155 digital (y también universal)

Sorpresa en el inicio de la campaña electoral. El Gobierno en funciones ha aprobado un Real Decreto Ley invocando sus competencias en materia de seguridad pública (en su vertiente de “ciberseguridad”), como reacción a un supuesto “proyecto de república digital catalana” al que, sin citarlo expresamente, se alude hasta en dos ocasiones. Algunos representantes del Gobierno catalán (antes de conocerlas) precalificaron las medidas adoptadas como “un 155 digital”, en referencia al precepto constitucional que faculta para la suspensión de la autonomía.

Administración electrónica, contratación pública y telecomunicaciones han sido los primeros escenarios del patio de operaciones digital al que se traslada la batalla que hasta ahora se libraba en las calles de Barcelona.

La medida más mediática es la que dispone que los “servidores” donde se almacenan determinados datos personales en poder de las Administraciones públicas “deberán ubicarse y prestarse dentro del territorio de la Unión Europea”. Menos ruido han producido las medidas orientadas a “configurar al Documento Nacional de Identidad, con carácter exclusivo y excluyente, como el único documento con suficiente valor por sí solo para la acreditación, a todos los efectos, de la identidad y los datos personales de su titular”.

Estas medidas parecen la respuesta que desde el Estado se ofrece a la presentación por la Generalitat de Cataluña del proyecto IDentiCAT a principios del pasado mes de septiembre. IDentiCAT se anunció como un medio de identificación ante las Administraciones públicas catalanas, soportado con tecnología de registro distribuido, popularmente identificada como “blockchain”. Pues bien, por Real Decreto Ley se establece que “no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificación basados en tecnologías de registro distribuido …, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea”. La rotundidad de la disposición contrasta sin embargo con la naturaleza “puntual y provisional” que se dice atribuir a esta medida en la Exposición de Motivos.

Lejos de lo que algunos piensan, este nuevo sistema de identidad digital no es una “ocurrencia” de la administración catalana. Al contrario, el Parlamento Europeo, en una Resolución de 3 de octubre de 2018, destacaba el valor diferencial de este nuevo modelo de identidad digital, que permitiría configurar un sistema de identidad “soberano” (del inglés self-sovereign identity), en el sentido de que los ciudadanos controlan sus propios datos y deciden cuáles compartir, con quién compartirlos y bajo qué condiciones.

La prohibición, siquiera temporal, del uso de la tecnología de registro distribuido, es “universal”, en el sentido de que no es solo para el proyecto IDentiCAT, sino que afecta a cualquier otra iniciativa que se estuviera desarrollando o estudiando (y hay alguna en marcha en alguna Comunidad Autónoma, o incluso en la propia Fábrica Nacional de Moneda y Timbre).

Esto no se si se ha advertido convenientemente por los responsables autonómicos. No es descartable que, cuando los servicios jurídicos analicen el contenido de la norma, alguna otra Comunidad Autónoma plantee, igual que casi seguro hará Cataluña, un recurso de inconstitucionalidad frente al Real Decreto-Ley, por el impacto que, exhibiendo el título competencial de la “seguridad pública” se produce en la potestad de autoorganización del resto de Administraciones públicas.

Las medidas señaladas parecen orientadas a mantener la soberanía del Estado en cuanto a la expedición de un medio de identificación concreto, el Documento Nacional de Identidad, que tiene una finalidad eminentemente policial (de hecho se regula en la Ley de protección de la seguridad ciudadana de 2015). No estoy seguro de que eso estuviese en riesgo. En cambio, sí que estoy seguro de que el DNI es perfectamente compatible con sistemas soberanos para la gestión de nuestra identidad en el mundo digital. Primero, porque los atributos de identidad que pueden hacerse valer con el DNI electrónico son muy limitados. Insuficientes para la gran variedad de transacciones que pueden realizarse en el entorno digital. Y segundo, porque la realidad es que los ciudadanos apenas utilizamos el DNI electrónico en nuestras relaciones con las Administraciones públicas.

Utilizamos “otros” medios de identificación, igualmente admitidos en la Ley de procedimiento administrativo en el marco de un sistema de lista abierta en la que, en mi opinión, también tendría cabida un sistema de identidad digital soberano apoyado en tecnología de registro distribuido. Es más, en paralelo a esa prohibición de uso de la tecnología de registro distribuido, en tanto no haya una regulación estatal o europea (la autonómica parece que no serviría), lo que echo de menos es el anuncio de una iniciativa estatal en esta materia.

Hubiera sido el momento para anunciar un “sandbox” en materia de identidad digital, orientado al establecimiento de un servicio público de identidad electrónica orientado a empoderar a la ciudadanía para la gestión de sus datos en el mundo digital. Eso sí que sería una prueba de que la medida de prohibición tiene vocación temporal, y permitiría “descontextualizarla” de los sucesos acaecidos en Cataluña. Son alcances distintos de un mismo concepto, el de soberanía, los que se proyectan sobre la emisión del DNI y los nuevos sistemas de identidad digital, por eso no deberían entenderse las medidas de protección del primero como cortapisas para el desarrollo de los segundos.