"ReDCE núm. 42. Julio-Diciembre de 2024"
|
|
La globalización ha provocado una fragmentación creciente de los sistemas jurídicos, dando lugar a órdenes jurídicos globales especializados, en los que tanto la tecnología como el ciberespacio han adquirido entidad propia[01].
La “disolución” de las fronteras estatales[02] ha generado una realidad en la que el poder de ciertos agentes globales, que gestionan procesos comunicativos a escala transnacional, opera más allá de los límites impuestos por el derecho constitucional tradicional[03].
Las grandes plataformas tecnológicas desempeñan un papel significativo en la configuración de la sociedad digital[04], inmersas en una narrativa que las posiciona como actores indispensables para la consecución del progreso y bienestar de la humanidad[05].
Esta narrativa, no obstante, debe ser matizada con un análisis crítico que considere su potencial disruptivo a partir de la concentración de poder y su incidencia en los derechos fundamentales y las sociedades democráticas[06].
La amenaza a las democracias contemporáneas, al estado de derecho, se ve agravada por la incidencia de la inteligencia artificial (IA) como elemento central del capitalismo digital, orientando la sociedad hacia “un gobierno del código” desde el que regular, ordenar y restringir no sólo a sujetos sino también al Estado y a la Constitución[07].
El predominio algorítmico en el ejercicio del poder contemporáneo requiere un examen de sus manifestaciones y de los retos específicos que plantea para los sistemas constitucionales[08].
Esta preocupación, ha sido puesta de manifiesto por el Parlamento Europeo[09] al destacar el impacto negativo de las plataformas digitales en la identidad de los usuarios, especialmente en lo que respecta al acceso y difusión de información, así como al uso de tecnologías de IA para la elaboración de perfiles[10].
La IA, no sólo se ha configurado como pilar de la economía y la realidad digital[11] sino que su masiva capacidad de recolección y procesamiento de datos, junto con su intervención en la esfera íntima de los individuos mediante la toma de decisiones automatizadas[12], la convierten en un instrumento tecnológico que moldea la identidad del sujeto contemporáneo[13].
Desde esta perspectiva, caber advertir que las preocupaciones existentes en torno al papel que las grandes plataformas tecnológicas desempeñan como actores disruptivos para las democracias contemporáneas generalmente ponen el foco en la dimensión operacional de su actividad. Sin embargo, existe una dimensión menos visible pero igualmente relevante: su capacidad para diseñar y promover infraestructuras de identificación digital.
La infraestructura tecnológica y los sistemas que sustentan los mecanismos de identificación digital emanan primordialmente del sector privado, que ostenta tanto el desarrollo de innovaciones como la prestación de servicios fundamentales en este ámbito[14].
Así, aunque la identidad digital se ha convertido en un componente fundamental de la sociedad digital actual, su gestión fragmentada y mayoritariamente privada[15], requieren la atención del derecho constitucional por diversas razones:
La identidad legal, concebida conceptual y funcionalmente para el mundo analógico, como derecho fundamental y humano, sufre una transformación significativa en la sociedad digital. Desde esta premisa, el debate se alinea con el interés en la concreción de “nuevos” derechos digitales[16] y las notas distintivas de este derecho.
Al mismo tiempo, comprender la identidad desde una perspectiva digital, requiere establecer una conexión directa con el rol que esta desempeña dentro de una economía de plataformas digitales[17]. En este escenario, los modelos de gestión desarrollados e “impuestos” por actores no estatales han adquirido una relevancia significativa, hasta el punto de determinar cómo se definen, administran, emplean y explotan las diversas identidades digitales de los usuarios[18].
De forma complementaria, el diseño de nuevas formas descentralizadas de gestión de los procedimientos de identificación, en las que los usuarios como titulares de sus datos personales asumen un rol activo en el proceso de divulgación selectiva de atributos de identidad a terceros[19] (incluidas compañías tecnológicas), se alinea con la misión y esencia del derecho constitucional[20] para la sociedad algorítmica[21].
Por último, el reconocimiento jurídico y la implementación técnica de sistemas descentralizados de gestión de la identidad digital con ocasión de la publicación del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024 por el que se modifica el Reglamento (UE) núm. 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (eIDAS 2)[22], obliga a considerar los esfuerzos que desde la Unión Europea (UE) se realizan, en un contexto de intensa actividad normativa[23], para reequilibrar su posición y la de los Estados miembros en la disputa global existente en torno a los principios y valores que han de regir en el espacio digital y en la sociedad algorítmica[24],[25].
En línea con este planteamiento, el reajuste en el equilibrio de poder debe también analizarse desde la perspectiva de los ciudadanos de la Unión, considerando su participación e interacción en el espacio digital como titulares de una cartera europea de identidad digital (en adelante ceID)[26].
Esta cartera, desarrollada para promover una ciudadanía digital europea[27], y su implementación e integración dentro de un ecosistema europeo de identidad digital con vocación de proyección global, se presenta como una alternativa pública frente a los modelos de gestión centralizados o federados que utilizan las grandes plataformas tecnológicas.
El concepto de identidad abarca múltiples dimensiones y ha estado históricamente vinculado con tres aspectos fundamentales: el ejercicio del control gubernamental sobre la población, el reconocimiento de derechos personales y el desarrollo del individuo mediante sus interacciones sociales[28].
La identidad ha sido empleada por los Estados como un instrumento fundamental para reconocer jurídicamente a los individuos y garantizar su estatus como titulares de derechos en el mundo analógico, recurso necesario en el ejercicio de la soberanía estatal respecto del elemento población[29].
Debido a esto, los Estados han desarrollado múltiples mecanismos destinados a confirmar y autenticar la identidad legal de sus ciudadanos[30].
El establecimiento de un sistema nacional de registro civil e identificación es la opción que mayoritariamente se ha implantado para establecer la identidad legal y gestionar la información de identidad de un individuo durante toda su vida[31].
Asimismo, igual que los Estados y la creación del derecho internacional público son fruto de un proceso histórico que culmina con el actual orden jurídico internacional, la identidad individual ha ampliado su concepción inicial[32] para vincularse a la idea de nacionalidad a través de la identidad legal y a la de ciudadanía en la dimensión práctica de ejercicio de derechos de carácter político[33]. Ambas categorías, nacionalidad y ciudadanía, han estado vinculadas al fenómeno político de atribución de soberanía a la nación[34].
La complejidad de este análisis se intensifica en el plano supranacional, donde emerge un debate de particular relevancia en torno a la dialéctica entre las identidades nacionales y la aspiración a una ciudadanía común, como se observa especialmente en el contexto de la integración europea[35]. Esta dimensión supranacional, junto con los niveles estatal e individual, constituye uno de los múltiples planos desde los que el derecho público contemporáneo debe abordar el concepto de identidad.
Al respecto, un análisis del orden constitucional comparado revela que la identidad, como derecho, carece de un reconocimiento explícito en la mayoría de las constituciones[36]. En este contexto, la Constitución Española de 1978 no establece de manera expresa un derecho autónomo a la identidad personal, pero sí recoge el derecho al libre desarrollo de la personalidad en su artículo 10, vinculándolo a la dignidad humana y como fundamento del orden político y de la paz social[37].
De manera análoga, la Ley Fundamental de Bonn[38] no recoge el término identidad a lo largo de su texto. En cambio, en el apartado primero del artículo 2 reconoce el derecho de toda persona al libre desarrollo de la personalidad.
En idénticos términos se reconoce este derecho en diferentes textos constitucionales de nuestro entorno. Por ilustrar la cuestión, algunos ejemplos de esta dinámica se encuentran en, el artículo 2 de la Constitución italiana, los artículos 4 y 30 de la Constitución de Bulgaria, el artículo 22 de la Constitución de Croacia, el artículo 19.1 de la Constitución de Estonia, el artículo 5.1 de la Constitución griega, el artículo 20 de la Constitución de Lituania, el artículo 31 de la Constitución de Polonia y en los artículos 1.3 y 23.2 de las Constituciones de Rumanía y de Serbia respectivamente[39].
Por el contrario, la excepción a esta dinámica se halla en la Constitución portuguesa, la cual reconoce explícitamente el derecho a la identidad personal[40] junto con el libre desarrollo de la personalidad en el artículo 26.1.
Esta circunstancia adquiere particular relevancia en el momento actual, en el que gran parte de las dinámicas propias del entorno digital previamente descritas, evidencian la imposición de una realidad que la constitución analógica no logra comprender[41]. Por ello, en la práctica, el reconocimiento y la descripción de un derecho a la identidad digital se halla en diversos instrumentos de soft law[42].
En este marco, la Declaración Europea sobre Derechos y Principios Digitales[43] aborda la identidad digital desde tres perspectivas: como un instrumento de acceso a servicios digitales en línea (Capítulo II), como un elemento que requiere protección frente a riesgos de usurpación y manipulación (Capítulo V: Seguridad, protección y empoderamiento) y de manera más amplia, como un eje transversal relacionado con las metas digitales establecidas por la Unión Europea en cuatro ejes de acción (en especial, infraestructuras digitales y digitalización de servicios públicos)[44].
Así, el artículo 28 de la Carta de Derechos Digitales española[45] reconoce un derecho a la identidad en el entorno digital, declarando su exigibilidad, garantizando un derecho a la gestión de la propia identidad y de los atributos que la componen. De forma paralela a la gestión, señala que esta identidad no puede estar sujeta a actos de control, manipulación o suplantación.
Estas previsiones se completan con dos mandatos: el establecimiento de garantías necesarias que permitan la verificación de la identidad y el deber del Estado de posibilitar la acreditación de la identidad legal, ambas en el entorno digital.
Alternativamente, la Carta Portuguesa de Derechos Humanos en la Era Digital[46] se ocupa de la identidad en los artículos 8º y 12º, de manera más general y en conexión con otros derechos. Por un lado, el artículo 8º, vincula la identidad con la privacidad, destacando el uso de criptografía para proteger los datos personales en las comunicaciones electrónicas. Por otro lado, el artículo 12º reconoce un derecho universal a la identidad personal en el entorno digital en conexión con otros derechos personales, como la reputación, la imagen y la integridad moral. En el apartado 2 inciso a) del artículo 12, se encomienda al Estado la lucha contra la usurpación de la identidad y la creación de infraestructuras seguras para la acreditación de los ciudadanos.
Aunque se aprecia cierta coincidencia en mandatos dirigidos a los poderes públicos frente a riegos inherentes de la identidad digital y la adopción de medidas técnicas para garantizar su uso en condiciones de seguridad y control de los usuarios, si comparamos ambos instrumentos, la Carta española confiere un estatuto particular a la identidad digital como un derecho digital autónomo mientras que la Carta portuguesa lo ubica en un contexto más amplio al establecer cierta interdependencia con otros derechos digitales.
El reconocimiento de la gestión como un derecho autónomo integrado en una concepción más amplía del derecho a la identidad digital, sitúa el foco en la necesaria infraestructura y medios para su realización[47].
El contraste entre el enfoque constitucional tradicional de la identidad y las recientes declaraciones de derechos digitales ilustra claramente cómo esta figura ha evolucionado en respuesta a los cambios en la realidad contemporánea.
La noción de identidad legal propia del plano analógico no se ajusta plenamente a las características y funciones que adquiere en el entorno digital[48]. En este ámbito, la identidad, entendida como concepto y categoría analítica, se distingue por su naturaleza compleja y carácter multifacético, integrando una diversidad de elementos y perspectivas que transcienden a la simple vinculación con lo tecnológico[49].
La identidad en el entorno digital se configura como un concepto híbrido que integra elementos del ámbito virtual con dimensiones del mundo real. En este marco, las representaciones informacionales se combinan con relaciones sociales, factores psicológicos y autopercepciones, contribuyendo de manera conjunta a la construcción identitaria del individuo[50].
En este contexto, la identidad se manifiesta como un proceso dinámico y en constante evolución, en el que las representaciones digitales basadas en datos personales interactúan con las experiencias sociales y la autopercepción del individuo. Las interacciones y transacciones digitales se convierten, así, en ejes fundamentales para articular este proceso de construcción identitaria[51].
Este carácter híbrido y relacional de la identidad digital ha motivado el desarrollo de diferentes aproximaciones para su gestión, oscilando entre paradigmas individualistas que enfatizan el control personal sobre las credenciales digitales, y enfoques relacionales que reconocen la multiplicidad de contextos e identidades[52].
Lejos de dar una respuesta comprensiva de qué se entiende por identidad digital, resulta evidente que su definición no solo implica una descripción técnica, sino también un entendimiento de su dimensión jurídica y funcional[53], ya que esta dualidad como representación e instrumento incide directamente en su capacidad para cumplir funciones esenciales inherentes a los sistemas de identidad digital: la verificación de la identidad y la identificación electrónica de individuos o entidades[54].
Una característica distintiva y predominante, vinculada al carácter funcional de la identidad digital, es su naturaleza transaccional[55]. Precisamente, en esta cualidad reside la razón de ser de los sistemas de gestión de la identidad que se han implementado[56].
La evolución de los modelos de gestión de la identidad[57] ha estado intrínsecamente ligada al desarrollo comercio electrónico y su transformación en el actual modelo económico. Resultado de este proceso, es la noción de identidad(es) como conjuntos estructurados de atributos que engloban desde datos verificables hasta características y preferencias particulares del sujeto[58].
A pesar de la falta de consenso en cuanto a qué ha de entenderse por identidad digital, más allá del carácter instrumental-funcional indicado en el que sí se evidencia acuerdo, lo relevante son los desafíos fundamentales que entraña: la privatización de sistemas de identidad, su mercantilización y la prevalencia de normas técnicas frente a marcos legales[59].
La gestión de la identidad digital se encuentra en la encrucijada de los intereses de los Estados, de las empresas e individuos, circunscribiéndose a la tensión entre el control que ejercen los sistemas de identificación y la búsqueda de la autonomía por parte de los usuarios[60].
Por ello, resulta oportuno concretar el rol de los distintos actores implicados en las infraestructuras y sistemas de gestión de la identidad[61] que han caracterizado a los diversos modelos que han sido implementados.
La naturaleza transaccional de la identidad digital y su integración en una economía de plataformas permiten comprender la necesidad de evolución de los modelos y soluciones para la identificación electrónica que se han producido. El trabajo de Allen[62], ampliamente citado en la literatura académica, identifica y describe la evolución de los sistemas de identidad digital en cuatro fases principales.
La primera fase corresponde al período de las identidades centralizadas, donde entidades como IANA e ICANN ejercían un control significativo sobre aspectos clave de la identidad en línea[63].
Los sistemas centralizados suelen carecer de medidas de protección adecuadas, lo que representa riesgos de seguridad[64]. Además, los usuarios enfrentan la dificultad de gestionar múltiples claves de acceso para autenticarse en diversas organizaciones. Por su parte, las empresas deben invertir en costosas infraestructuras tecnológicas, ya sean físicas o en la nube, para proteger datos, credenciales y autenticadores, asumiendo así una gran responsabilidad en la gestión de estas bases[65].
Posteriormente, surge una segunda etapa[66] vinculada a la proliferación de las identidades federadas, las cuales permiten el uso de una única identidad en múltiples plataformas y servicios[67], aunque bajo la supervisión de autoridades centrales o federaciones[68].
La gestión de identidades federadas busca resolver problemas específicos mediante la implementación de plataformas de inicio de sesión único[69], las cuales permiten transferir información relacionada con la identidad entre los servicios conectados a la misma plataforma[70],[71].
En la actualidad, tanto las empresas que gestionan identidades digitales como las políticas gubernamentales han adoptado enfoques alineados con el modelo de federación de identidades[72].
A diferencia de los sistemas centralizados, los modelos federados, basados en una arquitectura de varios a varios, requieren de grandes infraestructuras, exigencia que condiciona considerablemente el número de proveedores de identidad con capacidad de operar en este contexto[73].
Dentro de este esquema, las grandes plataformas tecnológicas han diseñado mecanismos de autenticación que superan los métodos tradicionales permitiendo la interoperabilidad entre distintas entidades[74].
Al integrar soluciones de identidad en sus ecosistemas, se han posicionado como actores clave, facilitando a otros proveedores de servicios en línea el acceso a arquitecturas de identificación. No obstante, aunque el modelo federado ofrece beneficios significativos para los usuarios, en la práctica ha derivado en la concentración de grandes volúmenes de datos en manos de unas pocas compañías tecnológicas que controlan tanto las plataformas como su infraestructura[75].
El siguiente modelo de gestión de la identidad, es el centrado en el usuario. Su propia denominación incorpora el objetivo y orientación del diseño. Los enfoques de diseño orientados al usuario transformaron las identidades centralizadas en identidades federadas que pueden operar de manera interoperable bajo un sistema de control centralizado[76] mientras mantenían cierto grado de consentimiento por parte del usuario para decidir cómo y con quién compartir su identidad[77].
Sin embargo, la imposición de modelos de identidad federados de grandes compañías tecnológicas y la falta de desarrollo tecnológico para lograr una verdadera arquitectura descentralizada han condicionado su viabilidad como alternativa[78].
Finalmente, la cuarta y actual fase está marcada por el desarrollo e implementación de modelos de identidad descentralizados. La descentralización supone redefinir el papel de los intermediarios externos en un sistema de identidad digital, transformando tanto la estructura como el desarrollo de los procesos vinculados[79].
Dentro de esta categoría destaca el modelo auto-soberano. Su aspiración ya ha sido previamente reseñada, situar a los usuarios en una posición desde la que poder controlar y disponer libremente sobre su identidad digital a través de la libre divulgación selectiva de información y atributos[80].
Los identificadores descentralizados (DIDs)[81] y las credenciales verificables (VCs) conforman el marco técnico fundamental de la identidad auto-soberana. Estos estándares permiten establecer vínculos universales y persistentes entre los datos personales y su titular, garantizando que sea el propietario directo de su perfil y eliminando la necesidad de intermediarios o proveedores externos[82]. Para lograrlo, este enfoque se apoya en esquemas de Infraestructura de Clave Pública Descentralizada que puede emplear tecnología blockchain a modo de base de datos descentralizada[83].
Blockchain[84], como una solución tecnológica dentro de las tecnologías de registro distribuido, permite la creación de registros inmutables de gestión descentralizada, lo que refuerza la idea de un derecho personal a la identidad “con una fuerte visión de autodeterminación y autonomía personal”[85].
Algunos autores destacan que este modelo no se limita únicamente a garantizar el control técnico sobre los datos, sino que también transforma profundamente la relación entre los individuos y su información digital[86]. No se trata solo de abordar la propiedad de los datos, sino de reconocer una dimensión más amplia: la autodeterminación informativa, considerada como un elemento central de este enfoque[87].
