Cartera IDUE

La cartera IDUE (Identidad Digital de la Unión Europea), también conocida como EUDI Wallet (European Digital Identity Wallet) en inglés, es un componente clave del nuevo ecosistema de identidad digital que se está desarrollando en la Unión Europea, a partir del Reglamento (UE) 2024/1183.

La cartera IDUE será un producto (una App móvil) y un servicio digital (un ecosistema con múltiples participantes que permitirán gestionar la información de los titulares de la App) que permitirá a los ciudadanos y empresas de la UE almacenar, gestionar y compartir de forma segura sus datos de identidad y otros atributos vinculados a su identidad en forma de «declaraciones de atributos» (también denominadas «testimonios de atributos»). Su objetivo principal es dar soporte a la identificación y autenticación de los usuarios para contratar productos y servicios. Y en el día a día, será un mecanismo de gestión de identidad que permitirá acceder a los servicios digitales contratados y a los que ofrezcan las administraciones públicas, dejando a un lado mecanismos como los tradicionales de «usuario» y «password».

En el lanzamiento de la Cartera de Identidad Digital europea se persiguen varios objetivos:

    • Disponibilidad universal: de forma que esté a disposición de todos los ciudadanos, residentes y empresas de la UE que deseen utilizarla.

    • Control por el usuario: Los titulares de la Cartera tendrán pleno control sobre sus datos, y podrán solicitarlos con dicha cartera a los organismos y entidades en los que radique originalmente la información y optar por compartir ciertos datos cuando se los solicite una entidad u organismo con los que entablen comunicación.  Al quedar registradas las cesiones de información podrán solicitarse desde la cartera la eliminación futura de los datos cedidos a algunas partes usuarias ejerciwndo los derechos ARCO o SOPLAR.

    • Funcionalidad sencilla de servicios de confianza: Empezando por los datos de identidad, que se podrán usar en contrataciones, la posibilidad de realizar firmas electrónicas cualificadas y una funcionalidad de «llave» para acceder a servicios que requieran autenticación, como el acceso a la banca electrónica.

    • Interoperabilidad transfronteriza: Podrá utilizarse en cualquier país de la Unión Europea, distinto del que lo expidió, con diferentes casos de uso, por ejemplo, solicitar en una farmacia medicamentos prescritos en el sistema de salud de otro país.

    • Seguridad y privacidad: Ofrecerá un alto nivel de seguridad y de protección de datos personales, permitiendo funciones especiales como la divulgación selectiva de información.

Las carteras, en forma de aplicación móvil, estarán disponibles en torno a 2026  en todos los países de la Unión Europea y podrán ser expedidas por los propios Estados miembros, por entidades que reciban un mandato del estado o por entidades que actúen por su cuenta pero cuenten con reconocimiento estatal.

Para que todo funcione, las carteras requieren de un complejo ecosistema  que incluya:

    • Partes informantes (a partir de fuentes auténticas): entidades que emiten testimonios electrónicos de atributos (también llamadas declaraciones electrónicas de atributos)

    • Partes informadas: entidades que solicitan y verifican la información de las carteras (también llamadas «partes usuarias»)

    • Sistemas de confianza como listas y certificados que indican que las fuentes de información son fiables o que las partes usuarias están autorizadas para solicitar información a las carteras IDUE.

La descripción general de la cartera y el ecosistema es el siguiente:

    1. Gestión de datos personales (DIP, Datos de Identificación Personal): Permite al usuario almacenar y controlar sus datos personales de manera segura.

    1. Gestión de declaraciones o testimonios digitales de atributos, a partir de fuentes auténticas, que, dependiendo del tipo de Prestador (parte informante) serán:
        • Testimonios cualificados

        • Testimonios no cualificados

        • Testimonios procedentes de administraciones públicas

    1. Gestión de certificados de firma electrónica: Permite almacenar y utilizar certificados digitales para realizar firmas electrónicas cualificadas.

    1. Sistema de control de acceso: Permite al titular de la cartera controlar qué información comparte con terceros y hacer un seguimiento de estas cesiones, pudiendo retirar el consentimiento en el futuro.

    1. Partes usuarias (partes informadas): Las entidades que solicitan información a las carteras.

    1. Listas de confianza: Para que solo puedan dar o solicitar información las entidades autorizadas.

En el ecosistema están también:

    1. El Organismo Supervisor del estado.

    1. El Organismo Nacional de Acreditación (que audita a los Organismos de Evaluación de Conformidad del país).

    1. Organismos de Evaluación de Conformidad (OEC) de cualquier país. En algunos países no hay OEC y en otros hay varios. Un OEC de un país puede auditar Prestadores Cualificados de cualquier país, con periodicidad bienal.

    1. Prestadores de esquema: Definen los formatos y estructuras de datos de las diferentes clases de declaraciones para favorecer la estandarización y la interoperabilidad.

    1. Proveedores de Cartera:  Expedidas por los propios Estados miembros, por entidades que reciban un mandato del estado o por entidades que actúen por su cuenta pero cuenten con reconocimiento estatal

    1. Fabricante del Sistema Operativo y de la arquitectura del teléfono móvil: Data de la funcionalidad básica de la que hace uso la App de Cartera.

Dentro de la Cartera, se realizan las funciones criptográficas necesarias para la firma electrónica, bien recurriendo servicios existentes en el hardware del teléfono móvil, o accediendo a tarjetas chip externas (manejadas, por ejemplo con la conectividad NFC del teléfono móvil) o con funcionalidades como HSM (Hardware Security Module) remoto, ya desarrolladas en el contexto del Reglamento (UE) 2014/910 (denominado EIDAS1) para la firma cualificada de personas físicas y el sello cualificado de personas jurídicas.

Para el funcionamiento del ecosistema se tiene que desplegar un sistema que permita distinguir qué proveedores de información son fiables y también qué entidades está autorizadas para solicitar información a las carteras. E muchos casos serán entidades que facilitan la contratación de sus servicios haciendo uso de las funcionalidad de aportar información de las carteras (por ejemplo los requisitos de KYC «Know Your Customer» de las entidades financieras) o bien la funcionalidad de autenticación (para hacer uso, por ejemplo, de los servicios de «banca electrónica»)

Para gestionar las listas de confianza se utilizarán también servicios de expedición de certificados, de modo que las peticiones y respuestas de información irán firmadas electrónicamente.

En resumen, la Cartera IDUE representa un avance significativo en la gestión de la identidad digital en la Unión Europea, ofreciendo a los ciudadanos una herramienta segura y versátil para interactuar en el mundo digital, tanto con entidades públicas como privadas, de una manera que protege su privacidad y les otorga control sobre sus datos personales, pero su implementación supone un reto de gran envergadura.