Reforma Al Reglamento Eidas En Europa: ¿Una Guía Para Modificar La Ley 527 De 1999?
Por: Héctor García. Director Observatorio Gobierno y TIC. U. Javeriana. Presidente Camerfirma Colombia. www.camerfirma.com.co
Cada vez más personas acceden a bienes y servicios digitales en los cuales tienen que realizar un proceso de autenticación o validación de identidad en línea. En efecto, en la actualidad no se debe acudir presencialmente para realizar la apertura de cuentas bancarias y productos financieros, solicitar pólizas de seguro, algunos servicios públicos, realizar inscripciones en colegios y universidades, entre otros; sin embargo, ¿Cómo se regulan estos novedosos procedimientos de autenticación en línea? ¿Existe algún riesgto asociado a la suplantación de identidad y a la suscripción de documentos electrónicos?
Para responder estas preguntas, debemos revisar la normatividad local e internacional, y la realidad tecnológica actual en Colombia y en el mundo. A nivel local, se está desarrollando el eje transversal de la Política de Gobierno Digital, denominado, Servicios Ciudadanos Digitales, que tiene a su vez distintos servicios, entre ellos el servicio de autenticación digital.
El servicio de autenticación digital en Colombia, está reglamentado por el Decreto 620 de 2020, pero tuvo su origen en el Decreto 1413 de 2017 cuando se creó la Agecia Nacional Digital (AND). En su momento se definió el servicio de autenticación y el servicio de validación biométrica como servicios distintos y complementarios. En la actualidad, es decir, cinco años después de expedirse el Decreto 1413, el servicio de autenticación se ha implementado en distintas entidades, de manera muy precaria, no obstante, la Agencia Nacional Digital ya ha entregado a distintitas entidades del orden nacional y territorial, firmas digitales y se encuentra estampando cronológicamente (sellos de tiempo) toda la data que recibe de las entidades para garantizar su integridad.
A nivel internacional, el referente normativo idóneo es el europeo, el Reglamento UE 910/2014, eIDAS, reglamento sobre la identidad digital y los servicios de confianza que rige para toda la Unión Europea y que incluso, se encuentra en la actualidad en trámite de su versión dos, eIDAS 2, que hace especial énfasis en la identidad digital, los documentos de identidad digital y los servicios de confianza. Estos últimos, prestados por autoridades de certificación (AC) o entidades de certificación digital (ECD) como se conocen en nuestro país. Actualmente dicho reglamento regula herramientas tecnológicas tales como las firmas electrónicas, notificación electrónica certificada y sello de tiempo. Esta norma, podría decirse es el equivalente normativo de la Ley 527 de 1999 que rige en Colombia (sin perjuicio de que cada Estado europeo, además del reglamento, expide una norma que rige en el país).
La reforma del reglamento eIDAS es motivada por las nuevas demandas del mercado y el avance de la tecnología, dado que se detectaron las siguientes falencias en el sistema actual: a) limitaciones del sector público; b) dificultad de los prestadores privados para conectarse al sistema; c) disponibilidad insuficiente de soluciones de identidad electrónica en los distintos países miembros de la Unión Europea; d) La falta de flexibilidad del sistema para admitir diversos tipos de casos de uso y e) El hecho de que ciertas soluciones de identidad no se encuentran dentro del Reglamento eIDAS, como las provistas por entidades financieras o medios sociales.
Para enfrentar estas problemáticas el nuevo reglamento procede a regular nuevos conceptos y herramientas tecnológicas en materia de identidad digital, además de señalar las condiciones administrativas, jurídicas y técnicas para que esta nueva regulación pueda aplicarse en los distintos países miembros.
De manera más sencilla, el reglamento eIDAS busca, entre otras cosas, fortalecer la regulación acerca de la forma en la cual una persona acredita que algo ocurrió en internet: ¿Cómo acredito mi identidad al realizar trámites virtuales? ¿Cómo evito que suplanten mi identidad en internet? ¿Cómo acredito la hora en la cual envié un mensaje o radiqué un trámite?
Si bien estas preguntas se responden en el reglamento vigente, su reforma pretende complementar la forma en la cual se responde a estas preguntas, creando nuevos mecanismos de validación de identidad, fortaleciendo la seguridad y permitiendo que un mecanismo de validación de identidad no sea válido solamente en un país, sino en toda la Unión Europea. A continuación se verá, en la práctica, como es que este nuevo reglamento impactará en la cotidianidad de los ciudadanos europeos.
Una de las novedades que más se ha comentado es la creación de las carteras o billeteras de identidad digital, las cuales se conciben como un medio de identificación electrónica “que permite al usuario almacenar datos de identidad, credenciales y atributos vinculados a su identidad, con el fin de proporcionarlos a las partes usuarias a petición de estas y de utilizarlos con fines de autenticación, en línea y fuera de línea”.
¿Para qué sirve esta cartera? Básicamente con la misma los ciudadanos podrán tener una billetera digital, similar a una billetera física, la cual conservará documentos básicos tales como la licencia de conducción, pasaporte o su documento de identificación. Incluso a través de la misma se podrán conservar documentos como diplomas o las denominadas tarjetas profesionales en Colombia.
Esta billetera digital también facilitará que los ciudadanos europeos puedan adquirir servicios y efectuar trámites en otros países de la misma Unión Europea, como adquirir una SIM, abrir cuentas bancarias, acceder a información de la salud de la persona (como apartes de la historia clínica, en caso de necesitar atención médica en otro país) o adquirir tarjetas para utilizar el transporte público.
