Todos hablamos de la identidad de manera intuitiva pero pocos somos capaces de definirla de manera concisa y útil. Hay tantas definiciones como disciplinas que la analizan y cada una de ellas solo vale para representar una pequeña parte del fenómeno. La identidad es nuclear en quienes somos y en el tipo de sociedad que pretendemos ser, pero no tenemos un derecho reconocido a la propia identidad en nuestra constitución ni una construcción legal a la altura de la importancia de la institución. Simplemente, la damos por sentada.
La identidad es, en definitiva, un concepto complejo que ha evolucionado en el tiempo asociado a cuestiones políticas (el derecho a voto), económicas (la identificación de los ciudadanos como motor de desarrollo de clases medias), sociales, psicológicas y biológicas, y que tiene mucho que ver con la dignidad humana y el derecho al libre desarrollo de la personalidad. Somos quienes nos construimos y cada vez, con más frecuencia, queremos gestionar lo que somos sin la supervisión de los estados. Internet y los universos que proporciona permiten esta creación y, lo que es más importante, provee de las herramientas que lo hacen posible sin contar con los poderes públicos ni con grandes organizaciones para su gestión, operación y regulación.
El monopolio público de la identidad se ve cuestionado así, y las emergentes SSI (identidades descentralizadas o identidades soberanas) entran en un debate regulatorio y filosófico que es necesario aterrizar: las identidades por atributos o las identidades modulares permiten identificar a los ciudadanos y clientes para una finalidad dada protegiendo sus datos personales. De este modo, la identidad digital se convierte en la otra cara del problema de la privacidad.
Precisamente de aterrizar un problema complejo, de la traslación de la identidad del mundo analógico al digital y de sus consecuencias y necesidades trata Identidad Digital (Editorial Bosch- 2021), el libro que acabo de publicar con Editorial Bosch- Wolters Kluwer.
Así pues, para llegar a las cuestiones puramente legales y técnicas hay que, en primer término, desbrozar el camino y, en segundo, definir de qué se habla. En este sentido ya adelantamos que, aunque el título se refiere a la identidad digital, en realidad hablaremos de la identidad como fuente de obligaciones, de los sistemas legales de identificación, del ciclo de vida de la identidad y, dentro de él, del proceso de verificación de la identidad, esto es, de cómo de un adecuado proceso de cotejo de los medios de identificación con la persona que los presenta, somos capaces de establecer una identidad que actúa en el tráfico legal, derivándose efectos jurídicos de todo ello. Es obvio que una identidad débil producto de un proceso de verificación inseguro o viciado afecta de manera efectiva la seguridad jurídica y pone el riesgo las operaciones en las que interviene.
En primer término, nos acercaremos a la identidad desde diferentes perspectivas de análisis para concentrarnos en la identidad legal como concepto evolutivo y eje de atribución de capacidades, obligaciones y derechos. A continuación repasaremos los sistemas de identidad fundacionales y funcionales, y las características de los mismos que nos permiten emularlos en los entornos digitales.
Desde ahí veremos los modelos de identidad digitales legales de la UE, su ciclo de vida y su proceso más crítico: el de verificación de la identidad de manera remota. Esto es especialmente relevante, porque para la atribución de obligaciones y derechos de lo realizado en entornos electrónicos necesita referirse de manera inequívoca a una persona concreta.
No es ninguna novedad que uno de los problemas recurrentes, graves y aún pendientes de solución en la transformación digital y la digitalización completa de procesos pasa por la atribución a personas reales de lo que sus «avatares» hacen en internet. Sin que haya una identificación inicial que ponga en relación de manera unívoca e inequívoca la identidad legal de la persona física y/o jurídica con la digital, esto es, con los medios de identificación y autenticación que les proporcionamos, de nada vale robustecer los controles de acceso, pues eso no nos permite atribuir las acciones que una identidad digital realiza (acciones disciplinarias contra trabajadores, auditoría/control interno/cumplimiento, acciones penales, reclamaciones civiles) a una persona en concreto.
En el mundo físico, la identidad inicial, esto es, el cotejo de la persona física o jurídica —a través de su representante— se efectúa de manera presencial, en las comisarías, las oficinas bancarias o, en el caso de la emisión de certificados digitales, mediante la personación ante una entidad de registro. Es este el método que establece el Reglamento eIDAS en su artículo 24.1.e) que solo podrá ser, en principio, sustituido por el uso de otro certificado o de un DNI electrónico. En definitiva, por credenciales de identidad generadas en un proceso en el que hay siempre una identificación humana realizada cara a cara al principio. Nuestra confianza en la capacidad del ser humano de reconocer a los otros de manera precisa y sin entrenamiento es infinita pero poco práctica en entornos en donde todo el negocio es digital pero pedimos a los clientes que se trasladen físicamente a una oficina a que alguien les reconozca. Y mucho menos en escenarios de pandemia y confinamientos extremos, en los que la excepción se ha convertido en la regla.
Ya contamos con modelos en España (Orden Ministerial de Telepersonación) y en los países de la UE que nos permiten llevar a efecto este proceso de identificación para la emisión de certificados cualificados de manera remota así como para dar cumplimiento a las obligaciones de de debida diligencia de clientes de los sujetos obligados bajo la normativa de prevención de blanqueo de capitales y financiación del terrorismo (KYC, Know Your Client, o Conoce a tu cliente) Ambos supuestos han dado lugar a una panoplia de normas y estándares nacionales que regulan los aspectos de los procesos de verificación de la identidad remota (soluciones de VideoID, SelfID, etc.), su seguridad, los procesos de autorización y sus efectos. Nos referiremos a ellas, con especial consideración al panorama nacional, a partir de la mitad de esta obra.
Por último, la propuesta de Reglamento de Identificación Electrónica que modifica . el Reglamento eIDAS, publicado poco antes de la finalización de esta obra, supone un cambio revolucionario en la identidad digital, adhiriéndose a los modelos de Self Sovereign Identity y DIDs, creando nuevos servicios de confianza que permitan la gestión de las nuevas “carteras” de identidad digital paneuropeas y modificando el paradigma de que la cerificación de la identidad de manera remota y por medios digitales ha de evaluarse contra el estándar de la verificación basada en la presencia física , modificando, por tanto, el artículo 24.1.d).