eIDAS2, la cartera europea de identidad digital y el RGPD (II)

El reglamento eIDAS2 trae consigo importantes retos en materia de protección de datos, especialmente en lo que se refiere a la implementación de las carteras de identidad digital. Tales desafíos se hacen más patentes al intentar conciliar aspectos tales como la funcionalidad y la seguridad, con la privacidad.

En esta publicación se analiza cómo podrían materializarse diferentes amenazas de vinculación contra las carteras de identidad digital, lo que implicaría incumplir el requisito de no vinculación (unlinkability) que recoge eIDAS2. Esto se debe principalmente al uso de identificadores únicos (firmas) y a los mecanismos de revocación de credenciales obligatorios.

El reglamento eIDAS2 tiene como objetivo garantizar la protección de datos y la privacidad cuando se usen las carteras de identidad digital de la UE. Aun así, el nuevo escenario plantea una serie de cuestiones, tales como:

1. Si uso mi cartera cuando compro productos o accedo a servicios privados o públicos, ¿el emisor de la credencial (gubernamental o privado) puede obtener información sobre mis actividades? ¿Incluso en tiempo real?
2. Si uso mi cartera para revelar de forma anónima que soy estudiante, con edad suficiente para acceder a servicios para adultos, miembro de una asociación o cualquier otra condición, ¿es posible rastrear mi actividad porque todos mis accesos se pueden vincular? Y, por lo tanto, ¿es posible vigilarme o perfilarme? ¿Quién podría hacerlo?

eIDAS obliga a garantizar la propiedad de no vinculación, de manera que sea imposible asociar diferentes datos o acciones a un sujeto de datos específico. Esta propiedad es crucial porque impide el seguimiento y la correlación de las actividades del interesado, evitando la elaboración de perfiles y la vigilancia, incluso cuando se producen brechas de datos o diferentes partes involucradas en el tratamiento de datos personales colaboran entre ellas.

Fuente: AEPD