Nos encontramos ante un punto de inflexión silencioso pero decisivo y con un impacto directo en la vida cotidiana de millones de personas: la redefinición de la identidad digital
Europa quiere que la identidad digital deje de depender de intermediarios privados y funcione de forma interoperable en toda la UE. La futura EUDI Wallet promete simplificar trámites y dar más control sobre los datos mediante atributos verificables, abriendo la puerta a nuevos usos en servicios públicos y privados. El reto es que el despliegue sea útil y masivo: que genere confianza, tenga garantías efectivas y mantenga alternativas accesibles para quien no pueda o no quiera utilizarla.
Ese cambio toma forma en eIDAS 2.0, la actualización del reglamento europeo de identificación electrónica, que crea el marco de la Cartera de Identidad Digital Europea (EUDI Wallet) como pieza central de la nueva identidad digital en la UE.
Esta evolución ha sido necesaria para evitar algunas fricciones y poder ofrecer un mayor acceso a determinados servicios digitales y transfronterizos, tanto públicos como privados, a través de una única identidad digital sobre la que los ciudadanos tengan más control, fortaleciendo la protección de la privacidad y favoreciendo la igualdad de oportunidades y la inclusión. Además, de evitar la dependencia de intermediarios privados, se busca lograr que sea operativa desde cualquier Estado. “Al no ser obligatoria a escala de la UE, la identidad digital en Europa presenta poca interoperabilidad entre los Estados miembros, lo que complica trámites y relaciones económicas. eIDAS 2.0 crea un marco común para una identidad digital a escala de la UE, dentro y fuera de cada Estado miembro”, resume Pablo García Mexía, Ph.D, co-director del postgrado en Privacidad, Sociedad Digital e Inteligencia Artificial de la Universidad Autónoma de Madrid y director de derecho digital en Herbert Smith Freehills Kramer.
Un calendario ajustado y un despliegue desigual
El nuevo reglamento eIDAS 2.0 entró en vigor en 2024, pero el verdadero reto se sitúa en 2026, cuando los Estados miembros deberán ofrecer a sus ciudadanos una cartera digital interoperable capaz de acreditar identidad, y otros atributos como edad, títulos académicos, permisos o condiciones profesionales en cualquier país de la UE. Además, en paralelo, bancos, plataformas o grandes prestadores de servicios tendrán que prepararse para aceptar estas credenciales en determinados supuestos.
“Lo que se está produciendo ahora es el desarrollo de toda la arquitectura técnico-jurídica que tiene que dar soporte a esto”, explica Xavier Urios, jefe de la asesoría jurídica de la Autoridad catalana de protección de datos (APDCAT), que apunta que la Comisión Europea trabaja en la “adecuación de determinados aspectos para intentar, por un lado, reforzar la interoperabilidad y luego, evidentemente, está toda la cuestión relativa a la seguridad desde un punto de vista tecnológico”.
El calendario es ambicioso y no todos los países parten del mismo nivel de madurez digital, lo que introduce el riesgo de un despliegue desigual. En este contexto, el debate no gira tanto en torno a ralentizar el proceso como a asegurar que el avance sea efectivo y sostenible, evitando una implantación meramente formal que limite la adopción real por parte de ciudadanos y empresas.
En este contexto, en el Foro Intersectorial para la Regulación de la Identidad Digital, organizado por la Fundación Hermes, se alcanzó un amplio consenso en torno a la a la necesidad de avanzar por fases, condicionando la generalización del sistema al cumplimiento de hitos verificables en interoperabilidad, seguridad y experiencia de usuario. “El calendario no puede ser un objetivo rígido. La implantación debe avanzar por fases y estar condicionada al cumplimiento de hitos verificables. Si esas condiciones no se alcanzan, es razonable ajustar los plazos”, resume Margarita Castilla, catedrática de Derecho Civil y moderadora del foro.
Control de datos, la promesa del modelo europeo
Una de las novedades en las que se insiste con este nuevo modelo es que el ciudadano tendrá mucho más control sobre sus datos, y por ello podrá decidir cuáles comparte y con quién. Se apuesta por credenciales verificables y por el principio de minimización de datos, lo que en la práctica significa que, para demostrar, por ejemplo, que una persona es mayor de edad no será necesario revelar su fecha de nacimiento ni su identidad completa; bastará un atributo verificado.
“En sanidad, uno de sus usos clave, la cartera digital abrirá la posibilidad de portar y presentar credenciales sanitarias (por ejemplo, una receta médica) con total verificabilidad y a escala de toda la UE”, ejemplifica García Mexía. Esta mayor verificabilidad, también puede ayudar, por ejemplo, a la consulta de historiales médicos si se tiene un accidente o una urgencia sanitaria.
