Los 5 dilemas que Europa necesita resolver sobre Data Governance e Identidad Digital

En la era digital actual, cada interacción en línea, desde un simple clic hasta una compra o una publicación en redes sociales, contribuye a forjar nuestra identidad digital. Esta identidad digital es el conjunto de datos en formato electrónico que representa de manera única a una persona natural o jurídica. Está intrínsecamente ligada a nuestra «huella digital», que abarca toda la información que compartimos a través de servicios en línea: quiénes somos, dónde vivimos, dónde trabajamos, nuestros pasatiempos, preferencias, intereses, fotos, videos y mucho más. Gestionar esta vasta cantidad de información es crucial ya que, si bien ofrece numerosos beneficios en nuestra vida cotidiana, desde transacciones bancarias en línea hasta la interacción con administraciones públicas y la gestión de relaciones laborales en plataformas digitales, también conlleva riesgos inherentes.

La Unión Europea ha reconocido la importancia fundamental de esta identidad digital para el que ha establecido un Marco Europeo de Identidad Digital (EUDI) con el objetivo de dotar a sus ciudadanos y residentes de una identidad digital fiable, voluntaria y controlada por el usuario, reconocida en toda la Unión. Esto se materializará a través de las Carteras Europeas de Identidad Digital (EUDI Wallet), que los Estados Miembros deberán proporcionar con un alto nivel de seguridad; también establece que su uso sea voluntario y no restrinja el acceso a servicios públicos o privados. Este marco busca empoderar a los ciudadanos en un entorno digital en constante evolución que define nuestra relación con el mundo.

Desafíos clave que se necesitan resolver

A pesar de los avances y la visión europea, existen dilemas complejos que deben abordarse para garantizar un futuro digital seguro, soberano y confiable. Estos desafíos abarcan la interoperabilidad, el equilibrio entre privacidad y seguridad, la gobernanza común, la confianza ciudadana y la participación de actores privados en sistemas públicos.

1. Interoperabilidad entre identidades digitales nacionales y cómo ofrecer una identidad digital soberana y segura

Uno de los principales desafíos reside en la fragmentación de las implementaciones nacionales y la necesidad de una verdadera interoperabilidad en un contexto donde cada Estado Miembro puede abordar la regulación de manera distinta. Si bien el EUDI Wallet busca el reconocimiento transfronterizo, la integración efectiva de estas identidades digitales a través de las fronteras europeas requiere soluciones técnicas robustas y estandarizadas.

Uno de los campos en los que esta interoperabilidad resulta más apremiante es en el de los espacios de datos, concebidos por la Comisión Europea para eliminar barreras legales y técnicas. También, mejoran la disponibilidad, calidad e interoperabilidad de los datos en todos los sectores. El Dataspace Protocol (DSP) es un conjunto de especificaciones diseñado precisamente para facilitar el intercambio interoperable de datos entre entidades, gobernado por control de uso y basado en tecnologías web. Este protocolo define cómo se provisionan metadatos, cómo se despliegan catálogos de datos, cómo se expresan y negocian electrónicamente los acuerdos de uso, y cómo se accede a los datos. La implementación de este protocolo se realiza mediante Connectors, componentes de software que permiten a cada organización participante en el intercambio definir y gestionar procesos digitales y flujos de datos, así como asegurar el cumplimiento de políticas y normativas de soberanía de datos.

Pongamos un ejemplo: por un lado, una aerolínea tiene datos meteorológicos obtenidos con sensores en sus aviones, y por otro, una agencia meteorológica necesita comprar esos datos para realizar sus predicciones meteorológicas. La agencia busca en el espacio de datos una organización que venda esos datos, solicita consumirlos y ambas compañías realizan un acuerdo a través del conector para que automáticamente los nuevos datos (anonimizados) que recopile la aerolínea pasen a estar disponibles para la agencia.

La International Data Space Association (IDSA), Gaia-X, la Business Data Value Association (BDVA) y la Fundación FIWARE son organizaciones clave que han formado la Alianza Empresarial de Espacios de Datos (DSBA) para crear un marco común para el despliegue de estos espacios. Han lanzado un «Documento de Discusión de Convergencia Técnica» para proporcionar una visión cohesiva y alinear los aspectos técnicos; buscan un marco técnico común para la interoperabilidad.

2. Equilibrio entre privacidad y seguridad en el uso de datos, considerando el AI Act y la propiedad de los datos

El vertiginoso crecimiento de la tecnología digital aumenta nuestra exposición a amenazas como el robo de datos, los ciberataques y las violaciones de privacidad. Mantener un delicado equilibrio entre los beneficios de la exposición personal y los riesgos inherentes de la vida digital es esencial. La Comisión Europea ha identificado la dificultad de encontrar, publicar de forma segura y compartir datos, así como de mantener el control sobre ellos una vez compartidos, como problemas clave que los espacios de datos buscan resolver.

