Desde hace tiempo, en la Unión Europea se viene hablando de la necesidad de digitalizar la relación entre los países miembro. O de digitalizarse, en general. El progreso y la economía verde se han posicionado en el centro de la ecuación. También la economía y su crecimiento. Porque si de algo sirve la digitalización es para ahorrar tiempo. Y el tiempo es oro. En todos los sentidos. La identidad digital única europea, además de practicidad, es precisamente una promesa de mejorar las cifras de una economía que –en un contexto socioeconómico convulso– es más necesaria que nunca.
El problema es que la apuesta por la identidad digital única es una promesa que nunca termina por materializarse. Con la normativa de 1999 y su reformulación de 2014, conocida como eIDAS (electronic IDentification, Authentication and trust Services), se apuntaba a que todos los países del mercado europeo tenían que facilitar esa identidad digital. Que no es otra cosa que una cartera virtual, válida en todos los países socios, en la que se congrega toda la información de la persona. Desde sus datos personales, pasando por su historial financiero, académico o social. Todo en una sola aplicación. Y aunque esta idea, por interesante que parezca, estaba sobre la mesa, nadie se atrevía a dar el primer paso oficial. Hasta que la cuestión ya apunta a ser de obligado cumplimiento.
Con una pandemia por medio, que se ha puesto la digitalización por bandera, desde julio de este mismo año todo apunta a que la identidad digital única no será una sugerencia, sino una obligación. "Hasta la fecha era una normativa difusa que podía llevarse a cabo o no por los estados y usarse o no por las empresas. La nueva normativa lo que quiere es que los estados tengan la obligación de ponerlo a disposición de sus ciudadanos", explica Ester López, doctora en derecho internacional público y profesora de derecho internacional en la UDIMA, a Hipertextual.
Ahora bien, ¿quién será el que ocupe el lugar del protector de esos datos de vida? Aunque para Ester López esto debería pasar por ser una prestación del Estado, de cada uno de los países miembro, el realismo se impone. Ante la nueva regulación eIDAS, el ciudadano será el guardián de su propia identidad, y será él quien decida a quién compartir sus datos a la hora de autenticarse.
Y, en toda esta ecuación, una empresa española nacida en el seno del MIT. Gataca, que lleva tiempo abogando por la identidad digital única en Europa, ya está lista para afrontar las nuevas peticiones de eIDAS. Tanto que ya está a punto de lanzar una versión de prueba para que las empresas empiecen a ofrecer la opción de una cartera digital.
Gataca, preparados desde 2017
Nacidos en 2017, tras el hackeo a Equifax, el objetivo de Gataca –que recibe su nombre de la singularidad genética humana– era el de crear una identidad digital tan única como el código que nos hace ser quiénes somos como humanos. Desde entonces, llevan investigando y abogando por esta tecnología. Una carrera de fondo que podría haber quedado en la nada, pero en la que ahora son unos de los primeros. Aunque no los únicos.
Con todo, Gataca ya está por lanzar la versión SaaS de su plataforma de identidad digital autosoberana, conocida como Gataca Studio. Gataca Studio permite a las empresas ofrecer onboarding o sign in en solo un clic, a través de la emisión y verificación de credenciales de identidad. En octubre, explican a Hipertextual, estarán listos para una versión dirigida a los early adopters, que quisieran implementar con identidad digital autosoberana con facilidad y sin mucho compromiso.
Para los ciudadanos, Gataca tiene ya una cartera de identidad digital, que les permite almacenar las credenciales de identidad emitidas por estas instituciones.
Pero no quieren quedarse ahí. Tienen muy presente que, a más tardar en 2023, Europa decidirá que permitir el uso de la identidad digital sea obligatorio para todas las instituciones. Es para ese momento para el que se están preparando. Y, a ser posible, convertirse en referencia en el sector a nivel europeo.
¿Cómo funciona la cartera de Gataca?
Lo primero que hay que entender es su objetivo. Es un repositorio digital, en forma de aplicación, en el que se congregan todos los datos que puedan identificar o definir a una persona ante cualquier institución. Estos, además, estarán protegidos por las máximas garantías técnicas de seguridad. Tanto para terceros, como para las instituciones que requieren el uso de la identidad digital única. De esta forma, un banco solo podrá ver los datos que el usuario, previa aprobación, quiera o necesiten que vea la institución financiera.
En el caso de Gataca, que funciona con identificación biométrica, aseguran que solo se enviarán credenciales hasta que se tenga la confirmación exacta que de que, efectivamente, es esa persona. De esta forma, ambas partes tienen conocimiento mutuo de quién es quién.
Supone, además, un cambio de las reglas del juego. Y pongamos el ejemplo de un banco. Hasta ahora, abrirse una cuenta una entidad financiera venía de la mano de una oferta interesante, ahora la cuestión será a la inversa. El banco, conociendo mis datos crediticios, me ofrecerá lo que mejor me convenga. Es, a grandes rasgos, darle la vuelta a la tortilla.
También supondrá una apertura de puertas a todos los servicios europeos. De forma instantánea, todas nuestras credenciales serán válidas a nivel comunitario. Sin discursiones.
Y si bien esto comenzará a echar a andar con universidades y entidades financieras, la idea es que esto llegue a cualquier rincón. Y como todo lo que va, puede venir. Desde el propio wallet se podría rescindir, ante cualquier compañía e institución, el acceso a nuestros datos. Esto sería una forma rápida de eliminar nuestra presencia en aplicaciones de terceros. Algo casi imposible en muchas de ellas.
La identidad digital única aún tiene problemas por resolver
El sistema de la identidad digital única será una obligatoriedad que convivirá con los sistemas de autenticación actuales, pero que, a la larga, se convertirán en la normalidad. Bien para muchos, problema para los que tengan terror digital.
Para ojos de Ester López, de momento hay que hacer una presentación amable a los Gobiernos y empresas para que los ciudadanos comiencen a usarlos. Para que trascienda el nivel de los early adopters y se convierta en la norma. Tienen hasta 2030 para hacerlo, una fecha que para López es arriesgada, pero que sigue sobre la mesa.
Sin embargo, esto vendrá con otras tendencias. U otras brechas digitales. Lo que los cajeros automáticos han sido a los bancos, la identidad digital será para cualquier sistema de identificación. Se abre, en este momento, una próxima brecha digital con la que habrá que lidiar a fondo.
Fuera de los problemas asociados a la aceptación social de la identidad digital, están las relaciones con terceros. Es decir, fuera de la Unión Europea en este caso. La nueva normativa iDAS hizo un añadido que salvaba parte del problema: estos certificados electrónicos serían válidos en el extranjero sin necesidad de acuerdos bilaterales. Siempre y cuando se cumplan con los niveles de seguridad necesarios. Este último matiz es, de hecho, su mayor problema.
¿Cómo unificar sistemas de seguridad entre países no comunitarios? La clave, para la letrada, sí que estará en los acuerdos extramuros. Reino Unido, socio clave económico, es ya de por sí un problema. El mundo anglosajón cuenta con una concepción de la seguridad muy diferente a la europea. De hecho, la propia GDPR (la ley de protección de datos) ya ha sido un quebradero de cabeza para muchas tecnológicas norteamericanas con un concepto del dato muy diferente al europeo. Si nos vamos a China, la historia se complica. Todo dependerá, en cualquier caso, de que Europa logre convencer al mundo de que su estándar de seguridad es que el domine la escena de la identidad digital única.