model de negoci associat a Carteres de persones jurídiques.
• Model de negoci associat a declaracions d’atributs.

CARTERA D’IDENTITAT DIGITAL EUROPEA – 3
És un sistema força SSI, amb base en una identitat legal
• L'usuari ha de tenir el control total de la utilització de la Cartera d'identitat digital
europea, tot i que la Cartera és revocable.
• L'emissor no ha de recopilar informació sobre l'ús de la cartera que no sigui necessària
per a la prestació dels serveis de cartera, ni combinar dades d'identificació personal i
qualsevol altra dada personal emmagatzemada o relacionada amb l'ús de la cartera
amb dades personals de qualssevol altres serveis oferts per aquest emissor o de serveis
de tercers que no siguin necessaris per a la prestació dels serveis de cartera, llevat que
l'usuari ho hagi sol·licitat expressament.
• Les dades personals relacionades amb el subministrament de carteres d'identitat digital
europees es mantindran lògicament separades de qualsevol altra dada que es conservi.
• La cartera no ha de subministrar als proveïdors de declaracions d'atributs cap informació
sobre l'ús d'aquests atributs després de la seva emissió.

CARTERA D’IDENTITAT DIGITAL EUROPEA – 4
Subjectes obligats a acceptar-la en operacions transfrontereres:
• Obligació d'admissió per part de les entitats del sector públic que exigeixin l'ús d'un
mitjà d'identificació electrònica per Llei.
• Obligació d'admissió per part de prestadors privats obligats per llei o contractualment a
realitzar autenticació reforçada, en les àrees de transport, energia, serveis bancaris i
financers, seguretat social, salut, aigua potable, serveis postals, infraestructura digital,
educació o telecomunicacions, estrictament a sol·licitud voluntària de l'usuari i pel que fa
als atributs mínims necessaris per al servei en línia específic per al qual es sol·licita
l'autenticació (màxim en 12 mesos des de la data de subministrament de la Cartera →
màxim mitjans 2028), excepte microempreses i petites empreses.

CARTERA D’IDENTITAT DIGITAL EUROPEA – 5
Subjectes obligats a acceptar-la en operacions transfrontereres:
• Obligació d'admissió per les plataformes en línia de gran volum que exigeixin
autenticació (no cal que sigui reforçada) per a l'accés, estrictament a sol·licitud voluntària
de l'usuari i pel que fa als atributs mínims necessaris per al servei en línia específic per al
qual es sol·licita l'autenticació, com la prova d'edat. Immediatament.
Promoció de codis de conducta per a l’admissió per altres subjectes:
• en particular per a prestadors de serveis que confien en serveis de tercers per a la identificació en
línia per a l’autenticació d’usuaris.
• Desenvolupament de codis en 12 mesos des de l’aprovació del Reglament modificat, i
implementació en 18 mesos.
En 24 mesos des del desplegament de la Cartera, valoració de la possible
ampliació dels subjectes obligats.

DECLARACIÓ ELECTRÒNICA D’ATRIBUTS – 1
Definicions
• Declaració electrònica d'atributs: una declaració en format electrònic que permet
l'autenticació d'atributs.
• Declaració electrònica qualificada d'atributs: una declaració electrònica d'atributs que és
emesa per un proveïdor de serveis de confiança qualificat i que compleix els requisits
que estableix l'annex V.
• Declaració electrònica d'atributs emesa per o per compte d’una entitat del sector públic
responsable d’una font autèntica: una declaració electrònica d’atributs que és emesa per
una entitat del sector públic responsable d’una font autèntica o per una entitat del sector
públic designada per l’Estat Membre per emetre aquestes declaracions d’atributs per
compte de les entitats del sector públic responsables de fonts autèntiques conforme amb
l’article 45da i que compleix els requisits que estableix l’annex VII.

DECLARACIÓ ELECTRÒNICA D’ATRIBUTS – 2
Definicions
• Atribut: la característica, qualitat, dret o permís d’una persona física o jurídica o d’un
objecte.
• Font autèntica: un repositori o sistema, sota la responsabilitat d'un organisme del sector
públic o d’una entitat privada, que conté i subministra atributs sobre una persona física o
jurídica i és considerada una font primària d'aquesta informació o és reconeguda com
autèntica conforme amb la legislació nacional o de la Unió, incloent-hi la pràctica
administrativa.
Doble règim per a l’emissió: potestat administrativa i servei de confiança, de
manera que pot ser ofert per qualsevol entitat pública o privada.
En el cas de l’emissió com a servei de confiança, regeixen les regles generals
d'identificació.

DECLARACIÓ ELECTRÒNICA D’ATRIBUTS – 3
Efectes jurídics
• No es denega la validesa jurídica i l'admissibilitat com a prova en els processos judicials
a un declaració electrònica d'atributs pel sol fet que es trobi en format electrònic.
• Una declaració electrònica qualificada d'atributs o una declaració electrònica d’atributs
emesa per o per compte d’una entitat del sector públic responsable d’una font autèntica
tindrà el mateix efecte legal que les declaracions emeses legalment en paper.
• Enfocament que permet superar les dificultats d'harmonització legal dels actes jurídics de
constància/certificació d'informacions.
• Complement d'iniciatives com la Passarel·la única Digital o l'article 28 de la Llei 39/2015.
• Permet dotar de validesa jurídica i eficàcia a les proves de coneixement nul.