Tal como se mencionó anteriormente, eIDAS 2 ha optado por las ceID como la opción tecnológica para estructurar el nuevo ecosistema europeo de identidad digital. Aunque estas credenciales se inspiran en los principios y características de la identidad autosoberana, su implementación no se limita exclusivamente a la tecnología Blockchain[88]. No obstante, dicha tecnología desempeña un rol fundamental en la infraestructura, como se expondrá a continuación.
Tras haber abordado con carácter previo algunas de las particularidades y funcionamiento de los diversos modelos de gestión de identidad digital existentes, este apartado se ocupa de presentar algunas características y la orientación, no de forma exhaustiva, del ecosistema europeo de identidad digital.
Por un lado, en lo que respecta al respaldo normativo, el Reglamento eIDAS 2 se erige como el nuevo marco de referencia en materia de identificación electrónica y servicios de confianza. Su denominación refleja claramente la necesidad de reformar las disposiciones de su predecesor, eIDAS 1[89], para adaptarse a un entorno tecnológico en constante transformación. Esta reforma responde a varias razones fundamentales previamente reseñadas. De un lado, la UE busca consolidarse como un actor influyente en el ámbito digital global, estableciendo sus propios estándares. De otro, la evolución tecnológica ha generado nuevos medios, instrumentos y servicios de confianza que no estaban contemplados en el marco original de eIDAS 1, lo que exigía una actualización normativa para garantizar su adecuación a los nuevos parámetros de la identificación electrónica[90].
Otras razones se corresponden con limitaciones derivadas de eIDAS 1. En lo referente a su aplicación, el marco jurídico se centró en sistemas y medios de identificación electrónica gubernamentales[91], lo que restringió su alcance al ámbito público. Esta limitación contrasta con la vocación de extensión al ámbito privado que enuncia eIDAS 2[92].
En términos de implementación, la consecución de la interoperabilidad deseada por eIDAS 1 se ha visto obstaculizada por la divergencia en las respuestas de los Estados Miembros. Algunos optaron por desarrollar sistemas de identidad digital estructurados conforme a esquemas diseñados con un enfoque exclusivamente nacional, mientras que otros enfrentaron la ausencia total de tales esquemas o no cumplían con la obligación de notificación oficial de los mismos[93]. Estas disparidades han dificultado la creación de un marco común interoperable.
Por su parte, eIDAS 2 destaca la necesidad de un enfoque más armonizado para abordar las deficiencias señaladas[94] en relación con la diversidad de soluciones digitales nacionales o, en su defecto, su ausencia. En este contexto, las carteras europeas de identidad digital (ceIDs) se perfilan como un instrumento clave para facilitar la transición de un modelo centrado en la identificación electrónica a un sistema basado en la declaración y verificación de atributos reconocidos en toda la Unión[95].
Paralelamente, desde una perspectiva técnica, la construcción del ecosistema europeo de identidad digital se fundamenta en enfoques coordinados entre los Estados Miembros, desarrollados en el marco de la cooperación intergubernamental. Un ejemplo destacado de este esfuerzo es la creación de la “caja de herramientas”[96], una iniciativa piloto diseñada para compartir experiencias y desarrollar el código abierto de las ceIDS. Asimismo, otra dimensión notable es la creación de la Infraestructura Europea de Servicios Blockchain (EBSI)[97],[98].
A continuación, resulta pertinente analizar la estructura y el contenido de eIDAS 2. La estructura del Reglamento sigue el esquema ya establecido en eIDAS 1 con variaciones consistentes en modificaciones parciales y la inclusión de nuevos elementos derivados de la Reforma.
Cabe destacar que el capítulo I se ocupa de las disposiciones generales que comprende el objeto, ámbito de aplicación, definiciones, el principio de mercado interior del artículo 4 y un renovado artículo 5[99] dedicado a la posibilidad de utilizar seudónimos designados por los usuarios en las transacciones electrónicas.
En cuanto a su alcance[100], eIDAS 2 amplía los objetivos de su versión anterior. Mientras que eIDAS 1 se centraba exclusivamente en garantizar el buen funcionamiento del mercado interior, con la reforma se incorpora también la promoción de una participación segura de personas físicas y jurídicas en la sociedad digital, así como en el acceso a servicios en línea dentro del ámbito de la Unión Europea.
Se modifican los incisos a) y c) del artículo 1. En el primer inciso, dentro de las condiciones para el reconocimiento de medios de identificación electrónica por los Estados miembro, se adicionan las ceIDs. En el inciso c), se contempla un mayor número y variedad de instrumentos que quedan sujetos a la regulación establecida por el Reglamento.
Asimismo, el ámbito de aplicación (artículo 2) se ajusta para incluir explícitamente a las ceIDs en el apartado 1. Por otro lado, el apartado 3 presenta un mayor grado de concreción al introducir especificaciones adicionales, como la referencia a “requisitos sectoriales de índole formal”, lo que amplía el alcance de las disposiciones y delimita situaciones concretas que no se ven afectadas por el Reglamento. Se añade un nuevo apartado, el numeral 4, que introduce una cláusula que refuerza la obligación de interpretar y aplicar eIDAS 2 de manera coherente con lo establecido en el Reglamento General de Protección de Datos[101].
Destaca la significativa ampliación de las categorías de servicios de confianza que introduce eIDAS 2, al modificar y complementar las tres categorías mencionadas en el punto 16 del artículo 3 sobre definiciones, incorporando catorce nuevas figuras que se desarrollan con posterioridad en el Capítulo III a lo largo de sus secciones.
En ese mismo artículo, se introduce el numeral 5) bis, el cual incorpora una definición antes no contemplada de usuario. Si bien eIDAS 1 ya describía en el apartado 6 qué se consideraba “parte usuaria” figura que ahora adiciona en su redacción el uso de ceIDs u otros medios de identificación electrónica la distinción del numeral 5) bis debe entenderse desde los roles que desempeña cada actor: mientras el usuario asume un papel activo en el uso de estos medios o servicios, la parte usuaria mantiene una posición más pasiva como receptora de la confianza derivada de estos.
Esta modificación refleja cómo eIDAS 2 integra las bases de la identificación descentralizada, tanto en sus aspectos técnicos como conceptuales.
El capítulo II, dedicado a la identificación electrónica, se reorganiza en dos secciones diferenciadas. La primera, compuesta por los artículos 5 bis al 5 septies, detalla el marco normativo y las características específicas de las ceIDs[102]. Algunos aspectos que permiten vislumbrar el diseño e implementación se detallan a continuación:
En primer lugar, el artículo 5 bis (1) establece un mandato para que los Estados miembros expidan ceIDS dentro de un plazo máximo de 24 meses posteriores a la entrada en vigor de los actos de ejecución correspondientes que se adopte.
Las ceIDs, de conformidad con lo indicado en los artículos 5 bis (4a) y (4e), están diseñadas para funcionar con datos de identificación, que pueden combinarse o no con declaraciones electrónicas de atributos, permitiendo la autenticación tanto en servicios públicos como privados, en entornos en línea u “offline”[103], de forma que se garantice la divulgación selectiva de atributos y sirvan además como medio de firma electrónica cualificada.
Para asegurar su efectiva implementación, el numeral 5 del artículo 5 bis establece estándares y especificaciones técnicas comunes, buscando garantizar la interoperabilidad y un nivel de seguridad uniforme entre todos los Estados miembros responsables de su expedición.
Las notas distintivas de las ceIDs se corresponden con su carácter gratuito y la voluntariedad de uso[104], según lo establecido en el artículo 5 bis (13 y 15 respectivamente). Además, el artículo 5 bis (14) establece un mandato específico dirigido a los proveedores de ceIDs para evitar la recopilación excesiva de datos, limitándola estrictamente a lo necesario.
En relación con la certificación y los estándares de seguridad, el artículo 5 quater del Reglamento exige que las ceIDs sean certificadas de acuerdo con los esquemas establecidos en el Reglamento sobre la Ciberseguridad (UE) 2019/881[105].
La segunda sección lleva por título “Sistemas de identificación electrónica”. Cabe destacar que, salvo términos puntuales modificados, se aprecian varios mandatos específicos para que la Comisión, mediante la adopción de actos ejecutivos, desarrolle aspectos relacionados con normas, especificaciones técnicas mínimas y procedimiento[106].
Esta sección destaca principalmente por la inclusión de nuevos artículos como el 11 bis, 12 bis y 12 ter:
El primero, en el ámbito de los servicios transfronterizos, establece dos obligaciones fundamentales para los Estados.
En primer lugar, deben asegurar que la identidad de las personas pueda ser vinculada de manera inequívoca cuando estas hagan uso de medios de identificación electrónica previamente notificados o de carteras europeas de identidad digital.
En segundo lugar, los Estados miembros tienen la responsabilidad de implementar medidas tanto técnicas como organizativas diseñadas con un doble propósito: por una parte, garantizar un alto nivel de protección de los datos personales empleados en la correspondencia de identidades, y por otra, prevenir cualquier práctica que conlleve la elaboración de perfiles de usuarios.
Este precepto encuentra correspondencia directa con la preocupación expresada al inicio de este trabajo por el Parlamento Europeo en relación con los riesgos inherentes al uso de la IA, especialmente cuando esta se emplea para el perfilado de individuos.
El artículo 12 bis aborda cuestiones relacionadas con la certificación de los sistemas de identificación electrónica, vinculándolas directamente con la certificación en materia de ciberseguridad establecida en el Reglamento (UE) 2019/881.
