La identidad digital como derecho: entre la protección de datos y la representación digital de la persona
Lorenzo Cotino, presidente de la Agencia Española de Protección de Datos (AEPD)
Imagen de rawpixel.com en Freepik.
En una entrada anterior de este blog se subrayó que la identidad no debe contemplarse solo como un servicio o como una cuestión técnica de identificación, sino como una realidad estrechamente unida a la posición jurídica de la persona y al acceso efectivo a sus derechos. Ese punto de partida mantiene todo su valor. Pero la evolución tecnológica y la expansión de los entornos digitales invitan a ampliar la reflexión: junto a la identidad jurídica clásica, cada vez cobra más relieve la necesidad de proteger la identidad digital de la persona, entendida no ya como mero instrumento de autenticación, sino como su proyección en entornos digitales marcados por datos, perfiles, reputaciones, inferencias y otras formas de representación.
La identidad cuenta desde hace tiempo con reconocimiento jurídico en el plano internacional. El derecho internacional de los derechos humanos parte, en su formulación más básica, del reconocimiento de la personalidad jurídica (art. 6 de la Declaración Universal de Derechos Humanos y art. 16 del Pacto Internacional de Derechos Civiles y Políticos). A ello se suma, de forma particularmente clara, el art. 8 de la Convención sobre los Derechos del Niño, que protege el derecho del menor a preservar su identidad, incluyendo elementos como el nombre, la nacionalidad y las relaciones familiares, así como la vinculación entre privación de identidad, exclusión del acceso a derechos y discriminación (Corte Interamericana, caso Niñas Yean y Bosico vs. República Dominicana, sentencia de 8 de septiembre de 2005, Serie C n.º 130).
En España, el artículo 53 de la Ley 20/2011, del Registro Civil, reconoce el derecho al nombre y su inscripción registral como elemento básico de la identidad civil de la persona. A ello se añade que el artículo 8 de la Ley Orgánica 4/2015 reconoce el derecho de los españoles a obtener el Documento Nacional de Identidad como documento acreditativo de su identidad, mientras que el artículo 13 regula la acreditación de la identidad de los extranjeros en España. Ese sustrato jurídico clásico muestra que la identidad, en su caso como derecho, se ha articulado tradicionalmente a través de elementos formales, como el nombre, la nacionalidad o el registro civil.
Una segunda dimensión del derecho a la identidad se manifiesta hoy en el ámbito de la identificación digital, es decir, en la posibilidad de acreditar la identidad de una persona y su voluntad en el entorno electrónico mediante medios jurídicamente reconocidos. Así se recoge en la legislación sobre administración electrónica. Así, la Ley 39/2015, reconoce el derecho a obtener y utilizar medios de identificación y firma electrónica (art. 13), regula los sistemas de identificación electrónica de los interesados (art. 9) y establece los medios de firma electrónica admitidos en el procedimiento administrativo (art. 10). Estas previsiones permiten a los ciudadanos acreditar su identidad y manifestar su voluntad por medios digitales con plena validez jurídica. Aunque no se formula como derecho, el Reglamento (UE) n.º 910/2014, Reglamento eIDAS, establece un sistema jurídico completo para la identificación electrónica e impone a los Estados miembros obligaciones para reconocer determinados medios de identificación electrónica y permitir su utilización en los servicios públicos digitales.
La evolución reciente hacia carteras europeas de identidad digital (European Digital Identity Wallet), en el marco de la revisión de eIDAS introduce además nuevos retos desde la perspectiva de la protección de datos, especialmente en relación con la minimización de los atributos compartidos, la posible trazabilidad de su uso y los riesgos de correlación o reutilización de información que pueden incidir en la configuración de la identidad digital de la persona. Estas cuestiones han sido analizadas tanto por la AEPD como por el SEPD, que subraya en particular los riesgos de vinculación entre usos de credenciales, de sobreidentificación y la necesidad de un diseño efectivo conforme a los principios de protección de datos desde el diseño y por defecto.
Sin embargo, en la sociedad digital la identidad —y el propio derecho a la identidad— comprende también la forma en que la persona es representada y tratada en los ecosistemas de datos y algoritmos. No se limita, por tanto, a la identidad electrónica administrativa ni a los mecanismos de autenticación, sino que incluye los atributos, historiales, perfiles, inferencias, patrones de conducta o reputación digital que configuran la proyección de una persona en el entorno digital, e incluso las reproducciones o simulaciones de su apariencia, voz o rasgos distintivos. Esta comprensión de la identidad digital como una categoría compleja, dinámica y construida a partir de datos y representaciones ha sido destacada en la literatura reciente, que pone de relieve que se trata de una realidad dispersa, difícil de ahormar en un concepto, compuesta por múltiples facetas y capaz de desempeñar funciones distintas e incluso contrapuestas. (M. Robles-Carrillo, Digital identity: an approach to its nature, concept, and functionalities, International Journal of Law and Information Technology, 2024).