Para abordar la confidencialidad, integridad y privacidad de los datos, entran en juego diversas Privacy-Enhancing Technologies (PETs) que permiten procesar información de forma segura sin exponerla innecesariamente. Estas tecnologías se pueden dividir en dos grandes grupos.

El primero engloba las PETs vinculadas al aprendizaje federado (Federated Learning), que facilitan el entrenamiento de modelos de inteligencia artificial sin necesidad de centralizar los datos. En este grupo se incluyen: el cifrado funcional (Functional Encryption) y el cifrado homomórfico multiclave (MultiKey Homomorphic Encryption), que permiten operar con datos cifrados; el cómputo multipartito seguro (Secure Multi-Party Computation), que distribuye el cálculo entre diferentes participantes preservando la privacidad; la privacidad diferencial (Differential Privacy), que introduce ruido controlado para impedir la identificación de registros individuales y la agregación segura (Secure Aggregation), que combina resultados parciales garantizando la protección de la información.

Además, los TEEs son áreas seguras y aisladas dentro del procesador principal que garantizan la confidencialidad e integridad de los datos y el código, incluso si el sistema está comprometido. Operan para permitir que las aplicaciones se comuniquen directamente con el hardware y así, proteger la información del acceso no autorizado a través de un sistema mejorado de control de acceso y un componente de cifrado de memoria RAM. Inicialmente diseñados para entornos locales de alta seguridad, los TEEs son ahora la base de una nube segura. Además, ofrecen «acreditación remota» (remote attestation), que permite a los usuarios verificar la autenticidad de un TEE y comprueban las versiones de firmware para descartar servicios inseguros.

El segundo bloque está relacionado con la divulgación selectiva de información y las pruebas de conocimiento cero (Zero-Knowledge Proofs, ZKP). En este ámbito destacan tecnologías como BBS, que permiten demostrar atributos o credenciales de manera verificable compartiendo únicamente la información estrictamente necesaria.

En esta misma línea, el AI Act introduce requisitos específicos para los sistemas de IA de alto riesgo que procesan datos personales. Exige el uso de conjuntos de datos de alta calidad, representativos, completos y con errores minimizados, así como la implementación de prácticas robustas de gobernanza de datos. Además, permite el tratamiento excepcional de datos sensibles para corregir sesgos, siempre bajo estrictas salvaguardas, como la eliminación posterior de los datos y la garantía de que no se transmiten a terceros. Esto refuerza la necesidad de soluciones tecnológicas como los TEEs y las Tecnologías de Mejora de la Privacidad (PETs), que permiten un tratamiento ético y seguro de los datos. Por ejemplo, en un Aprendizaje Federado (FL), el nodo coordinador puede estar desplegado en un TEE para fortalecer el sistema.

Iniciativas como TrustED, liderada por Gradiant, se comprometen a superar los estándares de privacidad establecidos por el GDPR y la regulación eIDAS. Se centra en el desarrollo de una gestión de identidad auto-soberana escalable y fiable y servicios de aprendizaje federado que preservan la privacidad mediante el uso de PETs. Esto permite estudios basados en IA sobre conjuntos de datos aislados de manera segura que abordan implícitamente las preocupaciones relacionadas con el uso de datos en la Inteligencia Artificial; se alinean con el enfoque basado en riesgos promovido por el AI Act.

3. Gobernanza común del espacio europeo de datos

La creación de un espacio de datos europeo coherente requiere una gobernanza armonizada. Los espacios de datos son, por definición, infraestructuras y marcos de gobernanza que facilitan la puesta en común y el intercambio de datos, estableciendo estructuras transparentes y justas en cumplimiento con la legislación de la UE. Cuatro organizaciones clave están impulsando esta visión: BDVA, Fundación FIWARE, Gaia-X y IDSA, las cuales han unido fuerzas en la Alianza Empresarial de Espacios de Datos (DSBA) para crear un marco común.

Gaia-X se enfoca en la gobernanza global entre espacios de datos, arraigada en los valores europeos y su framework incluye especificaciones funcionales y técnicas para operar un espacio de datos compatible con Gaia-X. La International Data Space Association (IDSA), por su parte, ha establecido una arquitectura, interfaces y código de muestra para un ecosistema de datos abierto y seguro. Su «IDSA Blueprint» incluye la Arquitectura de Referencia de IDS (IDS RAM), el Reglamento de IDSA (IDSA Rulebook) para la implementación, y el Dataspace Protocol. Estos recursos técnicos ofrecen una hoja de ruta para ingenieros y estudiantes que deseen sumergirse en este campo.