Por su parte, el artículo 12 ter, en conexión con el Reglamento de Mercados Digitales[107], establece que las grandes plataformas digitales, como guardianes de acceso, deben garantizar acceso e interoperabilidad gratuita a los proveedores de ceIDs y a los emisores de identificación electrónica, permitiendo el uso de las características de los sistemas operativos, equipos y programas informáticos disponibles en dichas plataformas.
El Capítulo III mantiene la misma denominación “Servicios de confianza”, integrado ahora por once secciones, algunas de ellas nuevas. Se ocupa de describir, adaptar e incluir las distintas modalidades de servicios de confianza, tanto no cualificadas como cualificadas y de la regulación jurídica de la declaración electrónica de atributos (sección novena). En particular, se reconoce su validez jurídica y se establecen los requisitos necesarios para que estas declaraciones obtengan un carácter cualificado conforme a lo establecido en el Anexo V.
Asimismo, en relación con los prestadores cualificados encargados del cotejo de atributos con fuentes auténticas, el anexo VI recoge un listado de categorías mínimas de atributos. Estas disposiciones se complementan con la obligación de abstención que se impone a los proveedores de servicios de esta naturaleza, independientemente de su consideración como cualificados[108].
A diferencia del Reglamento eIDAS 1, el esquema institucional se completa mediante la incorporación del capítulo IV bis, dedicado específicamente al “marco de gobernanza” conforme a los artículos 46 bis, ter, quater, quinquies y sexies.
Este nuevo marco establece disposiciones fundamentales, entre las que destaca, según el artículo 46 bis y ter, la obligación de los Estados miembros de designar organismos de supervisión encargados de monitorizar tanto a los proveedores de carteras europeas de identidad digital (ceIDs) como a los servicios de confianza, dotándoles de las competencias y recursos necesarios para el ejercicio de sus funciones.
Adicionalmente, el artículo 46 quater prescribe que cada Estado miembro debe designar puntos de contacto únicos que ejercerán una función de enlace para facilitar la cooperación transfronteriza entre los diferentes supervisores nacionales, incluyendo la colaboración con la Comisión y la ENISA.
El artículo 46 quinquies establece un sistema de asistencia mutua entre organismos supervisores que permite realizar investigaciones conjuntas y compartir información sobre medidas de supervisión y ejecución.
Por último, el artículo 46 sexies contempla la creación, por parte de la Comisión Europea, de un Grupo de Cooperación sobre la Identidad Digital Europea, presidido por la Comisión y formado por representantes de los Estados miembros, que tiene entre sus funciones principales el intercambio de mejores prácticas, el asesoramiento en la preparación de actos delegados y de ejecución, y la cooperación en aspectos de ciberseguridad con el apoyo de la ENISA.
Descrito el marco normativo, la conexión entre medios de identificación (ceIDS) e infraestructura (EBSI) se puede establecer aunque no de forma explícita por diversas razones:
En primer lugar, aunque eIDAS 2 no impone requisitos específicos ni menciona de forma explícita la tecnología blockchain, la incorporación de categorías de servicios de confianza, como la atestación electrónica de atributos, los registros electrónicos distribuidos y los servicios de archivo digital permite afirmar la inclusión de medios descentralizados de identificación y confianza[109].
En segundo lugar, un análisis de las funciones originalmente asignadas a EBSI[110] y de los proyectos actualmente en desarrollo bajo su ámbito de acción sitúan a las ceIDS como un elemento fundamental en el proceso de verificación transfronteriza de credenciales[111].
Como se ha visto, una cuestión de un alto grado de nivel técnico como la tratada en estas líneas no puede pasar inadvertida por el derecho constitucional, precisamente por las implicaciones que conlleva para la realización y ejercicio de derechos fundamentales en un espacio digital continuamente disputado[112].
El impacto en la esfera de derechos fundamentales y a nivel de normatividad de la Constitución que las infraestructuras de identificación digital eminentemente privadas han generado, junto con otros instrumentos tecnológicos y dinámicas abusivas, facilitan la comprensión/reacción de la UE en esta materia para dar forma a un espacio digital orientado por y para el ser humano[113].
En este contexto, las opciones descentralizadas de gestión de identidad digital, como las propuestas bajo el paradigma de la identidad auto-soberana, se presentan como una alternativa que permite limitar el tratamiento excesivo de los datos personales y atributos asociados a la identidad digital para evitar que, desde la lógica transaccional, los usuarios sean reducidos a la condición de meros consumidores en detrimento de su rol como ciudadanos[114].
Frente a la prevalencia de un enfoque tecnocrático que ha contribuido a obviar la necesaria reflexión en torno a la dimensión política de la IA, con el consiguiente déficit de gobernanza[115] algunos autores, han propuesto un marco conceptual desde el que reubicar a la ciudadanía en el contexto digital, con la idea de empoderarles y dotarles de un rol activo en su relación con la toma de decisiones por la IA para mitigar los riesgos derivados de la intervención de actores privados[116].
Por tanto, la promulgación de eIDAS 2 no puede analizarse de manera aislada; debe entenderse desde la perspectiva que ofrece el proceso continuo de constitucionalización del espacio supranacional[117].
Por ello, no es de extrañar que el Reglamento adoptado incorpore algunos elementos de orden constitucional. En este sentido, el considerando 5 de eIDAS 2 establece, de manera imperativa, un derecho a la identidad digital formulado desde una perspectiva auto-soberana. Al mismo tiempo, introduce la obligación de desarrollar un marco europeo de identidad digital que actúe como una garantía esencial para su implementación efectiva.
En esta línea, el Reglamento establece un marco armonizado para que los Estados miembros proporcionen carteras europeas de identidad digital, subrayando el respeto a los valores europeos comunes, los derechos fundamentales para la protección de las sociedades democráticas y de los ciudadanos y residentes de la Unión[118].
La consecución de estos objetivos requiere, necesariamente, la limitación del poder de las grandes empresas tecnológicas, por ello la infraestructura pública europea que habilita un marco de identidad digital descentralizado es determinante.
Si la verificación de la identidad es un requisito indispensable para el acceso e intervención en el plano digital, EBSI conecta el uso de carteras de identidad digital europea con el esquema de nodos descentralizados de la infraestructura[119].
La capacidad de EBSI para integrar diversos sistemas de almacenamiento y administración de datos, en particular bases de datos relacionales, fortalece esta conexión al facilitar su adaptación e interacción con las infraestructuras existentes en los distintos Estados miembros.
Sin perjuicio de las oportunidades de cooperación intergubernamental en áreas que previamente no habían sido consideradas, este enfoque, junto con la referencia explícita que eIDAS 2 hace respecto a la expedición de las ceIDS por parte de los Estados miembros, reafirma el rol de estos como proveedores de identidad digital, una cuestión que previamente generaba cierto recelo[120].
Sin embargo, no todos son bondades. En un marco aún en construcción, los aspectos técnicos exigen una implementación coordinada bajo un esquema de cooperación intergubernamental a nivel de infraestructura y de desarrollo de actos de ejecución en lo que a estándares se refiere[121].
Mientras tanto, son muchos los proyectos, compañías y organizaciones que pretenden definir el alcance y estándares técnicos de los modelos de gestión de identidad auto-soberana[122] en un contexto en el que el mercado de carteras de identidad digital ya se habían posicionado previamente compañías como Google o Apple[123].
Por último, y no menos importante, queda por ver cómo las plataformas en línea de muy gran tamaño incorporarán las disposiciones establecidas en el Reglamento eIDAS 2 dentro de sus sistemas y estructuras digitales, especialmente en lo relativo a la autenticación mediante ceIDS[124].
La voluntariedad en el uso de ceIDS sumada a la posición dominante de los principales proveedores de redes sociales y a la particular arquitectura de sus plataformas, así como al papel de los proveedores de carteras de identidad digital en el mercado, puede dificultar que los ciudadanos europeos adopten la opción habilitada por el nuevo ecosistema europeo de identidad digital.
Resumen: El presente trabajo reflexiona sobre la incidencia constitucional de los modelos de gestión de identidad existentes, con especial énfasis en aquellos donde grandes plataformas tecnológicas desempeñan el papel de proveedores de soluciones de identidad digital. Se analiza la naturaleza y las funciones de la identidad en entornos digitales, diferenciándola del concepto de identidad legal propio del ámbito analógico. Además, se presentan características clave que permiten comprender cómo la configuración técnica de estos modelos de gestión de identidad busca integrarse como una herramienta más dentro de la economía de plataformas que caracteriza a la actual sociedad algorítmica. Para ello, se describen y diferencian los principales modelos de gestión de identidad digital, con especial atención al emergente paradigma de gestión descentralizada, y se analizan los esfuerzos de la Unión Europea por establecer un ecosistema europeo de identidad digital, a través del Reglamento eIDAS 2 y el desarrollo de la Infraestructura Europea de Servicios Blockchain.
Palabras claves: Sociedad algorítmica, identidad digital, descentralización, identidad autoso-berana, constitucionalismo digital.
Abstract: This study examines the constitutional implications of extant identity management models, with particular emphasis on those wherein large technological platforms function as digital identity solution providers. It analyses the nature and functions of identity in digital environments, distinguishing it from the analogous concept of legal identity. Furthermore, key characteristics enable the comprehension of how the technical configuration of these identity management models seeks integration as an additional tool within the platform economy that characterises the contemporary algorithmic society. To this end, the principal digital identity management models are delineated and differentiated, with specific attention to the emerging paradigm of decentralised management and the endeavours of the European Union to establish a European digital identity ecosystem through the eIDAS 2 Regulation and the development of the European Blockchain Services Infrastructure.
Key words: Algorithmic society, digital identity, decentralization, self-sovereign identity, digital constitutionalism.