Representación digital de la persona
En este contexto empiezan a plantearse problemas muy concretos, como la generación de “gemelos digitales” que replican el comportamiento de una persona, el uso de sistemas de perfilado y puntuación que condicionan decisiones sobre ella, o la persistencia y utilización de identidades digitales tras el fallecimiento, que evidencian la necesidad de un control efectivo sobre la propia representación.
El problema jurídico deja así de centrarse únicamente en cómo se acredita la identidad de una persona y pasa a incluir cómo se construye, se difunde y se utiliza la representación digital que se proyecta sobre ella, así como el grado de control que el propio individuo mantiene sobre esa representación. En este contexto, la persona ya no aparece únicamente como titular de un documento o de un medio de autenticación, sino también como objeto de una representación digital generada a partir de datos y tratamientos automatizados. Esa representación puede configurarse mediante perfiles de conducta, inferencias, historiales de actividad, huellas biométricas, reputación en plataformas, puntuaciones automatizadas o incluso avatares persistentes que terminan funcionando como una versión operativa de la persona en los entornos digitales.
Desde esta perspectiva, una comprensión actual del derecho a la identidad digital podría abarcar varias dimensiones:
- La protección frente a la alteración, manipulación o suplantación de la identidad digital por terceros.
- El derecho a conocer y discutir los atributos, perfiles o inferencias que contribuyen a representar a la persona en entornos digitales.
- La preservación de separaciones contextuales, incluida la posibilidad de actuar bajo pseudónimo cuando ello resulte legítimo.
- La defensa frente a sistemas que impongan una versión única, cerrada o distorsionada de la persona.
- La exigencia de que la arquitectura tecnológica y organizativa de los sistemas no genere exclusión, dependencia o una pérdida sustancial de autonomía sobre la propia representación digital.
Esta comprensión más amplia encuentra ya una primera formulación en la Carta de Derechos Digitales (2021). En su apartado II, “Derecho a la identidad en el entorno digital”, la Carta establece que “el derecho a la propia identidad es exigible en el entorno digital” y reconoce el derecho a la gestión de la propia identidad, sus atributos y acreditaciones, añadiendo expresamente que “la identidad no podrá ser controlada, manipulada o suplantada por terceros contra la voluntad de la persona”.
La propia Carta reconoce además el derecho al pseudonimato y, en el apartado XXVI sobre el empleo de las neurotecnologías, introduce una dimensión especialmente intensa de esta protección al exigir que se garantice “el control de cada persona sobre su propia identidad”, junto con su autodeterminación y el dominio sobre los datos relativos a sus procesos cerebrales. La Carta no tiene valor normativo vinculante, pero sí ofrece una formulación de gran interés, porque desplaza el foco desde la simple identificación electrónica hacia una comprensión más amplia de la identidad digital como dimensión de la personalidad que merece tutela propia.
La protección de datos y la identidad digital
La normativa de protección de datos personales ofrece hoy un marco amplio para abordar muchos de los elementos que conforman la identidad digital. El concepto mismo de dato personal se define de manera amplia e incluye cualquier información referida a una persona identificada o identificable, lo que permite abarcar muchos de los elementos que conforman la identidad digital. Sobre esta base, los principios del tratamiento —en particular los de exactitud, minimización, limitación de la finalidad e integridad y confidencialidad—, junto con la protección de datos desde el diseño y por defecto, introducen límites destinados a evitar representaciones inexactas, excesivas o indebidamente agregadas de la persona. Muchas conductas especialmente graves —como la usurpación o suplantación de identidad— encajarán, en la mayoría de los casos, en tratamientos de datos personales carentes de base jurídica, lo que activa directamente las garantías y mecanismos de reacción propios del RGPD. A ello se suman los derechos de los interesados (CAPÍTULO III del RGPD). El derecho de acceso (artículo 15) y los deberes de transparencia permiten conocer qué datos, perfiles o inferencias se utilizan sobre una persona. Los derechos de rectificación, supresión, oposición y limitación del tratamiento (artículos 16, 17, 21 y 18 respectivamente) facilitan reaccionar frente a datos incorrectos o tratamientos no deseados. Finalmente, el RGPD establece garantías específicas frente a decisiones automatizadas y elaboración de perfiles, introduciendo mecanismos de impugnación cuando una persona queda sometida a decisiones basadas exclusivamente en tratamientos automatizados que produzcan efectos jurídicos o le afecten de manera significativa.
El derecho de protección de datos ha demostrado durante décadas una notable capacidad para absorber nuevas demandas jurídicas y sociales derivadas de la evolución tecnológica, integrando progresivamente problemas que inicialmente quedaban fuera de su formulación original. Ahora bien, este marco no agota por sí solo toda la problemática de la identidad digital. Su lógica se centra en el control de los tratamientos de datos personales, pero presenta límites cuando se trata de la identidad como realidad más amplia. En particular, no permite abordar plenamente la configuración global de la identidad a partir de múltiples datos e inferencias, ni garantiza el control sobre la imagen social o reputacional que circula sobre la persona. Tampoco evita que perfiles o inferencias acaben operando en la práctica como una identidad sustitutiva ni asegura la continuidad de la identidad personal en entornos digitales fragmentados. El problema de la identidad digital desborda así el tratamiento aislado de datos y plantea cuestiones adicionales de control sobre la representación global de la persona y de defensa frente a su posible sustitución por construcciones digitales generadas por terceros o frente a intentos de manipulación, por ejemplo, mediante neurotecnologías.
Modelos legislativos para impedir la creación y difusión de imitaciones
Junto a la protección de datos, están emergiendo otras vías de tutela, que incluso pueden desconcertar inicialmente. Cabe destacar la experiencia reciente de Dinamarca (Parlamento Europeo), donde en 2025 el Gobierno, con amplio respaldo parlamentario, presentó un proyecto de reforma de la legislación de derecho de autor para responder al fenómeno de los deepfakes y a las imitaciones digitales hiperrealistas generadas mediante inteligencia artificial. El proyecto introduce nuevas disposiciones en la Ley danesa de Derecho de Autor —en particular los nuevos §§ 65a y 73a— con el objetivo de reforzar la protección frente a reproducciones digitales no consentidas de la apariencia, la voz o los rasgos distintivos de una persona.
La lógica del sistema consiste en utilizar las herramientas del derecho de autor y de los derechos conexos para impedir la creación y difusión de imitaciones digitales que simulen a una persona real. De este modo, la persona afectada podría exigir la retirada del contenido, el cese de su utilización y, en su caso, la compensación por daños. El modelo prevé además una protección reforzada para artistas intérpretes y mantiene excepciones tradicionales, como la parodia o la sátira.
En España, el debate ha comenzado a abordarse también desde la regulación laboral del sector cultural. En el marco de la reforma del Estatuto del Artista, impulsada por el Ministerio de Trabajo y Economía Social, se han planteado medidas para regular el uso de sistemas de inteligencia artificial generativa en la producción cultural, incluyendo la exigencia de acuerdos expresos para determinados usos, posibles compensaciones económicas y límites a la sustitución del trabajo artístico humano. Se trata de una línea regulatoria todavía en desarrollo, pero significativa, porque refleja una preocupación similar: evitar que la capacidad de replicar digitalmente la voz, la apariencia o la interpretación de una persona permita su explotación sin control ni reconocimiento jurídico.
Este conjunto de iniciativas confirma que el problema jurídico ya no se limita al fraude o a la seguridad técnica de la identificación digital, sino que afecta también a la apropiación y explotación de la proyección digital de la persona. Desde una perspectiva práctica, la protección de datos, la propiedad intelectual, la regulación laboral y los derechos de la personalidad ofrecen vías de tutela relevantes para exigir la retirada de contenidos, el cese de usos no consentidos o la compensación por daños.
Ahora bien, cada uno de estos modelos presenta límites. La protección de datos no siempre alcanza la dimensión más amplia de la representación social o algorítmica de la persona. La propiedad intelectual resulta eficaz frente a reproducciones o imitaciones digitales, pero menos adecuada para abordar la construcción continua de la identidad mediante datos, reputación o comportamiento. Los derechos de la personalidad siguen siendo el cauce natural frente a lesiones del honor, la intimidad o la propia imagen, aunque no siempre responden de forma directa a las nuevas formas de representación digital.
Esta fragmentación pone de manifiesto que no existe todavía un encaje único y plenamente satisfactorio. Es previsible que durante años coexistan distintas vías de protección de forma complementaria, cada una cubriendo facetas específicas de la identidad digital. Al mismo tiempo, cabe anticipar un avance hacia un reconocimiento más preciso de las dimensiones que requieren tutela, en particular en lo relativo al control sobre la representación de la persona, la fidelidad de esa representación y la prevención de su sustitución por construcciones digitales generadas por terceros.
En este proceso, el derecho de protección de datos parece llamado —una vez más— a desempeñar un papel central. En las últimas décadas, sus principios, derechos y reglas han mostrado una notable capacidad de adaptación a las transformaciones tecnológicas y a las nuevas formas de tratamiento de la información en entornos digitales. Sin agotar por completo todas las facetas de la identidad digital, este marco ofrece una base especialmente apta para integrar muchas de estas nuevas exigencias, ya sea mediante interpretaciones evolutivas o a través de desarrollos normativos específicos. Es razonable pensar, por ello, que una parte relevante de las garantías vinculadas a la identidad digital termine consolidándose en el ámbito de la protección de datos, especialmente cuando la representación digital de la persona incide en decisiones que le afectan o condiciona su acceso a servicios y derechos, sin perjuicio de la necesidad de otras vías complementarias de tutela.
Este artículo está relacionado con otros materiales publicados desde la División de Innovación y Tecnología de la AEPD:
