eIDAS2, la cartera europea de identidad digital y el RGPD (V)
El Reglamento eIDAS2 incorpora importantes retos en materia de protección de datos, especialmente en lo que se refiere a la implementación de las carteras de identidad digital. Estos desafíos se hacen más patentes al intentar conciliar aspectos como la funcionalidad, la privacidad y la seguridad. En esta publicación se analiza cómo podrían materializarse diferentes amenazas de exclusión en las carteras europeas de identidad digital.
Foto de Markus Spiske en Unsplash.
Si tenemos en cuenta los análisis previos realizados en este blog sobre las amenazas a las carteras europeas de identidad digital, esta publicación aborda una nueva pregunta: ¿Puede el ecosistema de carteras, de manera intencionada o involuntariamente, no servir adecuadamente a un interesado de manera que se obstaculice su participación en la vida física o digital?
Para responder a esta pregunta, es necesario analizar las amenazas de exclusión dentro del ecosistema de la cartera europea. A pesar de su enfoque centrado en el ciudadano, el reglamento eIDAS2 y su ARF contienen lagunas que permiten la materialización de esta amenaza. La configuración de la cartera como un servicio público puede tener repercusiones en el derecho nacional aplicable. Sin embargo, proporcionar la cartera es solo el primer paso; para que funcione correctamente, debe definirse un conjunto de derechos, obligaciones y garantías para los participantes clave del ecosistema. Este estatuto sigue sin estar suficientemente desarrollado, especialmente en lo que respecta a la protección de quienes no puedan o no quieran utilizar la cartera.
Los Estados miembros (EM), en su calidad de autoridades emisoras de carteras y/o credenciales, pueden excluir, de manera involuntaria o deliberada, a determinadas poblaciones a través de sus opciones de implementación.
Uno de los mecanismos críticos implica la autenticación biométrica para realizar operaciones con la cartera europea o para llevar a cabo el onboarding o registro remoto en el ecosistema.
Cuando un EM exige el reconocimiento facial o la autenticación por huella dactilar sin ofrecer métodos alternativos de autenticación, ciertos grupos demográficos pueden enfrentarse a una exclusión sistemática: los algoritmos de reconocimiento facial pueden funcionar mal en el caso de las mujeres, las personas con tonos de piel más oscuros o asimetría facial; las personas mayores cuyos rasgos faciales han cambiado con el tiempo pueden tener dificultades con los sistemas de detección de vida; las personas con discapacidades físicas pueden encontrar dificultades para posicionarse correctamente para la autenticación basada en una cámara, etc.
Aquellas personas que no puedan completar la verificación de identidad mediante tratamientos biométricos pueden quedar efectivamente excluidas de todo el ecosistema, sin poder acceder a ningún servicio que requiera el uso de la cartera europea.
Las barreras documentales representan otro mecanismo de exclusión. Aunque el reglamento establece que la cartera debe ser gratuita, algunos Estados miembros pueden exigir documentos físicos de identidad específicos, como el DNI nacional o el pasaporte, para el registro. Este requisito excluye a los migrantes indocumentados, a las personas sin hogar o a quienes han perdido sus documentos. El principio de voluntariedad del reglamento carece de sentido cuando las barreras prácticas para el registro son insalvables para ciertas poblaciones. Quienes no dispongan de identificación tradicional no pueden acceder a la cartera europea y, por tanto, puede que no les sea posible participar en actividades de la vida digital que requieran verificación de identidad, como el acceso a servicios públicos, la apertura de cuentas bancarias o la solicitud de empleo en línea.
Los proveedores de carteras, en su calidad de implementadores técnicos dentro del ecosistema, pueden introducir exclusión a través de los requisitos de los dispositivos y las decisiones de diseño relacionadas con la experiencia de usuario. La cartera europea requiere mecanismos de almacenamiento seguro, como un elemento seguro o un almacén de claves respaldado por hardware, para proteger los datos biométricos y las credenciales de autenticación. Este requisito técnico crea una barrera fundamental: los proveedores pueden admitir solo versiones recientes de sistemas operativos con capacidades de hardware específicas, sin optimizar para dispositivos antiguos o teléfonos inteligentes de bajo coste. La obsolescencia programada, cada vez más extendida en el ecosistema móvil, puede imponer una carga económica desproporcionada a las personas y las familias.