Recibido: 20 de octubre de 2024
Aceptado: 5 de noviembre de 2024
______________________________________
[01] Cfr. A. GOLIA, “Critique of digital constitutionalism: Deconstruction and reconstruction from a societal perspective”, Global Constitutionalism, vol. 13, núm. 3, 2024, p. 488-518. https://doi.org/10.1017/S2045381723000126
[02] Cfr. M. ROBLES CARRILLO, “Los procesos de globalización y tecnificación desde la perspectiva jurídica internacional”, REEI, núm. 45, 2023, pp. 1-36.
[03] Estos actores globales, cuentan con su propia “población” de usuarios regida por contratos privados, desvinculada del criterio de nacionalidad que relaciona jurídica y políticamente a la población con su Estado de origen, lo que les permite ejercer un poder que escapa al control del derecho constitucional tradicional el cual fue conceptuado y evolucionó para un contexto territorial y poblacional delimitado. F. BALAGUER CALLEJÓN, “Inteligencia artificial y cultura constitucional”, en F. BALAGUER CALLEJÓN, I. WOLFGANG SARLET, C. L. STRAPAZZON, I. ROBL FILHO, A. AGUILAR CALAHORRO y A. PÉREZ MIRAS, Derechos fundamentales y democracia en el constitucionalismo digital, Aranzadi, Cizur Menor, Navarra, pp. 41-66.
[04] O. POLLICINO y G. DE GREGORIO, “Constitutional democracy, platform powers and digital populism”, Constitutional Studies, vol. 8, 2022, p. 11 y ss.
[05] Cfr. A. GURUMURTHY, y N. CHAMI, “Towards a Global Digital Constitutionalism: A Radical New Agenda for UN75”, Development, vol. 64, núm. 1-2, 2021, pp. 29-38. https://doi.org/10.1057/s41301-021-00287-z
[06] La integración y ejercicio de derechos fundamentales en ecosistemas creados por compañías tecnológicas en las que los datos y su explotación sin restricciones ha sido y es su elemento central, ha contribuido a la cosificación de los mismos, llegando a afectar no sólo a la privacidad de los usuarios sino también a sus derechos electorales y al sistema en su conjunto. Cfr. F. BALAGUER CALLEJÓN, “Data protection and the transformation of rights in the digital society”, UNIO – EU Law Journal, vol. 10, núm. 1, 2024, pp. 3-15.
[07] Cfr. S. ROSENGRÜN, “Why AI is a Threat to the Rule of Law”, Digital Society, vol. 1, núm. 2, 2022, p. 10 y ss.
[08] Cfr. A. SIMONCINI y E. LONGO, “Fundamental Rights and the Rule of Law in the Algorithmic Society” en H-W. MICKLITZ, O. POLLICINO, A. REICHMAN, A. SIMONCINI, G. SARTOR y G. DE GREGORIO (eds.), Constitutional Challenges in the Algorithmic Society, Cambridge University Press, pp. 27-41.
[09] Véase el numeral 90 de la resolución del Parlamento Europeo de 3 de mayo de 2022. PARLAMENTO EUROPEO. Resolución del Parlamento Europeo, de 3 de mayo de 2022, sobre la inteligencia artificial en la era digital (2020/2266(INI)). Recuperado de https://www.europarl.europa.eu/doceo/document/TA-9-2022-0140_ES.html
[10] Cfr. J. L. PIÑAR MAÑAS, “¿Qué regulación de los derechos en la sociedad digital?”, Derecho Digital e Innovación. Digital Law and Innovation Review, núm. 1, 2019, p. 6.
[11] Cfr. F. BALAGUER CALLEJÓN, La Constitución del Algoritmo, Fundación Manuel Giménez Abad, Zaragoza, 2022, p. 34.
[12] La capacidad de los algoritmos para moldear el comportamiento humano suscita preocupaciones en relación con la justicia social y la igualdad de oportunidades. Al codificar situaciones y hechos pasados, los algoritmos contribuyen a perpetuar y amplificar sesgos existentes, fenómeno especialmente notorio respecto de grupos sociales vulnerables. Esta dinámica de predicción y reforzamiento de patrones de comportamiento puede conducir a una sociedad cada vez más estratificada que condiciona el desarrollo individual. Véase M. CATANZARITI, “Algorithmic Law: Law Production by Data or Data Production by Law? en H-W. MICKLITZ, O. POLLICINO, A. REICHMAN, A. SIMONCINI, G. SARTOR y G. DE GREGORIO (eds.), Constitutional Challenges in the Algorithmic Society, Cambridge University Press, pp. 78-92.
[13] Cfr. E. M. AHOOEI, “The End of Information Age Society 5.0 and the L[e]ast Man”, Journal of Cyberspace Studies, vol. 7, núm. 1, 2023, p. 45-66.
[14] Cfr. P. LLANEZA GONZÁLEZ, Identidad digital. Actualizado a la Orden ETD/465/2021, de 6 de mayo (sobre métodos de identificación remota) y a la propuesta de Reglamento eIDAS 2, Bosch, Barcelona, 2021.
[15] Cfr. M. ROBLES CARRILLO, G. MACIÁ FERNÁNDEZ, R. MAGÁN CARRIÓN, R. A. RODRÍGUEZ GÓMEZ, J. A. GÓMEZ HERNÁNDEZ y P. GARCÍA TEODORO, “El Marco Europeo de Identidad Digital: análisis del enfoque coordinado a través del Toolbox de la UE”, Revista Jurídica de la Universidad de León, vol. 3, núm. 1, 2023, pp. 347-370.
[16] Cfr. B. CUSTERS, “New digital rights: Imagining additional fundamental rights for the digital era”, Computer Law & Security Review, núm. 44, 2022.
[17]Cfr. H.-W. MICKLITZ y A. A. VILLANUEVA, “Responsibilities of Companies in the Algorithmic Society”, en H.-W. MICKLITZ, O. POLLICINO, A. REICHMAN, A. SIMONCINI, G. SARTOR y G. DE GREGORIO (eds.), Constitutional Challenges in the Algorithmic Society, Cambridge University Press, Cambridge, 2022, p. 270.
[18] En concreto, “Digitization has created a new class of external actors and parties who have the power of constructing and maintaining identities through their systems and technologies of categorization and discrimination. Online platforms, services, and digital technologies, which have the capacity to authenticate its users, can also use this function to collect, analyze the digital traces their users leave on their services and use that to build categories, and assign identities to those users”; A. GIANNOPOULOU, “Digital identity infrastructures: a critical approach of self-sovereign identity”, Digital Society, vol. 2, núm. 2, 2023, p. 10.
[19] La descripción realizada se corresponde con la definición que la literatura científica ha alcanzado para un modelo de gestión descentralizada singular: la identidad auto-soberana. Véase, entre otros, A. GIANNOPOULOU, op cit., pp. 1-19; L. MATTEI, F. MORPURGO, C. OCCHIPINTI, L. M. RATTO VAQUER y T. VASYLIEVA, “Self-Sovereign Identity Model: Ethics and Legal Principles”, Digital Society, vol. 3, núm. 2, 2024, pp. 1- 25; F. PIERUCCI y V. CESARONI, “Data subjectivation-self-sovereign identity and digital self-determination”, Digital Society, vol. 2, núm. 2, 2023, pp. 1- 21; L. OUAILI, S. BOUZEFRANE, E. KORNYSHOVA y P. PARADINAS, “Vers une gestion d'identités auto-souveraine pour les dispositifs IoT”, Computer & Electronics Security Application Rendez-vous (C&ESAR), 2022, pp. 1-18, hal-03846902; I. ALAMILLO DOMINGO, “La identidad descentralizada como garantía de la privacidad en la vida digital”, La Ley privacidad, núm. 5, 2020, pp. 1-8.
[20] Un análisis sobre el término constitucionalismo digital y su fundemanto puede verse en E. CELESTE, “Digital constitutionalism: how fundamental rights are turning digital” en J. A. LEITE SAMPAIO (coord.), A Inteligência Artificial a (des)serviço do Estado de Direito, RTM, Belo Horizonte, 2023, pp. 13-37.
[21] Cfr. G. DE GREGORIO, “The rise of digital constitutionalism in the European Union”, International Journal of Constitutional Law, vol. 19, núm. 1, 2021, pp. 41-70. También G. DE GREGORIO, Digital constitutionalism in Europe: Reframing rights and powers in the algorithmic society, Cambridge University Press, Cambridge, 2022.
[22] DO L de 30.4.2024.
[23] Una visión sobre la soberanía digital de la Unión Europea y su vínculo con la actividad regulatoria en S. SOARE, “How to achieve digital sovereignty–a European guide”, en D. BROEDERS (ed.), Digital Sovereignty: From Narrative to Policy? EU Institute for Security Studies, 2022, pp. 19-24.
[24] Sobre la posición de los principales actores en el debate sobre la IA y los diferentes modelos impulsados en base a prioridades específicas que oscilan entre la búsqueda de beneficios económicos, el fortalecimiento del control social y un enfoque basado en valores centrados en las personas véase M. ROBLES CARRILLO, “La gobernanza de la inteligencia artificial: contexto y parámetros generales”, REEI, núm. 39, 2020, pp. 1-27.
[25] “Who controls digital technology, controls the trade of the world, and who controls the trade of the world, holds all treasures of the world, indeed the world itself”; H. SHEIKH, “European Digital Sovereignty: A Layered Approach”, Digital Society, vol. 1, núm. 3, 2022, p. 5.
