Recientemente, el Parlamento Europeo y el Consejo de la Unión Europea anunciaron un acuerdo por consenso para implementar la nueva Identidad Digital Europea, más conocida por sus siglas eID.

En este programa de enCLAVE DIGITAL vamos a resolver, por tanto, las siguientes preguntas:

  • ¿Qué ventajas tendrá la creación de esta nueva Identidad Digital Europea?
  • ¿Por qué hay tantos críticos que la señalan como un potencial riesgo a futuro?
  • ¿Qué impacto tendrá en la privacidad de todos nosotros?
  • ¿Y qué hay sobre la seguridad de nuestros datos y comunicaciones?

¡Empecemos!

eID europea

La nueva Identidad Digital Europea (eID)

Básicamente, estamos ante una suerte de DNI, o NIF (es decir, un documento de identidad) que en este caso sería digital, y nos daría acceso a la práctica totalidad de servicios administrativos en la Unión Europea… y mucho más.

En él, tendríamos el propio documento de identidad, pero también el carnet de conducir, la tarjeta sanitaria, y además, y aquí viene lo importante, gestionaría una suerte de carteras digitales vinculadas a otros certificados como podrían ser las cuentas bancarias, titulaciones académicas… tanto de origen público (las Administraciones Públicas, me refiero) como de origen privado (entidades y empresas).

Por último, sería obligatorio para todos los proveedores de certificaciones y/o titulaciones de gran tamaño (se entiende que hablaríamos de multinacionales, no el eCommerce de Paquita, la florista de la esquina) ofrecer compatibilidad con el eID en territorio europeo.

Lo que no sería obligatorio es que el ciudadano europeo utilice este eID en sus actividades. Puede hacerlo para algunos usos, y no para otros, o directamente no usarlo para nada y seguir con los sistemas de identificación con los que ya cuenta.

“Podremos decidir cuánta información nuestra queremos compartir, con quién y para qué”.

Margrethe Vestager, vicepresidenta ejecutiva para Una Europa Adaptada a la Era Digital

Entre sus bondades, por tanto, está esa ansiada búsqueda de una plataforma única y global de identificación para todo el territorio europeo. Un sistema que te permitiría desde alquilar un vehículo, hasta hacer la declaración de la renta, matricularte en una universidad o simplemente viajar como si de un pasaporte se tratase.

Además, aseguran que el sistema permitiría al usuario decidir qué datos comparte con cada entidad, cumpliendo por tanto el ya clásico axioma de la RGPD europea (tienes que poder rectificar, migrar y/o borrar cualquier información a la que un tercero puede acceder de tus datos, así como exigir en cualquier momento conocer para qué se está utilizando dicha información).

Un sistema que viene con la idea de facilitar los trámites sean de la índole que sean, simplificando por tanto la burocracia entre ciudadanos de diferentes países de la UE, y apuntando a ese ansiado escenario en el que ya no sea necesario varios sistemas independientes de identificación.

El eID espera ser, de facto, un sistema universal (por ahora, acotado obviamente a ciudadanos europeos).

Sin embargo, el diablo, como se suele decir, está en los detalles.

Porque entre su letra pequeña encontramos algunos puntos que a algunos nos hacen arquear las cejas.

El papel de las entidades certificadoras

Por supuesto, la propia normativa deja expresamente claro que la Identidad Digital Europea debe proteger la privacidad del usuario, y que por tanto, cada entidad acogida deberá solo acceder y usar la menor cantidad de datos posibles sobre el ciudadano (justo los que necesite para realizar las labores demandadas por la persona) y no podrá utilizar dicha información para perfilar hábitos o comportamientos del usuario (ya sabes, cruce de datos y segmentación algorítmica).

Sin embargo, se juntan aquí dos «matices» que vuelven al eID un auténtico polvorín a punto de reventar:

  • Por un lado, estaríamos hablando de un sistema de identificación global. Uno en el que, por tanto, estaría asociados tanto variables puramente identificativas (que si el documento de identidad, que si el email, que si el número de teléfono) con otros datos, de base, considerados sensibles, como pueden ser los datos médicos o los crediticios de la persona.
  • Por otro lado, de cara a ofrecer esa universialidad de usos, la UE designará una serie de entidades certificadoras, tanto públicas como privadas, que deben velar por el buen uso de esta información.

Así, de pronto, junto a sujetos esperables como podría ser el gobierno de turno, la Hacienda de cada país, o el Ministerio de Salud, entrarían también como entidades certificadoras empresas como Meta, Google o Amazon. Empresas que ya han demostrado por activa y por pasiva, y como, de hecho, explicamos en uno de los últimos podcast subidos al canal, ser totalmente irresponsables con el uso indiscriminado de datos de sus usuarios.

Esto ha llevado a que recientemente, 504 científicos e investigadores de 39 países distintos hayan firmado una carta abierta (EN/PDF) que denuncia el potencial riesgo que tendría un sistema como el eID tal cual a día de hoy está planteado, y de cara tanto a la privacidad, como a la seguridad.

«Dado el amplio uso previsto de este sistema […] creemos que no exigir tanto la no vinculación como la inobservabilidad comprometerá gravemente la privacidad de los ciudadanos de la UE».

Carta abierta de más de 500 expertos en protección de datos

En juego la seguridad de las comunicaciones privadas

De todo lo presentado, tanto estos investigadores como la Electronic Frontier Foundation (el organismo que está detrás del Internet tal y como lo conocemos en Occidente), hay un punto en particular que resulta terriblemente peligroso, y que como advertía la EFF en su comunicado, podría hacer retroceder la seguridad y la privacidad de la WWW a niveles por debajo de lo que teníamos hace una década.

Me refiero al Artículo 45 de la normativa (EN).

Pero antes de continuar, permíteme que te comparta esta gráfica:

suscriptores podcast

¿Sabías que el 86,2% de los que escucháis o veis este videopodcast, no estáis suscritos al canal?

Tan solo el 13,9% restante son seguidores de enCLAVE DIGITAL.

Estos son los datos que me da Youtube, pero es que en el resto de plataformas de podcasting el porcentaje varía entre el 75% y el 90%.

Así que, si este tipo de vídeos te resultan interesantes, vete ahora mismo al perfil del podcast en la aplicación desde donde me estes escuchando y dale a seguir para no perder los nuevos programas de cada semana.

Venga, hazlo ahora mismo, que te espero.

….

¿Ya lo has hecho?

Pues venga, ¡continuemos!

En él, se flexibilizan los requisitos de seguridad que deben cumplir las CAs (las entidades certificadoras) a la hora de ofrecer una conexión segura. El candadito, para que nos entendamos, que acompaña a cualquier conexión que haces desde tu navegador mediante HTTPs.

Si no sabes a qué me refiero exactamente con eso del HTTPs, te dejo por aquí otro programa de enCLAVE DIGITAL en el que hablaba precisamente de ello.

En particular, lo que dice el Artículo 45 es que los navegadores web tendrían prohibido imponer requisitos de seguridad modernos a ciertas CAs sin la aprobación del gobierno del país de la UE desde donde el usuario está intentando conectarse.

¿En qué se traduce esto?

Pues en lo que parece.

Gracias al Artículo 45, los gobiernos de la UE podrían arbitrariamente exigir que la navegación a X páginas o servicios online, o de X usuarios, se realicen mediante unas conexiones HTTPs que realmente no estarían cifradas de punto a punto, sino con un cifrado cuya clave podría estar en manos de la CA asociada, y por tanto, también en manos del Gobierno.

Es decir, que pasaríamos a un escenario donde las conexiones HTTPs no asegurarían, de facto, que la conexión es privada, a sabiendas de que podría haber agentes certificadores (organismos privados como las empresas antes mencionadas, o públicos, y por tanto supeditados al gobierno de X país) capaces de intervenir libremente en las comunicaciones que hicieran los usuarios con los servidores web a los que se conecten.

Y ojo, que esto afecta tanto a usuarios de la UE, como de fuera de ello. Basta con que la conexión tenga que pasar por alguno de los cables de la UE para que ese cifrado de punto a punto pueda ser roto a petición de una de las partes.

El problema de la privacidad (nuevamente)

Me parece importante señalar, una vez más, que este tipo de decisiones, encubiertas bajo el ya manido interés por la «Seguridad Nacional», o encuadrado bajo objetivos tan loables como «La lucha contra la pederastia o el terrorismo», acaban siempre, SIEMPRE, siendo contraproducentes para todos nosotros.

Que con la búsqueda de proteger los intereses de unos pocos… se acaba comprometiendo la seguridad y privacidad de todos.

Y sí, no me queda otra que parafrasearme (o como diablos se llame cuando lo haces en vídeo) con aquella historia que os conté hace unos pocos episodios…

En mis talleres y charlas pongo de ejemplo habitualmente lo que ocurrió en los años 30 del pasado siglo en Holanda.

El gobierno de aquel entonces decidió incluir intereses religiosos dentro de los datos que ya recopilaba en el censo nacional.

¿Su objetivo? Pues el más lícito y democrático posible: Hacer llegar de una manera más justa el reparto económico a las entidades religiosas basándose en el número de ciudadanos que se identificaban con una u otra religión.

Esto, como digo, per sé no es malo.

Sin embargo, dos años después, Holanda fue invadida por los nazis.

Y claro, como te podrás imaginar, cuando llegaron los nazis… ya tenían el trabajo hecho.

Quédate con un solo dato: El 90% de los judíos holandeses murieron en el Holocausto.

El 90%.

La cifra más alta de todos los países invadidos por el Tercer Reich.

Y sin ponerme tan melodramático, hace apenas un par de años vivimos una situación parecida con otra base de datos que acabó en malas manos. En ese caso, la base de datos de informantes que tenía el gobierno de EEUU, y que se olvidaron en los dispositivos de identificación dejados en Afganistán cuando el ejército abandonó el país.

De pronto, el actual gobierno talibán tenía acceso a un dispositivo capaz de identificar a cualquier informante que hubiera ayudado al ejército del tío Sam.

Sobra decir que dos años más tarde no hay ni uno de esos informantes vivo.

Pese a que sí, dijeron que no iban a tomar represalias contra ningún «enemigo del régimen»…

Pero ahora, turno para ti:

  • ¿Crees que las ventajas del eID son suficientes para aceptar los riesgos que plantea un sistema así?
  • ¿Estarías dispuesto a hacer uso de una herramienta como esta a sabiendas de lo que supone?

Te leo en comentarios.

Sobre el videopodcast enCLAVE DIGITAL

enCLAVE DIGITAL es el videopodcast de Pablo F. Iglesias, consultor de presencia digital y reputación online.

Si este contenido te sirve para estar bien informado sobre la actualidad en materia de negocios digitales, reputación y tecnología, te agradecería que le dieras a suscribirte en mi canal de Youtube o en la plataforma de podcasting desde donde me escuchas, le des a Me Gusta, me dejes un comentario o reseña y lo compartas con aquellos a los que les pueda interesar.

¡Seguimos!

Si utilizas otra plataforma de podcasting, busca «enCLAVE DIGITAL« en la app para localizarlo, o visita la página del videopodcast, donde ofrezco enlaces directos a las principales plataformas actuales: