The eIDAS2 Regulation : the European Union’s Strategic Vision to Regulate a Digital Identity Metasystem under Citizens’ Control as a Public Service

Abstract

La identidad, ahora en formato digital, se erige como una pieza clave en una sociedad en profunda transformación tecnológica. Sin embargo, hasta la fecha, no existe una forma armonizada de identidad digital, sino que su provisión es asumida por distintos proveedores con una regulación limitada o insuficiente. En un contexto de insuficiencia normativa, los ecosistemas de identidad digital han evolucionado hacia modelos que plantean retos críticos y que la normativa vigente no puede abordar eficazmente. En particular, la privacidad y la seguridad se ven amenazadas en los modelos de identidad digital existentes y procesos esenciales han sido monopolizados por un reducido número de proveedores. El principal desafío, sin embargo, es que los ciudadanos carecen de control y garantía sobre su existencia digital.

La identidad digital se rige en la Unión Europea por el Reglamento eIDAS, una regulación polifacética con un doble régimen jurídico que abarca la identificación electrónica y los servicios de confianza. Sin embargo, la primera versión se ha limitado esencialmente a los servicios públicos, más allá de otras limitaciones en el modelo de identidad digital creado que exigían su adaptación. No obstante, la identificación es una cuestión nacional, por lo tanto, el Reglamento eIDAS ofrece amplias posibilidades de implementación con resultados muy diversos. Mientras que algunos países han optado por modelos publificados, otros ya han permitido la participación de operadores privados, ofreciendo lecciones que hoy son especialmente valiosas con la adopción del eIDAS2. El Reglamento actualizado pretende transformar el ecosistema de identidad digital, allanando el camino hacia un modelo en el que el rol del proveedor de identidad sea asumido por distintas entidades y el usuario se sitúe en el centro del ecosistema. En el corazón de este Reglamento se encuentra la Cartera de Identidad Digital Europea, un innovador medio de identificación electrónica que también busca liberar el potencial de un ecosistema de credenciales de identidad.

eIDAS2 marca un hito clave en el sector de la identidad digital, al introducir una nueva forma de identidad digital armonizada a nivel de la Unión Europea, en la que los Estados Miembros están obligados a jugar un papel garante en su provisión. Como consecuencia, independientemente de la entidad que finalmente asuma la provisión del servicio, deberá hacerlo sujeta a las garantías y obligaciones de servicio público. En esta tesis se sugiere que la configuración de la Cartera como servicio público y los efectos jurídicos asociados pueden tener repercusiones en el derecho nacional aplicable. En el caso del Derecho Administrativo español, podría suponer el ejercicio de potestades administrativas, exigiendo el cumplimiento con los requisitos para su atribución y ejercicio. No obstante, la provisión de la Cartera es sólo el primer paso en el nuevo ecosistema; para su correcto funcionamiento es necesario, además, definir un estatuto de derechos, obligaciones y garantías para sus actores principales.

En definitiva, esta tesis pretende cuestionar el desarrollo que la capa de identidad digital de Internet ha tenido hasta la actualidad, como dominio predominantemente en manos del sector privado y con tímidos intentos de regulación por el sector público. La capacidad de establecer nuestra existencia en el entorno digital es crucial en el ejercicio de nuestros derechos y una participación eficaz en la sociedad. Los recientes acontecimientos, unidos a la pérdida de soberanía del Estado, han exigido un cambio en la situación actual de los servicios de identidad digital, en los que la capa de identidad digital, al menos para las personas físicas, debe ser un servicio público. Sin embargo, aun reconociendo que el papel del Estado y del Derecho Público será crucial, hay que tener en cuenta que la esfera digital es algo nuevo y diferente y que jugará con reglas distintas a las del pasado y que, si bien es importante defender el Estado de Derecho, es igualmente importante no precipitarse a encajar nuevas ideas en viejos marcos.

Identity, in digital format now, emerges as the cornerstone for a society undergoing a profound technological transformation. However, to date, there is no harmonized form of digital identity, but its provision is assumed by very different providers relying on a limited or insufficient form of regulation. In an environment of regulatory insufficiency, digital identity ecosystems have evolved into models raising critical challenges that existing regulations cannot effectively address. In particular, privacy and security are threatened in existing digital identity models, and essential processes have been monopolized by a reduced number of providers. The main drawback, however, is that citizens lack control and assurance over their digital existence.

Digital identity is governed in the European Union by the eIDAS Regulation, a multifaceted regulation with a dual legal regime covering electronic identification and trust services. Yet, the first version has been essentially limited to public services beyond other constraints in the digital identity model created that demanded its adaptation. However, identification is a national matter, and therefore, the eIDAS Regulation offers broad implementation possibilities leading to different results. While some countries have opted for a public approach, others have already enabled the participation of private providers, offering lessons that are particularly valuable today with the adoption of eIDAS2. The updated Regulation aims to transform the digital identity ecosystem, paving the way for a model where the role of the identity provider is assumed by different entities, and the user is placed at the center of the ecosystem. At the heart of this Regulation is the European Union Digital Identity Wallet, an innovative form of electronic identification means that also aims to unlock the potential of an ecosystem of identity credentials.

The arrival of eIDAS2 marks a key milestone in the digital identity sector, introducing a new form of harmonized digital identity at the European Union level, where Member States are bound to play a guarantor role in its provision. Consequently, independently of the entity that ultimately provides the service, it must do so subject to public service guarantees and obligations. It is suggested in this thesis that the configuration of the Wallet as a public service and its associated legal effects may have repercussions in applicable national law. In the case of Spanish Administrative Law, it could entail the exercise of administrative power, which in turn demands compliance with the requirements for their attribution and exercise. Nevertheless, the provision of the Wallet is only the first step in the new ecosystem; for it to function properly, it is also necessary to define a statute of rights, obligations, and guarantees for its core participants.

Ultimately, this thesis aims to question the development that the digital identity layer of the Internet has experienced so far, as a domain predominantly in the hands of the private sector and with timid attempts by the public sector to regulate it. The ability to establish our existence in the digital realm is crucial for exercising our rights and participating effectively in society. Recent events, combined with the loss of sovereignty by the State, have significantly called for a change in the state of affairs in digital identity services, where the digital identity layer, at least for natural persons, must be a public service. However, while recognizing that the role of the State and Public Law will be crucial, it must be acknowledged that the digital sphere is something new and different and will play by different rules than in the past and that while upholding the rule of law is important, it is equally important not to rush to fit new ideas into old frameworks.