[26] Sin perjuicio de su concreta regulación en el Reglamento, el considerando 29 de eIDAS 2 establece como objetivo del instrumento normativo la provisión de carteras europeas de identidad digital para ciudadanos y residentes en la Unión.
[27] Documentos y declaraciones que destacan la necesidad de implementar un sistema europeo de identidad digital han sido reseñados en J. F. RODRÍGUEZ GAMAL, “Fortalezas fronterizas: Reforzando la identidad en la era de las fronteras inteligentes”, en F. TRUJILLO y B. CORTINA-PÉREZ (dirs.), Estudios sobre y desde la frontera, Dykinson, Madrid, 2023, p. 927 y ss;
[28] Cfr. L. MATTEI, F. MORPURGO, C. OCCHIPINTI, L. M. RATTO VAQUER y T. VASYLIEVA, op cit., p. 3.
[29] La recopilación centralizada de información y el desarrollo de extensas bases de datos automatizadas se hicieron viables debido a que, históricamente, los Estados han reunido datos de los ciudadanos con fines vinculados al ejercicio de la soberanía y la gestión de los asuntos públicos. Sin embargo, esta lógica se diluye en un contexto marcado por la globalización. Cfr. A. MANTELERO, “Ciudadanía y gobernanza digital entre política, ética y derecho”, en T. DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO y J. L. PIÑAR MAÑAS (dirs.), Sociedad digital y Derecho, Ministerio de Industria, Comercio y Turismo, Madrid, 2018, p. 162.
[30] “[…] contemporary ID systems constitute a specific form of state control; one that disciplines the body of the individual citizen and regulates populations”; Cfr. E. HAYES DE KALAF y K. FERNANDES, Digital Identity: Emerging Trends, Debates and Controversies, Women in Identity, 2023, p. 5.
[31] UNITED NATIONS, “Handbook on Civil Registration and Vital Statistics Systems: Management, Operation and Maintenance”, Studies in Methods, Series F, No. 72 Rev.1, Department of Economic and Social Affairs Statistics Division, New York, 2021
[32] Un análisis de la evolución histórico-jurídica del concepto de identidad, desde la Antigua Roma hasta la Revolución Francesa, revela que, previo a la modernidad, este se encontraba profundamente relacionado con elementos como el linaje, la posesión de bienes y la posibilidad de que el individuo fuera reconocido por las estructuras estatales. Cfr. R. GENGHINI, Digital new deal: the quest for a natural law in a digital society, Wolters Kluwer Italia, Milán, 2021.
[33] B. ALÁEZ CORRAL, “Nacionalidad y ciudadanía ante las exigencias del Estado constitucional democrático”, Revista de Estudios Políticos, núm. 127, 2005.
[34] En el siglo XVIII, bajo la influencia del liberalismo revolucionario, la ciudadanía se entendía como una identidad política fundamentada en la igualdad y en la participación activa en los asuntos públicos, desvinculada de una identidad nacional en particular y asociada con el compromiso a la comunidad política. Al respecto véase M. C. SÁNCHEZ-CASTRO DÍAZ GUERRA, Estatus jurídico constitucional de los Robots, Tirant lo Blanch, Valencia, 2023.
[35] La noción de ciudadanía desempeña un rol fundamental en la configuración de las identidades dentro de los múltiples espacios constitucionales que coexisten en Europa. Al mismo tiempo, es el punto de partida para la construcción de una identidad constitucional europea. Cfr. F. BALAGUER CALLEJÓN, “La costruzione di un'identità cittadina europea”, en E. CALZOLAIO, R. TORINO y L. VAGNI (eds.), Liber Amicorum Luigi Moccia, Roma TrE-Press, Roma, 2021, p. 292.
[36] “No es fácil encontrar en el ámbito de las normas jurídicas un reconocimiento expreso al derecho a la identidad, que no está expresamente reconocido en nuestra Constitución”; J. L. PIÑAR MAÑAS, “Identidad y persona en la sociedad digital”, en T. DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO y J. L. PIÑAR MAÑAS (dirs.), Sociedad digital y Derecho, Ministerio de Industria, Comercio y Turismo, Madrid, 2018, p. 96.
[37] Este principio encuentra un desarrollo indirecto en el artículo 18, que protege el honor, la intimidad personal y familiar, y la propia imagen (art. 18.1), así como los datos personales (art. 18.4). A ello se suma la conexión que establece el artículo 10.2 CE con los tratados internacionales, como el artículo 8 del Convenio Europeo de Derechos Humanos (CEDH), que ampara el derecho al respeto de la vida privada, y la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE), que distingue entre la protección de la privacidad (art. 7) y la protección de los datos personales (art. 8). Véase M. M. RAZQUIN LIZARRAGA, “La identidad digital como derecho”, Derecho Digital e Innovación. Digital Law and Innovation Review, 14, 2022, pp. 1-20.
[38] Ley Fundamental de la República Federal de Alemania, (trad.) R. GARCÍA MACHO, K. P. SOMMERMANN y F. OLASO, DEUTSCHER, Deutscher Bundestag, Berlín, 2024.
[39] Cfr. R. DELAVEAU SWETT y G. GARCÍA PINO (coords.), Constituciones del mundo. Constituciones europeas (Tomo I), Cuadernos del Tribunal Constitucional de Chile, Santiago de Chile, 2021, p. 732.
[40] La Constitución Portuguesa establece en su artículo 19, numeral 6, una protección expresa de ciertos derechos fundamentales que no pueden ser suspendidos ni siquiera bajo el amparo de un estado de sitio o de excepción. Entre los derechos salvaguardados se encuentran el derecho a la vida, la integridad personal, la identidad personal, la capacidad civil y la ciudadanía.
[41] F. BALAGUER CALLEJÓN, La Constitución del Algoritmo, 2ª ed., Fundación Manuel Giménez Abad, Zaragoza, 2023, p. 35.
[42] Una comparativa breve de la Carta de Derechos Digitales Española y la Carta Portuguesa en J. F. RODRÍGUEZ GAMAL, “Constitutional approach to the challenges of algorithmic cities. A perspective through digital citizenship rights lens”, en I. C. M. FONSECA (coord.), Cidades inteligentes e direito, governação digital e direitos, desafios futuros globais, Gestlegal, Coimbra, 2023, pp. 397-417; Sobre la tendencia de las poderes públicos a recurrir a instrumentos de soft law (en el contexto de la IA) véase J. F. SÁNCHEZ BARRILAO, “Inteligencia artificial y fuentes del derecho”, Revista de Derecho Constitucional Europeo, núm. 39, 2023.
[43] COMISIÓN EUROPEA, “Declaración Europea sobre Derechos y Principios Digitales”, COM (2022) 28 final, Bruselas, 2022.
[44] Considerando 4.
[45] MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL, Carta de Derechos Digitales, Madrid, 2021.
[46] Lei nº 27/2021, de 17 de maio, Carta Portuguesa de Direitos Humanos na Era Digital, Diário da República, núm. 95, Série I, pp. 5-10.
[47] Una perspectiva diferente, se corresponde con el ejercicio en sistemas de identificación como parte integral del derecho a la identidad digital; M. M. RAZQUIN LIZARRAGA, op cit., 14.
[48]Cfr. P. LLANEZA GONZÁLEZ, op. cit., p. 68.
[49] Cfr. M. ROBLES CARRILLO, G. MACIÁ FERNÁNDEZ, R. MAGÁN CARRIÓN, R. A. RODRÍGUEZ GÓMEZ, J. A. GÓMEZ HERNÁNDEZ y P. GARCÍA TEODORO, cit., p. 348.
[50] Cfr. S. O. SØE y J. E. MAI, “Data identity: privacy and the construction of self”, Synthese, vol. 200, núm. 492, 2022, pp. 1-22.
[51] Cfr. A. GIANNOPOULOU, op. cit., p. 7.
[52] Cfr. L. MATTEI, F. MORPURGO, C. OCCHIPINTI, L. M. RATTO VAQUER y T. VASYLIEVA, op cit., p. 5.
[53]Cfr. M. ROBLES CARRILLO, “Digital identity: an approach to its nature, concept, and functionalities”, International Journal of Law and Information Technology, vol. 32, núm. 1, 2024.
[54] CNUDMI, Grupo de Trabajo IV (Comercio Electrónico), Proyecto de disposiciones sobre la utilización y el reconocimiento transfronterizo de sistemas de gestión de la identidad y servicios de confianza, Naciones Unidas, Nueva York, 2020 p. 5.
[55] Cfr.C. SULLIVAN, “Digital citizenship and the right to digital identity under international law”, Computer Law & Security Review, vol. 32, núm. 4, 2016, pp. 474-481.
[56] Un desarrollo de la idea de identidad digital transaccional, como componente clave de la estructura de servicios digitales actuales y vinculado a la existencia de un identificador contextual y especializadocreado con el fin de simplificar interacciones en espacios digitales puede verse en M. LANDRIGAN, S. WILSON, y H. FRASER “Why Are There So Many Digital Identities?”, Law, Technology and Humans, vol. 6, núm. 1., 2024, p. 3.
[57] “With online services proliferating, so did user accounts. This led to the need for online identity management, or the creation of account-based mechanisms that regulate access to online services and computer systems”; A. GIANNOPOULOU, op. cit., p. 11.
[58] A. INZA BLASCO, “Digital Identity in a European User-Centric Ecosystem and Its Similarities with the Digital Euro Proposal”, en C. PASTOR SEMPERE (ed.), Governance and Control of Data and Digital Economy in the European Single Market: Legal Framework for New Digital Assets, Identities and Data Spaces, Springer Nature Switzerland, Cham, 2025, pp. 453-471.
