LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 11 bis, apartado 3,
Considerando lo siguiente:
(1) El Reglamento (UE) n.o 910/2014 exige que las carteras europeas de identidad digital (en lo sucesivo, «carteras») y los medios de identificación electrónica notificados se faciliten como opción para la autenticación a fin de obtener acceso a los servicios públicos transfronterizos en línea prestados por los Estados miembros. En estos casos de autenticación transfronteriza, la parte usuaria puede acceder ya algunas veces a archivos que contienen información relativa al usuario de la cartera o al usuario de medios de identificación electrónica notificados, a través del propio registro de la parte usuaria o de un registro externo, y a menudo en forma de cuenta de usuario. En estos casos, la correspondencia de determinada información relativa al usuario, obtenida de las carteras o de los medios de identificación electrónica notificados, puede ser establecida por dicha parte usuaria o en su nombre. Por ejemplo, esto podría lograrse utilizando una solución centralizada gestionada por un organismo del sector público, cotejando con la información que ya obre en poder de esa parte usuaria o de un registro en el que esta confíe, que, a título indicativo, puede ser un censo de población o una base de datos con información sobre cuentas de usuario.
(2) La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. Con el fin de garantizar el máximo nivel de armonización entre los Estados miembros para el desarrollo y la certificación de las carteras, las especificaciones técnicas establecidas en el presente Reglamento se basan en el trabajo realizado con arreglo a la Recomendación (UE) 2021/946 de la Comisión (2), y en particular la arquitectura y el marco de referencia que forman parte de él. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (3), la Comisión debe revisar y, en caso necesario, actualizar el presente Reglamento, para mantenerlo en consonancia con la evolución mundial, la arquitectura y el marco de referencia, y seguir las mejores prácticas en el mercado interior.
(3) Para garantizar que el proceso de correspondencia de la identidad funcione de manera fiable en todos los Estados miembros, los Estados miembros que actúen como partes usuarias deben realizar la correspondencia de la identidad inicial la primera vez que una persona física solicite que se le conceda acceso a un servicio gestionado por la parte usuaria, basándose en el conjunto mínimo de datos establecido en el Reglamento de Ejecución (UE) 2015/1501 de la Comisión (4) o en el conjunto de datos de identificación de la persona establecido en el Reglamento de Ejecución (UE) 2024/2977 de la Comisión (5). Si bien el presente Reglamento se centra en los Estados miembros que actúan como partes usuarias, el Reglamento (UE) n.o 910/2014 deja a los Estados miembros la facultad de decidir si el sistema de correspondencia de la identidad se pone también a disposición de las partes usuarias privadas. Cuando los Estados miembros prevean la correspondencia de la identidad para las partes usuarias que no sean organismos del sector público, conviene que apliquen en la medida de lo posible los mecanismos y procedimientos establecidos en el presente Reglamento.
(4) A efectos de la correspondencia transfronteriza de la identidad cuando se utilicen las carteras, la información utilizada para una correspondencia inequívoca de la identidad deben ser los identificadores de los datos obligatorios del conjunto de datos de identificación de la persona establecido en la sección 1 del anexo del Reglamento de Ejecución (UE) 2024/2977, junto con los datos opcionales que sean necesarios para garantizar que el conjunto de datos de identificación de la persona sea único.
(5) A efectos de la correspondencia transfronteriza de la identidad cuando se utilicen medios de identificación electrónica notificados, la información utilizada para una correspondencia inequívoca de la identidad deben ser los atributos obligatorios del conjunto mínimo de datos para una persona física establecidos en la sección 1 del anexo del Reglamento de Ejecución (UE) 2015/1501. La referencia a los atributos obligatorios del conjunto mínimo de datos para una persona física debe entenderse en el contexto del Reglamento de Ejecución (UE) 2015/1501, que describe un atributo como un componente del conjunto mínimo de datos de identificación de la persona, en contraposición a la definición de atributo establecida en el artículo 3, punto 43, del Reglamento (UE) n.o 910/2014, modificado por el Reglamento (UE) 2024/1183.
(6) Debido a que la parte usuaria depende del uso de información preexistente para garantizar una correspondencia inequívoca de la identidad, el proceso de correspondencia de la identidad puede no ser siempre satisfactorio. Con el fin de ofrecer a las partes usuarias un grado de flexibilidad adecuado, los Estados miembros podrán establecer procesos complementarios que proporcionen un nivel equivalente de confianza en el resultado del proceso de correspondencia de la identidad.