La consecuencia es la exclusión sistemática de usuarios de bajos ingresos con dispositivos antiguos, de poblaciones rurales en regiones de la UE en desarrollo con acceso limitado a la tecnología más reciente y de personas que no pueden permitirse actualizar sus teléfonos inteligentes.
La brecha entre los requisitos de seguridad y la accesibilidad puede generar una brecha digital en la que el estatus económico determine el acceso a servicios fundamentales de identidad digital. El diseño complejo de la experiencia de usuario agrava esta exclusión. Los proveedores de carteras que diseñan flujos de registro sin opciones de idioma claras, sin asistencia para el onboarding mediante soporte telefónico o ayuda presencial y sin interfaces sencillas para usuarios con baja alfabetización digital, crean barreras para personas mayores, migrantes, personas con discapacidades cognitivas o quienes no están familiarizados con la tecnología de teléfonos inteligentes. El proceso de registro puede requerir múltiples pasos, verificación biométrica y carga de documentos sin ofrecer vías alternativas. Los usuarios que no pueden navegar por estos flujos complejos quedan excluidos antes incluso de intentar usar la cartera, lo que impide su participación en la vida digital, desde el principio.
Las partes usuarias (RPs), como bancos, plataformas de comercio electrónico y proveedores de servicios públicos, pueden generar exclusión mediante decisiones de diseño que discriminan implícitamente a los usuarios que no tienen cartera o que no desean compartir datos adicionales. El reglamento establece que los proveedores de servicios no pueden denegar el acceso únicamente porque un usuario no presente una cartera europea. Sin embargo, esta prohibición de denegación explícita no impide la discriminación implícita a través del diseño de la experiencia de usuario o la segmentación de servicios.
El diseño engañoso de los flujos de consentimiento representa un mecanismo de exclusión significativo. Por ejemplo, un proceso de apertura de cuenta podría compartir automáticamente la dirección y los datos laborales de la cartera a menos que el usuario desmarque manualmente estas opciones, que podrían estar ocultas en una tercera pantalla o presentadas en un lenguaje confuso. Los usuarios que no deseen compartir datos adicionales pueden enfrentarse a procesos de verificación más largos, requisitos de documentación adicionales o la denegación directa de opciones de servicio rápido. Esto crea un sistema en el que las personas conscientes de la importancia de su privacidad quedan efectivamente excluidas de los servicios simplificados, obligándolas a recurrir a alternativas más lentas y engorrosas que dificultan su participación en la vida económica, por ejemplo.
La preferencia implícita por la cartera surge cuando las partes usuarias la convierten en la única opción para servicios premium, mientras ofrecen experiencias significativamente degradadas a los usuarios sin cartera. Una RP podría diseñar su experiencia de usuario de modo que la verificación de identidad mediante cartera tarde tres minutos, mientras que la verificación sin cartera tarde tres días. Aunque la RP no rechace explícitamente el servicio a los usuarios sin cartera, el efecto práctico es que estos usuarios experimentan una degradación sistemática del servicio. Quedan excluidos de oportunidades sensibles al tiempo, como transacciones financieras urgentes, compras de artículos raros, solicitudes rápidas de empleo o acceso a servicios públicos de emergencia. Esto crea un sistema de dos niveles en el que el acceso a la cartera determina la calidad del servicio, socavando los principios establecidos por el reglamento.
Las instituciones financieras enfrentan desafíos específicos en el marco del eIDAS2. A partir de diciembre de 2027, los bancos deberán aceptar las carteras europeas para la autenticación fuerte en los procedimientos de incorporación de clientes y en sus marcos de cumplimiento. Sin embargo, si los bancos exigen autenticación biométrica dentro de la cartera sin ofrecer métodos alternativos de KYC (Know Your Customer), excluyen a las personas que no pueden utilizarla debido a limitaciones de sus dispositivos o a sesgos biométricos. El requisito del reglamento de autenticación fuerte se convierte en una barrera cuando el único método de autenticación fuerte implementado es inaccesible para ciertas poblaciones.
La exclusión también puede surgir por fallos en la colaboración entre los actores del ecosistema eIDAS2, especialmente en lo que respecta a la infraestructura de apoyo para usuarios con baja competencia digital. El reglamento obliga a que el acceso a la cartera sea gratuito, pero no especifica la infraestructura de apoyo para usuarios que tengan dificultades con el registro o el uso. Cuando no existen centros de ayuda públicos para asistir en el registro, no hay opciones de incorporación por teléfono y solo se ofrece una aplicación para teléfonos inteligentes sin alternativa web, las personas con baja alfabetización digital no pueden participar en la vida digital. Sin una infraestructura de incorporación asistida, la cartera se vuelve inaccesible para las poblaciones a las que los servicios públicos deberían apoyar de manera más activa.
