23 July, 2015
category: Gobierno, Identificación digital
Por Timothy Reiniger, FutureLaw LLC
La Mancomunidad de Virginia ha pasado a ser la primera jurisdicción de Estados Unidos en promulgar una ley de gestión de identidad digital, efectiva en Julio 1. Y en vistas de la reciente revelación de Re:ID de que solamente el 4% de todo el dinero gastado actualmente en ciberseguridad es destinado a identidad, el momento escogido por Virginia no podía ser mejor. Al dar este paso, junto con los esfuerzos sostenidos de la Comisión de Ciberseguridad de Virginia, ese estado está fortaleciendo su liderazgo en la formulación de políticas cibernéticas que reconoce la identidad digital como un fundamento para la política general sobre ciberseguridad.
La ley de Virginia apunta a facilitar el comercio electrónico, proporcionándole a los ciudadanos un medio eficiente y asequible para una fuerte autenticación multifactor, con la cual combatir a los ciberdelincuentes y ladrones de identidad en el entorno en línea. Reflejando el enfoque general descentralizado y basado en el mercado que tiene el gobierno de EEUU tal como está expuesto en la Estrategia Nacional de Identidades de Confianza en el Ciberespacio, la ley permite e incentiva que los ciudadanos tengan opciones para obtener identidades digitales de confianza para su empleo en el comercio electrónico, los medios sociales y los servicios electrónicos gubernamentales. Y tomando algunos aspectos de la política de identidad digital en Estonia, el modelo de Virginia rechaza un enfoque de base de datos centralizada, para favorecer una identidad controlada por el ciudadano.
En la reunión de julio de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) en Viena, los gobiernos de Austria, Bélgica, Francia, Italia y Polonia, con el apoyo de la Fuerza de Tarea sobre asuntos legales en la gestión de identidad del Colegio de Abogados de Estados Unidos, obtuvieron la aprobación de una propuesta en el sentido de que CNUDMI comience a trabajar formalmente en servicios de confianza y gestión de identidad en el 2016.
Citando la nueva ley de Virginia, la regulación europea de 2014 sobre los servicios de confianza e identificación electrónica, y una serie de iniciativas en desarrollo por los sectores público y privado, los cinco gobiernos le pidieron a CNUDMI considerar la posibilidad de desarrollar una legislación modelo dentro de las líneas de los anteriores esfuerzos en torno al comercio electrónico y las firmas electrónicas. La propuesta reconoció que, como mínimo, la economía en línea necesitará métodos para lidiar con los temas legales relativos al reconocimiento en los cruces de fronteras, que surgen debido al uso de identidades digitales emitidas bajo autoridad estatutaria en las jurisdicciones del derecho civil y del derecho consuetudinario .
Un abarcador estudio sobre los riesgos inherentes y las obligaciones potenciales de los sistemas de identidad, realizado por la Fuerza de Tarea sobre temas legales en la gestión de identidad del Colegio de Abogados de EEUU, ha revelado la existencia de importantes barreras legales a la creación de un mercado de credenciales de identidad digital. En primer lugar, se carece de un marco legal común. En segundo lugar, la asignación de responsabilidades es impredecible. Como resultado, los riesgos asociados con la credencial comercial de identidad digital actualmente se tratan como no asegurables.
La ley de Virginia resuelve esta incertidumbre proveyendo un fundamento legal para los marcos de identidad de confianza como método para implementar la identidad federada siguiendo la línea de lo que se permite en otras industrias, tales como las tarjetas de crédito. Los marcos de identidad de confianza representan una fuente flexible y descentralizada de gestión de la información y normas de política con relación a la implementación de la identidad digital para los sectores público y privado. La ley no está destinada a eliminar la responsabilidad, sino a hacer que la responsabilidad sea predecible y manejable para los proveedores de credenciales de identidad digital.
Posibilitar el desarrollo de una política de identidad digital mediante marcos de identidad de confianza supone varias ventajas con respecto a un modelo centralizado, en que: 1) ayuda a evitar los problemas de autoridad inter-jurisdiccional y de elección de la ley, 2) proporciona mayor flexibilidad y personalización para ajustarse a la amplia variedad de situaciones de participantes y redes, 3) posibilita una mayor facilidad para adaptar las políticas informativas a una tecnología que cambia rápidamenteto enforc, y 3) es más fácil de imponer contra los violadores de las normas.
Al promover una estrategia orientada hacia el ciudadano, y poner a disposición medios fuertes multifactor mediante los cuales los ciudadanos pueden demostrar su identidad en línea, la ley de Virginia representa una nueva dirección en la estrategia global de ciberseguridad, que ha de suplementar el actual enfoque empresarial y de red.
La ley refleja el amplio marco legal digital de Virginia para el comercio electrónico y los servicios de confianza asociados, incluyendo el primer estatuto cibernotarial — notarización en línea utilizando un medio de audio y video bidireccional — en los Estados Unidos. Y Virginia ya tiene una amplia base comercial de compañías relacionadas con la identidad digital, como CertiPath, para la industria de la defensa, Exostar, y la Iniciativa Kantara — para la industria de atención de salud — sobre la cual edificar.
Tim Reiniger fue un autor principal de la ley de Virginia y consulta sobre ciberseguridad y política de privacidad de la información en FutureLaw, LLC en Richmond, Virginia, incluyendo servicio como asesor especial sobre identidad digital para la Mancomunidad de Virginia.