[59] M. ROBLES CARRILLO, “Digital identity: an approach to its nature, concept, and functionalities”, op cit., p. 20.
[60] Cfr. A. GIANNOPOULOU y F. WANG, “Self-sovereign identity”, Internet Policy Review, vol. 10, núm. 2, 2021, p. 3.
[61] Los sistemas de identidad digital operan mediante una estructura tripartita que comprende al usuario final que busca acceder a servicios, un proveedor de identidad que gestiona y verifica las credenciales digitales, y un proveedor de servicios que ofrece prestaciones condicionadas a la autenticación. Cfr. Commission Nationale de l'Informatique et des Libertés (CNIL), “ L'identité numérique. Dossier thématique”, CNIL, París, 2023, p. 4.
[62] C. ALLEN, “The Path to Self-Sovereign Identity”, Life with Alacrity, 2016. Disponible en: https://www.lifewithalacrity.com/article/the-path-to-self-soverereign-identity/
[63] Cfr. C. MAZZOCCA, A. ACAR, S. ULUAGAC, R. MONTANARI, P. BELLAVISTA y M. CONTI, “A Survey on Decentralized Identifiers and Verifiable Credentials”, arXiv preprint, arXiv:2402.02455, 2024, p. 4.
[64] “Centralized identities come with issues like dependencies, lock-in effects and single points of failure”; L. ANTE, C. FISCHER y E. STREHLE, “A bibliometric review of research on digital identity: Research streams, influential works and future research paths”, Journal of Manufacturing Systems, vol. 62, 2022, pp. 524. Otro análisis identifica como riesgos más destacados el uso inadecuado de datos personales, la exposición a ciberataques y el acceso no autorizado a información sensible. Cfr. J. SEDLMEIR, R. SMETHURST, A. RIEGER y G. FRIDGEN, “Digital identities and verifiable credentials”, Business & Information Systems Engineering, vol. 63, núm. 5, 2021, pp. 603-613.
[65]Cfr. M. ALLENDE LÓPEZ, “El futuro de la identidad digital: auto-soberanía, billeteras digitales y blockchain”, Banco Interamericano de Desarrollo, Washington D.C., 2020, pp. 17-18.
[66] A ello hay que añadir, el interés por establecer tempranamente pautas para el desarrollo del comercio electrónico internacional. Véase COMISIÓN DE LAS NACIONES UNIDAS PARA EL DERECHO MERCANTIL INTERNACIONAL, Ley Modelo de la CNUDMI sobre Comercio Electrónico con la Guía para su incorporación al derecho interno 1996 con el nuevo artículo 5 bis aprobado en 1998, Naciones Unidas, Nueva York, 1999. En el considerando 133 se indicaba que era necesario reevaluar aspectos asociados a los contratos, la oferta y su aceptación y las repercusiones jurídicas del papel de los sistemas de gestión centralizada de datos en el derecho mercantil internacional.
[67]Cfr. L. MATTEI, F. MORPURGO, C. OCCHIPINTI, L. M. RATTO VAQUER y T. VASYLIEVA, op. cit., p. 6.
[68] Bajo un esquema federado, diversas instituciones tienen la capacidad de ofrecer una identificación digital la cual se gestiona o valida dentro de un marco de confianza o bajo la supervisión de una autoridad federal. Cfr. P. LLANEZA GONZÁLEZ, op. cit., p. 74.
[69] En el modelo federado, para acceder a ciertos servicios ofrecidos por un proveedor, existe una entidad intermediaria conocida como proveedor de identidad. El usuario solo necesita una cuenta y el proveedor de identidad le otorga acceso a todos los sitios web, servicios y aplicaciones que dependan del mismo. Cfr. F. PIERUCCI y V. CESARONI, op. cit., p. 6
[70]Cfr. J. SEDLMEIR, R. SMETHURST, A. RIEGER y G. FRIDGEN, op. cit., p. 604.
[71] Protocolos como OpenID, JWT, OAuth y otros sistemas de gestión de identidad introdujeron innovaciones como el inicio de sesión único, la autenticación basada en tokens y las identidades federadas. Estas tecnologías han mejorado significativamente tanto la experiencia del usuario como la seguridad en la autenticación en línea. Cfr.V. RODRÍGUEZ-DONCEL, “Web Technologies for Decentralised Identity”, en C. PASTOR SEMPERE (ed.), Governance and Control of Data and Digital Economy in the European Single Market: Legal Framework for New Digital Assets, Identities and Data Spaces, Springer Nature Switzerland, Cham, 2025, pp. 115.
[72] Cfr. M. LANDRIGAN, S. WILSON, y H. FRASER, op. cit., p. 9.
[73]Cfr. M. ALLENDE LÓPEZ, op. cit., pp. 18-20.
[74] Un ejemplo ampliamente utilizado son los métodos “social login” implementados en redes sociales. Cfr. M. LANDRIGAN, S. WILSON, y H. FRASER, op. cit., 4.
[75] Cfr. P. LLANEZA GONZÁLEZ, op. cit., p. 74.
[76] “Ce faisant, l’identité passe de modèles centralisés ou fédérés à un modèle centré sur l’utilisateur, la personne étant placée au coeur du dispositif de décision. L’identité devient alors auto-souveraine”; J. EYNARD y A. GIANNOPOULOU, “La blockchain et le défi de l'identité numérique: la technologie comme support de l'auto-souveraineté”, Amsterdam Law School Legal Studies Research Paper¸ núm. 2024-03, 2024, p. 2. Disponible en: https://ssrn.com/abstract=4700237
[77] Cfr. P. LLANEZA GONZÁLEZ, op. cit., p. 76.
[78] OpenID Connect surgió en 2005 como un protocolo de autenticación descentralizado que simplifica el acceso a múltiples sitios web mediante una única cuenta, evolucionando con aportes de grandes empresas tecnológicas hasta que Facebook desarrolló su propia versión comercial en 2010, Facebook Connect para la obtención de datos con fines publicitarios. Cfr.M. ALAUZEN, “L'État plateforme et l'identification numérique des usagers. Le processus de conception de FranceConnect”, Réseaux, núm. 213, 2019, pp. 211-239.
[79] Cfr. A. GIANNOPOULOU, “Data protection compliance challenges for self-sovereign identity”, en J. PRIETO, A. PINTO, A. KUMAR DAS y S. FERRETTI (eds.), Blockchain and Applications, Springer, Cham, 2020, p. 94.
[80] Adicionalmente: Š. ČUČKO, V. KERŠIČ y M. TURKANOVIĆ, “Towards a Catalogue of Self-Sovereign Identity Design Patterns”, Applied Sciences, vol. 13, núm. 9, 2023, p. 5395 y ss. Sobre la divulgación de atributos; Cfr. J. EYNARD y A. GIANNOPOULOU, op. cit., p. 2.
[81] Una explicación técnica sobre las DIDs;D. KASIMATIS, S. GRIERSON, W. J. BUCHANAN, C. ECKL, P. PAPADOPOULOS, N. PITROPAKIS, C. THOMSON, B. GHALEB, “Anonymised Fixed-Ring Identification Using Decentralised Identifiers”, arXiv preprint arXiv:2403.05271, 2024, p. 2. También en Š. ČUČKO, V. KERŠIČ y M. TURKANOVIĆ, op. cit., p. 3.
[82] Cfr. A. GIANNOPOULOU y F. WANG, op. cit., p. 4.
[83] Cfr. G. ISHMAEV, “Sovereignty, privacy, and ethics in blockchain-based identity management systems”, Ethics and Information Technology, vol. 23, núm. 3, 2021, pp. 239-252.
[84] Sobre las implicaciones jurídicas de la identidad digital y blockchain, Cfr.A. MERCHÁN MURILLO, “Identidad digital Blockchain e Inteligencia Artificial: aspectos jurídicos de presente y futuro a debate”, Ius et Scientia, núm. 1, 2021, pp. 183-203.
[85]Cfr. I. ALAMILLO DOMINGO, op. cit., p. 4.
[86] Cfr. F. PIERUCCI y V. CESARONI, op. cit., p. 16.
[87] Cfr. L. MATTEI, F. MORPURGO, C. OCCHIPINTI, L. M. RATTO VAQUER y T. VASYLIEVA, op. cit., p. 7.
[88] Cfr. A. INZA BLASCO, op. cit., p. 440; Considerando el texto de la propuesta de reforma, algunos autores alcanzaron idéntica conclusión defendiendo que los registros centralizados podrían ser igualmente efectivos, siempre que cumpliesen con los estándares establecidos por la Comisión Europea en los actos de ejecución correspondientes y se alineen con lo establecido en la Sección 11 “Libros Electrónicos Mayores” del texto finalmente en vigor; Cfr. J. EYNARD y A. GIANNOPOULOU, op. cit., p. 8
[89] Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, DOUE L 257, de 28 de agosto de 2014.
[90] El artículo 3 introduce diversas modificaciones y adiciones que actualizan el catálogo de definiciones previas y contempla nuevos medios de identificación y servicios y características de confianza.
[91] S. SCHWALM e I. ALAMILLO-DOMINGO, “Self-Sovereign-Identity & eIDAS: a Contradiction? Challenges and Chances of eIDAS 2.0”, European Review of Digital Administration & Law - Erdal, vol. 2, núm. 2, 2021, p. 89 y ss.
[92] Considerando 1.