(7) Cuando el proceso de correspondencia de la identidad se considere satisfactorio con arreglo a las disposiciones del presente Reglamento, la parte usuaria o la parte que actúe en su nombre, o un registro en el que confíen las partes usuarias o el sistema centralizado deben garantizar que el usuario esté informado de que el registro se ha realizado correctamente, en particular mostrando el nombre o el seudónimo del usuario y, cuando proceda, entre otras cosas, de las opciones disponibles para almacenar el resultado del proceso de correspondencia de la identidad. Estas opciones pueden consistir en el almacenamiento de una asociación en un registro gestionado por la parte usuaria o en el que confíe la parte usuaria, en la expedición de una declaración electrónica de atributos específica que contenga una asociación que pueda reutilizarse en el futuro o en el uso de opciones alternativas proporcionadas por la parte usuaria o la parte que actúe en su nombre. Cuando proceda, el usuario debe tener la posibilidad de elegir entre opciones y debe ser quien controle el tiempo de conservación para garantizar que los usuarios puedan reutilizar en el futuro los procesos de correspondencia de la identidad completados.
(8) A fin de mejorar la transparencia y el control del usuario, cuando no se haya podido establecer satisfactoriamente la correspondencia para un usuario, se le deben comunicar las razones claras de por qué la correspondencia ha resultado infructuosa. Además, se le debe informar de los próximos pasos que puedan darse. En concreto, se le debe indicar la información utilizada en el proceso de correspondencia de la identidad y cualquier discrepancia detectada, junto con explicaciones e instrucciones claras para los usuarios sobre posibles soluciones y procesos complementarios.
(9) A fin de habilitar mecanismos de recurso adecuados siempre que se realice una correspondencia de la identidad, las partes usuarias o las partes que actúen en su nombre o los registros en los que confíen las partes usuarias deben mantener archivos adecuados relacionados con el proceso de correspondencia de la identidad, la información utilizada para llevarla a cabo y cualquier otra documentación justificativa proporcionada por la persona física y el resultado del proceso de correspondencia de la identidad. Estos archivos deben conservarse durante un mínimo de seis meses y un máximo de doce para permitir el registro y la tramitación de las reclamaciones de los usuarios. El tiempo durante el cual deberán conservarse podría ampliarse si así lo exige el Derecho de la Unión o nacional.
(10) Para evitar que los usuarios de una cartera tengan que realizar el proceso de correspondencia de la identidad repetidamente, los Estados miembros podrán exigir que los sistemas de correspondencia de la identidad estén preparados para expedir una declaración electrónica de atributos con un vínculo entre el usuario de una cartera y un registro en el que dicho usuario esté inscrito como usuario conocido. Serían opciones alternativas que los Estados miembros almacenen una asociación como referencia a un registro al que tenga acceso la parte usuaria u otras medidas de asistencia.
(11) Para garantizar que las carteras que deben proporcionarse de conformidad con los requisitos del artículo 5 bis, apartado 1, del Reglamento (UE) n.o 910/2014, y los sistemas de identificación electrónica notificados se beneficien de las ventajas de disponer de sistemas de correspondencia de la identidad que funcionen adecuadamente, es necesario fijar un plazo más largo para la aplicación de las disposiciones correspondientes del presente Reglamento. Por lo que respecta a las carteras, cada Estado miembro debe proporcionar al menos una cartera en los veinticuatro meses siguientes a la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, del Reglamento (UE) n.o 910/2014. Por consiguiente, la aplicación de las disposiciones pertinentes del presente Reglamento sobre la correspondencia de la identidad basada en las carteras debe coincidir con el plazo mencionado. Por lo que respecta a los sistemas de identificación electrónica notificados, debe concederse tiempo suficiente para sustituir las funcionalidades que requiere la correspondencia de la identidad.
(12) Puesto que el uso de la cartera ha de ser voluntario, los Estados miembros deben proporcionar métodos alternativos para que los usuarios obtengan acceso a los servicios que prestan cuando actúan como partes usuarias.
(13) Puede suceder que el registro de un nuevo usuario cuando intenta autenticarse ante un servicio electrónico se realice sin complicaciones y, por lo tanto, le parezca al usuario visual y técnicamente igual que una visita repetida a un servicio electrónico. Por esta razón, a efectos del presente Reglamento, el registro de un nuevo usuario en un servicio electrónico debe considerarse equivalente a un proceso de correspondencia de la identidad satisfactorio.
(14) Los Estados miembros deben garantizar que el proceso de correspondencia de la identidad funcione sin complicaciones y que el usuario no se encuentre con múltiples cambios de sesión y pasos repetitivos, aun cuando inicialmente el proceso de correspondencia de la identidad resulte infructuoso y se lleven a cabo procesos complementarios.
(15) Los Estados miembros tienen libertad para diseñar sus interfaces de usuario y sus notificaciones de la manera más adaptada a su contexto nacional, teniendo en cuenta la esencia de los requisitos contenidos en el presente Reglamento.
(16) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (6) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (7) son aplicables a las actividades de tratamiento de datos personales en virtud del resente Reglamento.
(17) El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (8), emitió su dictamen el 31 de enero de 2025.
(18) Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014.
HA ADOPTADO EL PRESENTE REGLAMENTO:
Ver texto completo.