Los fallos en la privacidad de los registros de transacciones representan otro error relacionado con la falta de colaboración. Si los registros de transacciones contienen datos vinculables o identificables, los usuarios preocupados por su privacidad pueden evitar utilizar la cartera para transacciones sensibles, como acceder a contenido para adultos, visitar a proveedores de atención médica o realizar donaciones políticas. Los usuarios conscientes de su privacidad pueden autoexcluirse de los servicios para evitar una posible vinculación o identificación, lo que dificulta su participación en la sociedad digital. Esta autoexclusión representa una forma de exclusión producida por la incapacidad del ecosistema para garantizar la privacidad, a pesar de que el reglamento teóricamente exija la no vinculación.
Las amenazas de exclusión descritas anteriormente generan múltiples categorías de impacto en los interesados. La exclusión en la vida física se produce cuando las personas no pueden acceder a servicios sanitarios que requieren verificación de identidad, impidiéndoles recibir atención médica. La exclusión en la vida digital se manifiesta cuando las personas no pueden abrir cuentas bancarias, solicitar empleo en línea o acceder a servicios de administración electrónica, excluyéndolas de la infraestructura digital esencial.
Además, la exclusión económica surge a través de productos financieros más costosos para los usuarios sin cartera, la denegación de transacciones instantáneas y tiempos de verificación más largos que impidan la participación en oportunidades económicas sensibles al tiempo. La exclusión social afecta de manera desproporcionada a grupos como migrantes, personas con discapacidad y poblaciones mayores que no pueden participar en la sociedad digital, generando divisiones generacionales y socioeconómicas. La autoexclusión por privacidad ocurre cuando los usuarios evitan servicios por temor a la vinculación o identificación, retirándose voluntariamente de la participación digital para proteger su privacidad.
Estos impactos no son aislados, sino interconectados. La exclusión económica refuerza la exclusión social, ya que quienes no pueden acceder a servicios financieros enfrentan mayores barreras para el empleo y la vivienda. La exclusión en la vida digital impide la participación en oportunidades de la vida física, ya que muchos empleos, servicios y transacciones ahora requieren acceso digital. En resumen, el efecto acumulativo es un obstáculo sistemático para la participación en la vida física y digital de las poblaciones vulnerables.
La confianza sustenta todo el ecosistema de la cartera europea. Sin embargo, diferentes factores amenazan esa confianza: los usuarios finales pueden sentirse obligados a utilizar dispositivos móviles vulnerables y aplicaciones que recogen datos personales en exceso; existen dudas sobre la privacidad y la seguridad del acceso en línea; las solicitudes de información pueden parecer intrusivas; y la transparencia, la participación ciudadana y la atención a la diversidad y la inclusión suelen seguir siendo insuficientes durante el diseño e implementación de las carteras. Además, la percepción de que los ciudadanos están siendo coaccionados para adoptarlas, lo que podría facilitar la vigilancia gubernamental, pone en peligro aún más la confianza fundamental en el ecosistema.
Para mitigar estas amenazas de exclusión se requieren enmiendas regulatorias y técnicas que exijan métodos de autenticación alternativos, requisitos técnicos que garanticen el soporte para dispositivos antiguos, disposiciones explícitas contra la discriminación de los usuarios sin cartera y de quienes elijan no participar en el ecosistema, e infraestructuras de apoyo obligatorias para poblaciones con baja competencia digital.
Sin estas medidas, la cartera europea corre el riesgo de convertirse en una fuente de brecha digital en lugar de en una fuente de armonización. En futuras publicaciones se analizarán e ilustrarán otras amenazas.
Esta entrada está relacionada con otros materiales publicados por la División de Innovación y Tecnología de la AEPD, tales como:
- eIDAS2, la cartera europea de identidad digital y el RGPD (IV) [diciembre 2025]
- eIDAS2, la cartera europea de identidad digital y el RGPD (III) [octubre 2025]
- eIDAS2, la cartera europea de identidad digital y el RGPD (II) [junio 2025]
- eIDAS2, la cartera europea de identidad digital y el RGPD (I) [enero 2025]