De esta forma, se prevé que las carteras de identificación electrónica puedan utilizarse en otros países miembros de la Unión Europea, ante entidades públicas que tengan trámites disponibles en los cuales se solicite una identificación electrónica; así mismo, será válido utilizar estas carteras cuando se requiera de un método de autenticación reforzada, es decir, una autenticación que se base en dos elementos para validar la identidad, como sucede, por ejemplo, con las entidades bancarias, donde se acredita la identidad de forma digital a través de un token (algo que la persona tiene) y una contraseña (algo que la persona sabe).
Es importante subrayar que esta billetera de identificación digital se genera bajo un esquema de autenticación “alto”, esto es, donde se tiene plena certeza de la identidad de la persona, lo cual, de plano, descarta que la validación se pueda utilizar solamente mediante mecanismos como los formularios de preguntas y respuestas, claves que llegan al correo, entre otros.
Se recalca que a través de la billetera digital no se podrá recopilar información sobre su uso, salvo aquella que sea estrictamente necesaria para su funcionamiento y, así mismo, debe ser adaptada para que las personas con discapacidad pueden utilizarla. También se encuentra previsto que la billetera digital pueda utilizarse en modo online y offline.
Por otro lado, la nueva versión del reglamento crea tres nuevos servicios de confianza, que ya complementan las firmas electrónicas, sellos de tiempo y los demás ya existentes, estos son: archivo electrónico, libro mayor electrónico y gestión de firmas y sellos electrónicos remotos. Estos nuevos servicios ampliarán la oferta de mecanismos por medio de los cuales se puede tener certeza y seguridad jurídica sobre las actuaciones que se realizan por medios digitales.
Además de lo anterior, el nuevo Reglamento precisa algunas condiciones de los proveedores cualificados de servicios de confianza, profundiza los mecanismos de reconocimiento de identidad electrónica en la Unión Europea, señala requisitos para la gestión de dispositivos remotos de creación de firmas electrónicas, sellos electrónicos y modifica las normas sobre servicio de conservación de firmas electrónicas cualificadas y certificados cualificados de autenticación de sitios web.
La revisión del Reglamento eIDAS permite establecer que cada vez más existe una preocupación constante por generar herramientas de autenticación electrónica seguras, a través de mecanismos de plena validación identidad, tales como: a) medios de identificación electrónica con un nivel de garantía “sustancial” o “alto”: firmas digitales b) mecanismos tales como firmas electrónicas cualificadas y c) a través de la presencia física de la persona.
En Colombia, la norma referente es el Decreto 620 de 2020 y el documento de condiciones técnicas emitido por MinTIC, donde se estableció que existen cuatro niveles de autenticación: bajo, medio, alto y muy alto, siguiendo los estándares del National Institute of Standards and Technologies (NIST). En el nivel bajo se encuentran las firmas electrónicas simples, cómo claves y contraseñas, en el nivel medio encontramos firmas electrónicas como formularios de preguntas y respuestas, biometría, entre otras. En el nivel alto se encuentra la firma digital, y en el nivel muy alto el servicio de biometría facial consultando las bases de datos biográficas y biométricas de la Registraduría Nacional del Estado Civil más documento de identidad digital.
La plena validación de identidad es de suma importancia, pues el uso de mecanismos adecuados provistos por los prestadores cualificados como pujeden serlo las Autoridades de Certificación como se conocen en europa (AC) y Entidades de Certificación Digital en Colombia (ECD) en Colombia, permite que se reduzca drásticamente la posibilidad de fraudes y suplantaciones y, por ende, crea una mayor confianza en el sistema, lo cual redunda en que más entidades públicas y privadas puedan aceptar las identificaciones electrónicas.
Visto el reglamento eIDAS, cabe preguntarse si en Colombia es necesario efectuar una reforma similar, siguiendo los pasos de Europa. Como ya se mencionó, en Colombia estos tópicos se regulan a partir de la Ley 527 de 1999, la cual en sus más de veinte años de vigencia solo ha tenido una reforma (a través del Decreto 019 de 2012) y reglamentaciones y complementos a través de los Decretos 2364 de 2012 y 333 de 2014.
Al revisar la normativa en mención, se encuentra que es necesaria una reforma a la Ley 527 de 1999, al menos por dos motivos principales: a) para armonizarla con las nuevas tecnologías de la información y las comunicaciones y b) para regular servicios de confianza tales como sellos electrónicos, correos electrónicos certificados, digitalización con fines probatorios, conservación de archivos electrónicos, entre otros.
Si bien en su momento la Ley 527 de 1999 sirvió –y sigue sirviendo- para dotar de validez a las distintas actuaciones electrónicas, lo cierto es que actualmente se necesita de una norma más robusta, que permita regular una mayor cantidad de casos de uso y que también pueda abrir un mayor espacio a reconocimientos de identidad electrónica transfronterizos, aun cuando este último aspecto dependa de acuerdos internacionales para su plena efectividad.
De esta manera, la reforma a la Ley 527 de 1999 debe realizarse y, si bien puede tener como base el nuevo reglamento eIDAS, también debe adecuarse a la realidad y dinámica colombiana, para lo cual es imprescindible complementar el análisis con el modelo de Servicios Ciudadanos Digitales, en aras de crear una legislación sobre servicios de confianza que sea sistemática, ordenada y de sencilla interpretación, que tenga como base la seguridad en la prestación de servicios para evitar fraudes y suplantaciones.