[93] Véase el memorando explicativo: COMISIÓN EUROPEA, “Propuesta de Reglamento del Parlamento Europeo Y del Consejo por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea”, COM (2021) 281 final, 2021/0136 (COD), Bruselas, 2021. p. 2.
[94] El considerando 70 destaca la importancia de una cooperación estructurada entre la Comisión, los Estados miembros, la sociedad civil, el ámbito académico y el sector privado para evitar que las restricciones técnicas divergentes afecten la implementación del marco europeo de identidad digital. En este sentido, se establece la necesidad de acordar una arquitectura técnica unificada, un conjunto de normas comunes y directrices que aseguren la interoperabilidad de las carteras europeas de identidad digital, como las firmas electrónicas y los servicios cualificados de confianza.
[95]Considerando 7.
[96]Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea, DOUE L 210, de 14 de junio de 2021. Un análisis más detallado en M. ROBLES CARRILLO, G. MACIÁ FERNÁNDEZ, R. MAGÁN CARRIÓN, R. A. RODRÍGUEZ GÓMEZ, J. A. GÓMEZ HERNÁNDEZ y P. GARCÍA TEODORO, op. cit., pp. 349 – 353.
[97] Se trata de un proyecto colaborativo liderado por la Comisión Europea junto con la European Blockchain Partnership, una alianza intergubernamental que incluye a los 27 Estados Miembros de la Unión Europea, además de Noruega y Liechtenstein, con el objetivo de implementar servicios públicos transfronterizos en Europa mediante el uso de tecnología blockchain. Cfr. E. TAN, E. LEROUGE, J. DU CAJU y D. DU SEUIL, “Verification of Education Credentials on European Blockchain Services Infrastructure (EBSI): Action Research in a Cross-Border Use Case between Belgium and Italy”, Big Data Cogn. Comput., vol. 7, núm. 79, 2023, pp. 1-18.
[98] Véase también la Decisión de Ejecución (UE) 2024/1432 de la Comisión, de 21 de mayo de 2024, por la que se crea el Consorcio Europeo de Infraestructuras Digitales para la Asociación Europea de Cadenas de Bloques y la Infraestructura Europea de Cadena de Bloques para los Servicios (EUROPEUM-EDIC), DOUE L 167, de 23 de mayo de 2024.
El consorcio se integra por 9 Estados miembros: Bélgica, Croacia, Chipre, Eslovenia, Grecia, Italia, Luxemburgo, Portugal y Rumanía con el fin de desarrollar la Infraestructura Europea de Servicios Blockchain y asistir a autoridades competentes. En este contexto, se busca que dicha infraestructura no solo preste servicios transfronterizos a escala de la Unión, en particular en el ámbito de los servicios públicos, sino que también fomente la cooperación entre autoridades públicas en el uso de tecnologías descentralizada (Véase el Considerando 5 de la Decisión de Ejecución).
[99] Este precepto reemplaza la redacción anterior, cuyo título era “Tratamiento y protección de datos”. En su apartado 1, se hacía referencia a la Directiva 95/46/CE, mientras que el apartado 2 establecía, de manera similar al texto reformado, que no se prohibía el uso de seudónimos. La única diferencia notable radica en que eIDAS 2.0 amplía la excepcionalidad, sumando a “los efectos jurídicos contemplados por el Derecho nacional” aquellas disposiciones derivadas de normas específicas del Derecho de la Unión o de legislaciones nacionales que exijan la identificación de los usuarios.
[100] Artículo 1.
[101] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DOUE L 119, de 4 de mayo de 2016.
[102]En el numeral 42 del artículo 3 se añade al inciso j) para proporcionar una definición.
[103] El artículo 3, numeral 57, define el “modo fuera de línea"” como el uso de servicios o herramientas en espacios sin conexión a redes, donde interactúan un usuario y un tercero sin depender de comunicación en tiempo real.
[104] La gratuidad se relaciona con la expedición, uso y revocación de ceIDs por parte de personas físicas. En cuanto a la voluntariedad, cabe destacar que la redacción, al no hacer distinciones entre tipos de usuarios, permite interpretar que su uso no se restringe exclusivamente a personas físicas.
[105] Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.º 526/2013, DOUE L 151, de 7 de junio de 2019.
[106] En concreto, artículo 8 apartado 3 párrafo primero y apartados 6 y 8 del artículo 12.
[107] Reglamento (UE) 2022/1925, del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital (Reglamento de Mercados Digitales), DOUE L 265, de 12 de octubre de 2022.
[108] Artículo 45 nonies.
[109] T. LANGLOIS-BERTHELOT, “Perspectives juridiques de l'émergence d'une identité décentralisée au service de droits numériques augmentés”, Blockchain et Cryptos | 60 experts vous expliquent tout, IS EDITION, 2022, p. 516. Adicionalmente véase, COMISIÓN EUROPEA, “European Blockchain Sandbox - Best practices report - Part B -”, 2024, p. 61-62.
[110] Entre ellas, la verificación de la identidad. Cfr. W. J. BUCHANAN et al., “The Future of Integrated Digital Governance in the EU: EBSI and GLASS”, ArXiv preprint arXiv:2212.03218, 2022.
[111] “Client wallets use the EBSI wallet API to generate key pairs, initiating the onboarding process for recording information in the EBSI ledger. Authorised issuers and individuals are registered in the EBSI ledger via dedicated APIs, facilitating verification processes within the ecosystem”; D. KASIMATIS, W. J. BUCHANAN, M. ABUBAKAR, O. LO, C. CHRYSOULAS, N. PITROPAKIS, P. PAPADOPOULOS, S. SAYEED y M. SEL, “Transforming EU Governance: The Digital Integration Through EBSI and GLASS”, en N. PITROPAKIS, S. KATSIKAS, S. FURNELL y K. MARKANTONAKIS (eds.), ICT Systems Security and Privacy Protection: 39th IFIP International Conference, SEC 2024, Springer Nature, Edinburgh, 2024, p. 250.
[112] Cfr. H. SHEIKH, op. cit., p. 21.
[113] “The challenges and risks raised by the use of digital technologies may prompt the EU to advance further in the direction of developing a digital European sovereignty destined to defend European digital citizenship”; A. ILIOPOULOU-PENOT, “The construction of a European digital citizenship in the case law of the Court of Justice of the EU”, Common Market Law Review, vol. 59, núm. 4, 2022, p. 1006.
[114] Sobre la transformación de los sujetos de derechos en la economía global actual y la hipertrofia de la protección jurídica del consumidor, véase F. BALAGUER CALLEJÓN, “Data protection and the transformation of rights in the digital society”, cit.¸pp. 5-8.
[115] Cfr. M. COECKELBERGH, “Artificial intelligence, the common good, and the democratic deficit in AI governance”, AI and Ethics, 2024, https://doi.org/10.1007/s43681-024-00492-9
[116] Cfr. A. M. GARDENIER, R. VAN EST y L. ROYAKKERS, “Technological citizenship in times of digitization: an integrative framework", Digital Society, vol. 3, núm. 2, 2024, pp. 1-21.
[117] Cfr. G. DE GREGORIO, op. cit., p. 70.
[118] Considerando 15.
[119] Cfr. W. J. BUCHANAN et al., op. cit., p. 9.
[120] “En outre, il est difficile d’imaginer la déresponsabilisation de l’État en tant que fournisseur de l’identité numérique au profit d’une identité décentralisée auto-souveraine” ; Cfr. J. EYNARD y A. GIANNOPOULOU, op. cit., p. 7.
[121] En eIDAS 2 se establecen diversos plazos para que la Comisión adopte actos de ejecución para el desarrollo e implementación de estándares técnicos para: servicios cualificados de conservación de firmas electrónicas (Art. 34.2), sellos electrónicos avanzados (Art. 36.b), certificados cualificados de sello electrónico (Art. 38.6), validación de firmas electrónicas avanzadas (Art. 32 bis.3), servicio de validación cualificado para firmas electrónicas (Art. 33.2) y certificados cualificados de autenticación de sitios web (Art. 45.2).
[122] Entre ellos: “World Wide Web Consortium (W3C), the Decentralised Identity Foundation (DIF), The Sovrin Foundation, and Trust Over IP (ToIP)”; Cfr. Š. ČUČKO, V. KERŠIČ y M. TURKANOVIĆ, op. cit., p. 1.
[123] Los modelos de diseño gubernamental de carteras de identidad digital se dividen principalmente en dos enfoques: los “Government ID-Infrastructure Wallet” se caracterizan por un enfoque centrado en la provisión de una infraestructura pública que sirve como base para la construcción de servicios de identidad digital y “Trust ID Wallet Federation” en los que múltiples proveedores de carteras de identidad digital, tanto públicos como privados, compiten bajo un marco regulatorio común.
Ahora bien, “[…] Both government orchestration standard types outlined in our study indicate that Google and Apple, as the pro-viders of smartphone operating systems are best positioned to become the leading ID wal-let providers for natural persons. [..] Without regulatory intervention, the structural advantages of a wallet provided by Google or Apple through bundling with the smartphone will win the wallet war”. Cfr. K. DEGEN y T. TEUBNER, “Wallet wars or digital public infrastructure? Orchestrating a digital identity data ecosystem from a government perspective”, Electronic Markets, vol. 34, núm. 50, 2024, p. 20.
[124] Especialmente en redes sociales. De acuerdo con lo establecido en los considerandos 57 y 58, así como en el artículo 5 septies, apartado 3, estas plataformas tienen la obligación de ofrecer ceIDS como una opción válida para la autenticación cuando esta sea un requisito indispensable para acceder a sus servicios en línea.