Sin embargo, la diversidad de protocolos adoptados por diferentes fabricantes dificulta la estandarización efectiva de los espacios de datos, lo que representa un desafío para la interoperabilidad entre sistemas de distintos fabricantes. La adaptabilidad y la colaboración entre la industria, los investigadores y los usuarios son esenciales para superar estos obstáculos y mantener la confianza en la tecnología. La Fundación iSHARE también ha contribuido con el «Cookbook for Data Spaces», una guía sencilla para entender y crear espacios de datos funcionales.

4. Confianza del ciudadano en las plataformas digitales para evitar el rechazo social y desconfianza

La confianza del ciudadano es fundamental para la adopción masiva de soluciones digitales. La pobre gestión de la privacidad en el entorno digital puede tener consecuencias graves e irreversibles y esto alimentan la desconfianza. Algunos riesgos comunes incluyen:

• Robo o suplantación de identidad: criminales utilizan información expuesta para compras fraudulentas, abrir cuentas bancarias o solicitar créditos a nombre de la víctima.
• Vigilancia no consentida: empresas y ciberdelincuentes recolectan y analizan datos personales para lucro o manipulación.
• Extorsión, acoso o difamación: uso de información privada para amenazar o humillar en redes sociales.
• Mal uso de datos personales para discriminación: por género, raza, orientación sexual, ideología, etc..
• Sexting y doxing: compartir contenido sin permiso o publicar información personal en línea sin consentimiento y expone a las víctimas a consecuencias negativas.
• Fraude altamente personalizado: la recolección masiva de datos a través de herramientas OSINT permite fraudes más creíbles.

El trabajo que desarrollamos en TrustED es esencial para abordar estos desafíos, ya que buscan generar confianza pública y fomentar la adopción generalizada de soluciones digitales seguras y respetuosas con la privacidad. TrustED, coordinado por Gradiant, se enfoca en diseñar y desarrollar un método robusto para la gestión de identidad auto-soberana y un conjunto de tecnologías avanzadas de mejora de la privacidad (PETs).

Esto incluye métodos de validación de documentos basados en IA, herramientas de verificación y técnicas de divulgación selectiva basadas en pruebas de conocimiento cero (ZKPs); permite una identificación electrónica segura y el intercambio de atributos de identidad específicos, todo mientras se preserva la privacidad del usuario. La naturaleza voluntaria del EUDI Wallet también busca evitar el rechazo social y la desconfianza; da a los ciudadanos control sobre su identidad y datos digitales. Asimismo, el AI Act, al exigir trazabilidad, documentación técnica clara y transparencia sobre las capacidades y limitaciones de los sistemas de IA, también contribuye a reforzar esa confianza ciudadana imprescindible para la adopción digital.

5. Actores privados en sistemas públicos de identidad, ya que cada país implementa los reglamentos de forma distinta

La implementación de los reglamentos europeos de identidad digital y gobernanza de datos a nivel nacional presenta un desafío en la colaboración entre entidades públicas y actores privados, ya que cada país puede interpretar y aplicar las normativas de manera diferente. Mientras que la UE establece el marco general, la ejecución recae en los Estados miembros, lo que puede llevar a variaciones en la estructura y el contenido de las identidades y los proveedores de identidad (centralizados, descentralizados o federados).

Los espacios de datos operan como mercados donde propietarios de datos y proveedores de servicios (que pueden ser organizaciones privadas, startups o empresas de hardware) pueden recibir compensación económica por sus contribuciones. Los conectores, que implementan el Dataspace Protocol, facilitan la interacción entre estos participantes. Esto significa que, si bien la gobernanza es crucial, la participación de actores privados en el desarrollo y suministro de soluciones es inevitable y necesaria para la funcionalidad de los espacios de datos.

TRUSTED

Los socios de TrustED desarrollamos una herramienta para la ciudadanía de identidad digital segura y portátil, que permita un mayor control sobre su información y fomenta la adopción de soluciones digitales que respeten la privacidad. Esta alianza se centra en desarrollar una gestión robusta de la identidad auto-soberana, que incluye métodos de validación de documentos basados en IA y técnicas de divulgación selectiva con pruebas de conocimiento cero, además de servicios de aprendizaje federado que preservan la privacidad.

Este artículo fue publicado originalmente en: The 5 dilemmas Europe needs to resolve on Data Governance and Digital Identity – TrustED

Este proyecto ha recibido financiación del programa de investigación e innovación Horizonte Europa de la Unión Europea en virtud del acuerdo de subvención nº 101168467.