DECLARACIÓ ELECTRÒNICA D’ATRIBUTS – 4
Efectes jurídics
• Una declaració electrònica qualificada d'atributs emesa en un Estat membre es
reconeixerà com declaració electrònica qualificada d'atributs en qualsevol altre Estat
membre.
• Una declaració electrònica d'atributs emesa per o per compte d’una entitat del sector
públic responsable d’una font autèntica es reconeixerà com declaració electrònica
d'atributs emesa per o per compte d’una entitat del sector públic responsable d’una font
autèntica en tots els Estat membres.

DECLARACIÓ ELECTRÒNICA D’ATRIBUTS – 5
Verificació emprant fonts autèntiques
• Els Estats membres han de garantir, no més tard de 24 mesos des de l’aprovació dels
actes d’implementació de la Cartera, que, al menys per als atributs enumerats en l'annex
VI, sempre que aquests es basin en fonts autèntiques de el sector públic, es prenguin
mesures per permetre que els proveïdors qualificats de declaracions electròniques
d'atributs verifiquin aquests atributs per mitjans electrònics a petició de l'usuari, de
conformitat amb la legislació nacional o de la Unió.
• Mesura dissenyada per assegurar un nou mercat d'intermediació de dades fiables?
• Adreça, edat, gènere, estat civil, composició familiar, nacionalitat o ciutadania,
qualificacions, títols i llicències educatives, qualificacions, títols i llicències professionals,
permisos i llicències públiques, i dades financeres i de l'empresa.

LLIBRE MAJOR ELECTRÒNIC – 1
Definicions
• Llibre major electrònic: una seqüència de registres de dades electròniques, que garanteix
la seva integritat i la precisió de la seva ordenació cronològica.
• Registre de dades: Dades electròniques enregistrades amb metadades relacionades (o
atributs) que ofereixen suport al processament de les dades.
Definició neutral, que permet sistemes centralitzats i distribuïts.
En tractar-se d'un servei de confiança, li són aplicables les regles generals:
• Productes fiables, personal fiable, procediments, conservació d'informacions, pla de
cessament ...
• Supervisió i auditoria.
• I el més important: RESPONSABILITAT.

LLIBRE MAJOR ELECTRÒNIC – 2
Efectes jurídics
• A un llibre major electrònic no se li ha de negar l'efecte legal i l'admissibilitat com a
prova en procediments legals pel sol fet que estigui en format electrònic o que no
compleixi amb els requisits dels llibres majors electrònics qualificats.
• El registres de dades electròniques continguts en un llibre major electrònic qualificat han
de gaudir de la presumpció de la seva ordenació cronològica seqüencial única i precisa,
i de la seva integritat.
• Un llibre major electrònic qualificat en un Estat membre ha d’ésser reconegut com un
llibre major electrònic qualificat a qualsevol altre Estat membre.

LLIBRE MAJOR ELECTRÒNIC – 3
Enfocament de mínims, a complementar amb altres normes rellevants.
Aquesta norma europea per a operadors de nodes s’ha d’aplicar sense
perjudici d'una altra legislació secundària de la UE. Quan s'utilitzin llibres
majors electrònics per recolzar l'emissió i/o negociació de bons, o per
criptoactius, els casos d'ús han de ser compatibles amb totes les normes
financeres aplicables, per exemple, amb la Directiva sobre mercats
d'instruments financers, la Directiva sobre serveis de pagament i la Regulació
dels mercats de criptoactius. Quan els casos d'ús involucrin dades personals,
els proveïdors de serveis han de complir el RGPD.

LLIBRE MAJOR ELECTRÒNIC – 4
Requisits
• Són creats per un o més proveïdors de serveis de confiança qualificats.
• Estableixin l’origen dels registres de dades en el llibre major.
• Garanteixen l'ordre cronològic seqüencial únic del registres de dades en el llibre major.
• Registren dades de tal manera que qualsevol canvi posterior en les dades sigui
immediatament detectable, garantint la seva integritat al llarg del temps.
Com en altres serveis de confiança, la Comissió Europea ha d’establir números
de referència d'estàndards, en aquest cas per als processos de creació i
operació d'un llibre major electrònic qualificat.

CONCLUSIONS
Valoració generalment positiva de la proposta eIDAS 2, especialment tenint
en compte la visió d'identificació fundacional (o identitat legal) com a
potestat pública o bé públic de provisió garantida.
Orientació a la identitat digital descentralitzada, no auto-sobirana en el
sentit originari però que sí garanteix l'autonomia personal i incrementa la
protecció de dades.
Harmonització dels ”actes certificants” del sector públic a tota la Unió.
Creació d'una estructura de mercat per als atributs d'identitat que trenca
esquemes previs i dinamitza l'intercanvi de dades per l'interessat,
complementant les iniciatives ja existents i potenciant el Mercat Únic Digital.
Regulació de les DLT amb un marc de confiança i responsabilitat apropiat.

GRÀCIES!
MÉS INFORMACIÓ: NACHO@ASTREA.CAT