Marco de identidad digital del Reino Unido: piedra angular de una identificación fiable.

En la era actual impulsada por la tecnología, la identidad digital se está volviendo inevitable. Las interacciones físicas pueden no parecer una opción segura, especialmente cuando la COVID está en pleno apogeo. Las personas y las empresas se están moviendo hacia el espacio digital para mantenerse al día con las prácticas de distanciamiento social, así como para adoptar formas inteligentes y eficientes de Verificación de identidadRecientemente, se ha debatido mucho sobre el Marco de Confianza de Identidad Digital del Reino Unido, y con razón. Esta ley representa un avance importante en la gestión de las identidades digitales en el Reino Unido.   

Un marco para gobernar el panorama digital

El gobierno del Reino Unido publicó en febrero de este año un documento oficial llamado “Marco de confianza del Reino Unido para la identidad digital y los atributosEste marco normativo establece directrices para las entidades que crean y utilizan identidades digitales de usuarios finales. Las empresas que cumplen con estas normas reciben un distintivo especial que garantiza su reputación como proveedor de servicios fiable ante el público. El marco se creó en colaboración con diversas organizaciones públicas y privadas para establecer principios eficaces para la identidad digital. 

identidad digital 

Según el marco normativo, la identidad digital es una representación de un individuo en el espacio digital que le permite demostrar su identidad durante las transacciones e interacciones en línea. A continuación, se presentan algunos tipos de identidades digitales que pueden crearse conforme a la ley:

• Una billetera digital almacena información confidencial —también llamada atributos— relacionada con el usuario. El usuario decide a quién divulgar sus datos personales y cuándo. Las billeteras digitales incluyen información como el nombre completo, la fecha de nacimiento y el derecho a trabajar o residir. 
• Una identidad digital que permite la autenticación en forma de producto o servicio en línea. Un ejemplo de esto son las tiendas de comercio electrónico que solicitan a los compradores que verifiquen su edad antes de adquirir productos con restricción de edad. En este caso, los clientes solo necesitan iniciar sesión con el servicio de verificación de identidad, que autoriza automáticamente su edad y datos personales, manteniendo intactos los estándares de protección de datos. 

Atributos    

El Marco de Confianza define los atributos como fragmentos de información que brindan detalles sobre una persona o entidad. Al combinarse, los atributos forman una identidad digital completa que puede utilizarse para autenticar transacciones digitales. Los atributos pueden corresponder al estado de salud de una persona, su historial crediticio o incluso el número de registro de una empresa. Algunos ejemplos de atributos podrían ser la edad de una persona, su dirección o código postal, entre otros. 

Directrices para las entidades participantes

Entidades que desarrollan productos u ofrecen servicios que se ocupan de identidad digital Se permite la participación en el Marco de Confianza de Identidad y Atributos Digitales. Las organizaciones individuales, así como aquellas que forman parte de un esquema de verificación de identidad, deben desempeñar las siguientes funciones, cada una de las cuales conlleva un conjunto diferente de responsabilidades.  

Protección y minimización de datos 

El Marco de Confianza de Identidad Digital incorpora estándares de protección de datos que son un requisito obligatorio para los proveedores de servicios de identidad y atributos al desarrollar productos y servicios. Estas medidas garantizan que los usuarios tengan control sobre la información personal que se utiliza para crear su identidad digital. Además, les permiten gestionar mejor sus atributos y decidir qué organizaciones tienen acceso a sus datos y derechos para compartirlos. 

Según las políticas del marco, los usuarios tienen derecho a compartir solo la información necesaria y restringir el acceso al resto. Los estándares de minimización de datos se basan en el "derecho a ver los datos personales" definido en el RGPD. Un ejemplo de este tipo de intercambio de datos es cuando un usuario visita una plataforma con restricción de edad y necesita proporcionar detalles para Verificación de edadMediante la identidad digital, los usuarios pueden verificar que son mayores de edad sin necesidad de proporcionar ninguna información adicional. 

Mantenerse al día con los protocolos de privacidad

El marco de confianza exige que las entidades participantes cumplan con dos estándares de cumplimiento de privacidad que son:

• La norma ISO/IEC 27701:2019 es una extensión de la norma ISO/IEC 27001 que aborda la privacidad y que destaca los derechos de control de acceso para los responsables y encargados del tratamiento de la información de identificación personal (IIP), con el fin de reducir los riesgos para la privacidad de los consumidores. Esta normativa está avalada por la Organización Internacional de Normalización (ISO). 
• La norma BS 10012:2017 de la Organización Británica de Normas (BSO) es un marco de referencia para que los proveedores de servicios desarrollen sistemas de gestión de información personal.  

Además de lo anterior, el Marco de Confianza de Identidad Digital exige a las entidades que cumplen con la normativa que creen su propia infraestructura de cumplimiento de la privacidad, designen un Responsable de Protección de Datos (RPD), desarrollen una política de protección de datos y formulen un proceso para la Evaluación de Impacto en la Protección de Datos (EIPD).  

Consentimiento y acuerdo del usuario

Al acceder a la identidad digital de un individuo, las empresas deben tener una base legal para el uso de la información. El consentimiento es obligatorio después de informar a los usuarios sobre los términos y condiciones de acceso y compartición de datos. El marco limita a los proveedores de servicios a utilizar información de identificación personal con fines de marketing. Sujetos de datos: personas físicas identificables según GDPR – también tienen derecho a actualizar o eliminar atributos correspondientes a su identidad digital como parte de su acuerdo con el proveedor de servicios de identidad digital. 

Concesión de derechos de acceso

Según las directrices, las organizaciones participantes deben desarrollar un mecanismo que permita a sus clientes saber qué información personal se accede, se comparte y se utiliza para qué fines. Los datos deben estar actualizados y libres de errores, sin generar ambigüedad en la identidad digital del usuario final. 

Delegado de Protección de Datos

El marco de confianza de identidad y atributos digitales exige que las organizaciones designen un responsable de protección de datos (DPO) oficial. Las responsabilidades del DPO incluyen garantizar el cumplimiento de los requisitos enumerados en la normativa del Reino Unido. Artículo 39 del RGPDAdemás, la creación de un proceso de protección de datos también es necesaria para garantizar el cumplimiento normativo adecuado con la norma ISO/IEC 29100.    

Puntos Clave

• El Marco de Confianza de Identidad Digital en el Reino Unido regula cómo los proveedores de servicios de identidad procesan los datos personales disponibles digitalmente de las personas.  
• El marco define la identidad digital como un conjunto de atributos —fragmentos de información del usuario— que permite a los individuos interactuar en el espacio en línea.
• Las entidades participantes en el marco deben garantizar la protección de datos y los estándares de privacidad, designar un responsable de protección de datos (DPO), obtener el consentimiento del usuario y ofrecer servicios inclusivos y accesibles.