Identidad digital como infraestructura de mercado
Más allá de la protección de derechos, la identidad digital europea tiene una dimensión estratégica menos visible, pero clave: la creación de un mercado único de servicios de confianza digital. Un estándar común, interoperable y exigente reduce la fragmentación técnica y normativa que hoy dificulta el desarrollo y la escalabilidad de soluciones europeas, y establece un marco claro para la innovación en ámbitos como la verificación de identidad, las credenciales digitales, la firma electrónica, la ciberseguridad o la integración de servicios.
Lejos de frenar la innovación, este enfoque la ordena y la amplifica, permitiendo que el sector público y el privado construyan sobre reglas compartidas en lugar de soluciones aisladas por país. Si el despliegue se ejecuta correctamente, la EUDI Wallet puede convertirse en una infraestructura habilitadora: una base común sobre la que se desarrolle una industria europea de identidad digital capaz de competir a escala global, precisamente porque nace con altos niveles de exigencia en privacidad, seguridad e interoperabilidad.Además, el Reglamento eIDAS 2 exige que el usuario tenga acceso a un panel desde el que pueda consultar una lista actualizada de los proveedores de servicios con los que ha conectado y, si es el caso, los datos que ha intercambiado. También podrá solicitar de una manera sencilla a uno de estos proveedores que suprima los datos y notificar a la autoridad competente si recibe una solicitud de datos presuntamente ilícita o sospechosa.
No obstante, existen límites y retos pendientes. El diseño del consentimiento, al operar atributo por atributo, puede volverse excesivamente granular y derivar en un consentimiento formal pero no necesariamente informado. Además, dado que la experiencia de usuario dependerá en gran medida del diseño que adopte cada Estado miembro, podrían producirse asimetrías relevantes.
Seguridad y confianza
Es también obvio la necesidad de implementarlo con todos los estándares de seguridad ante la importante concentración de atributos sensibles en un solo instrumento. «La ARC, la Architecture Reference and Framework, es una arquitectura común que se quiere establecer a nivel europeo para garantizar que los estándares de seguridad sean todos los mismos”, puntualiza Urios. Esta arquitectura funciona como un modelo o plano común que ofrece directrices, mejores prácticas y estructuras para asegurar, no solo continuidad, agilidad e interoperabilidad sino también que no existan problemas en términos de seguridad.
Urios también hace alusión al artículo por el que se establece que el proveedor de la cartera no recopile información a menos que la persona lo permita expresamente, limitando así el hecho de que se perfile a los usuarios. “En principio, desde el punto de vista de protección de datos, es superior”, sentencia Urios. Así lo ve también García Mexía que añade un detalle más: “Se podrá ejecutar facultades que hasta ahora son más legales y formales que operativas por tu cuenta (ya que las ha de ejecutar un tercero), como almacenar, eliminar o decidir con quién compartir ciertos datos”.
Inclusión y alternativas no digitales
Otro punto importante de la EUDI Wallet es que debe ser gratuita y voluntaria para los ciudadanos. “Al ser algo voluntario tiene que asegurarse que el ciudadano que no quiera hacerlo tenga sus alternativas”, explica Urios. Para evitar que se produzca una falta de inclusión de algunos colectivos, Urios apunta una posible solución: “es un problema que se tiene que resolver con políticas públicas de fomento o de accesibilidad para personas que tengan una situación de fractura digital”.
La clave para los expertos es que el público sea capaz de percibir este modelo como un sistema confiable y sencillo. “El gran reto es quizá su aceptación por el ecosistema digital en su conjunto, no solo el sector público. También que los ciudadanos confíen en su utilidad y se lancen a emplearla”, sentencia García Mexía. Aquí, de nuevo, se evidencia la importancia de la confianza que los ciudadanos tengan en los Estados que ponen en marcha esta cartera digital y en el uso secundario de los datos, ya que, en contextos de baja confianza institucional, esta cartera puede ser percibida como un instrumento de control, no de empoderamiento.
Así pues, Europa se enfrenta a una ventana estratégica: demostrar que es posible construir una identidad digital pública, segura e interoperable que funcione a escala real. El éxito del modelo no dependerá solo de la tecnología, sino de la capacidad de convertirla en una infraestructura ampliamente adoptada y confiable. Si la ejecución es acertada, la identidad digital europea no solo reforzará los derechos de los ciudadanos, sino que situará a Europa como referente internacional en cómo avanzar rápido sin renunciar a garantías, competencia ni soberanía digital.