- La Identidad Digital Europea se materializa en una cartera digital (EUDI Wallet) que centraliza credenciales y documentos oficiales en una app móvil segura.
- El Reglamento eIDAS2 y el ARF establecen el marco jurídico y técnico para garantizar interoperabilidad, seguridad y alineación con el RGPD en toda la UE.
- Permitirá acceder a servicios públicos y privados, firmar contratos, abrir cuentas bancarias o usar recetas médicas en cualquier país miembro.
- Presenta grandes beneficios en reducción de trámites y lucha contra el fraude, pero también riesgos de vigilancia, brecha digital y desafíos de privacidad.
La Identidad Digital Europea ya no es un proyecto lejano ni ciencia ficción: es el nuevo “DNI digital” que la Unión Europea está poniendo en marcha para que cualquier persona, empresa o residente pueda identificarse, compartir documentos y firmar online de forma segura en todo el territorio comunitario. Se materializa en una aplicación móvil tipo cartera o monedero digital que centraliza credenciales y datos oficiales bajo un marco jurídico muy concreto: el Reglamento eIDAS2.
Este gran cambio llega en un momento en el que cada vez más trámites y servicios se realizan por Internet, tanto en el sector público como en el privado, y donde la seguridad, la privacidad y el control sobre los datos personales se han convertido en un tema delicado. A lo largo de este artículo vas a ver con detalle qué es exactamente la Identidad Digital Europea, cómo funciona la cartera EUDI Wallet, qué dice la normativa eIDAS2, para qué la vas a poder usar en tu día a día, cuáles son sus ventajas, sus riesgos y el calendario real de despliegue hasta 2026.
Qué es la Identidad Digital Europea y la EUDI Wallet
La llamada Identidad Digital Europea (European Digital Identity, EUDI) es un marco común de identificación electrónica que permite que ciudadanos, residentes y empresas puedan demostrar quiénes son en cualquier país de la Unión Europea de manera segura, interoperable y legalmente reconocida. No se limita a un simple usuario y contraseña: está pensada para ser una identidad electrónica robusta, válida para servicios públicos y privados, y respaldada por la legislación europea.
El corazón práctico de este sistema es la EUDI Wallet, una cartera digital en forma de aplicación móvil que servirá para almacenar y gestionar de manera segura distintas credenciales digitales: documentos de identidad, permisos de conducción, títulos académicos, recetas médicas, certificados, medios de pago, etc. La idea es que esta app sea la “cartera personal digital” que lleves en el móvil, con la que puedas identificarte y firmar sin depender de soluciones privativas como Apple Wallet o Google Pay.
En la práctica, esta cartera funcionará como un contenedor cifrado de credenciales electrónicas de atributos (electronic attestations of attributes), emitidas por prestadores de servicios de confianza (consulta cómo gestionar certificados digitales): administraciones públicas, universidades, entidades sanitarias, bancos, aseguradoras o terceros autorizados. Cada Estado miembro deberá ofrecer al menos una versión oficial de la cartera, gratuita para los ciudadanos, antes de que termine 2026, garantizando así un mínimo común de interoperabilidad y experiencia de uso en toda la UE.
Esta nueva identidad digital no aparece de la nada: se apoya y amplía el marco creado por el Reglamento eIDAS de 2014 (Reglamento UE nº 910/2014), que ya regulaba la identificación electrónica y los servicios de confianza (firma electrónica, sellado, etc.). La versión actualizada, eIDAS2, introducida por el Reglamento (UE) 2024/1183, corrige muchas limitaciones de la norma original y añade la pieza que faltaba: una billetera digital europea estandarizada, obligatoria de aceptar para muchos servicios y disponible en todos los países.
Desde un punto de vista jurídico y de derechos fundamentales, la Identidad Digital Europea se conecta directamente con el derecho al reconocimiento de la personalidad jurídica (art. 6 de la Declaración Universal de los Derechos Humanos), con la noción de “datos personales” del RGPD (art. 4.1) y con el principio recogido en su considerando 7: las personas deben tener el control de sus datos personales. En países como España, además, la identidad se protege también mediante normas internas, como la Ley Orgánica de Protección de la Seguridad Ciudadana.
Relación entre eIDAS2, RGPD y el marco técnico de la cartera
El Reglamento eIDAS2, que entró en vigor el 20 de mayo de 2024, tiene como objetivo reforzar la seguridad, usabilidad e interoperabilidad de la identificación electrónica y los servicios de confianza en la UE. Una de sus claves es que convierte en obligatoria la aceptación de los medios de identificación electrónicos notificados por un Estado miembro por parte de todos los demás, lo que impulsa de forma decidida las interacciones digitales transfronterizas, por ejemplo para abrir una cuenta bancaria o acceder a un servicio público en otro país.
Desde el punto de vista técnico, la implementación de la EUDI Wallet se articula alrededor del Architecture and Reference Framework (ARF), un marco de arquitectura y referencia que establece normas técnicas comunes, requisitos de seguridad y buenas prácticas que deben seguir los Estados miembros. El ARF (actualmente en la versión 1.4.1, con nuevas revisiones previstas) define cómo deben construirse las carteras para ser interoperables, seguras y capaces de evolucionar con futuras innovaciones tecnológicas.
Además, la Comisión Europea está aprobando una serie de reglamentos de ejecución (Implementing Acts), el primer bloque de los cuales se adoptó en noviembre de 2024. Estas normas concretan a nivel de detalle especificaciones técnicas, protocolos de seguridad, formatos de credenciales y reglas de interoperabilidad, traduciendo los objetivos de alto nivel de eIDAS2 a requisitos prácticos y de obligado cumplimiento para todos los Estados miembros. El ARF sirve como base para estos reglamentos, que deberán asegurar que las carteras cumplan también con la normativa de protección de datos.
El diseño de eIDAS2 se ha hecho buscando una alineación estrecha con el RGPD, de manera que el tratamiento de datos personales en la cartera respete principios como la minimización de datos, la limitación de la finalidad, la transparencia o el ejercicio de derechos. Por ejemplo, se exige a los proveedores de servicios que actúan como Relying Parties (las entidades que confían en la cartera para identificar a un usuario) que realicen evaluaciones de impacto relativas a la protección de datos cuando sea probable que el tratamiento entrañe un alto riesgo, y que consulten a las autoridades de control en esos casos.
El propio reglamento prevé que la cartera incluya mecanismos para que el usuario pueda seguir y revisar todas las transacciones que realiza: hora y fecha, identidad del servicio con el que ha interactuado, datos solicitados y datos efectivamente compartidos. Además, la EUDI Wallet deberá ofrecer un panel común donde el usuario vea la lista actualizada de proveedores con los que mantiene conexión, los datos intercambiados, y desde donde pueda solicitar la supresión de datos a un proveedor (art. 17 RGPD) o notificar a la autoridad de protección de datos si considera que se le ha pedido información ilícita o sospechosa.
Para evitar usos abusivos y perfiles no deseados, eIDAS2 exige que los datos personales vinculados a la provisión de la cartera se mantengan separados lógicamente de otros datos del proveedor de la cartera, y que la propia cartera no revele a los emisores de credenciales cómo o dónde se están utilizando sus certificados. También se contempla la necesidad de propiedades de no-vinculación entre distintas transacciones y mecanismos de revocación tanto de la cartera como de las credenciales, de manera que se pueda retirar una credencial comprometida sin derribar todo el sistema.
Pese a todo este andamiaje regulatorio, existe un consenso amplio entre investigadores, autoridades y profesionales de que la versión actual del ARF aún tiene lagunas para garantizar plenamente todos estos requisitos de privacidad y seguridad. De ahí que se insista en que las autoridades de protección de datos deberán vigilar de cerca cómo se plasman estos principios en los reglamentos de ejecución y en las futuras actualizaciones del ARF, y en que se fomente la certificación de carteras que realmente cumplan con el RGPD.
Usos cotidianos y casos de uso de la Identidad Digital Europea
La Identidad Digital Europea está pensada para cubrir una amplísima variedad de situaciones de la vida diaria, dentro y fuera de Internet. Gracias a la EUDI Wallet, los usuarios podrán identificarte de manera fiable sin tener que enviar fotocopias del DNI por correo electrónico ni escaneos poco seguros. Estos son algunos de los usos más claros que contempla la normativa y los documentos explicativos de la Comisión:
En el sector público, la cartera permitirá acceder a servicios gubernamentales de cualquier país de la UE: desde solicitar un pasaporte o un permiso de conducir, hasta presentar la declaración de la renta, descargar certificados de nacimiento o comunicar un cambio de domicilio. También facilitará el acceso a información y prestaciones de la seguridad social, así como la gestión de documentos sanitarios, incluida la Tarjeta Sanitaria Europea.
En el ámbito financiero, la Identidad Digital Europea se usará para abrir cuentas bancarias y contratar servicios en otros países sin necesidad de acudir físicamente a una sucursal. La verificación de identidad, que hoy puede ser engorrosa si no se hace presencialmente, pasará a realizarse mediante la cartera, mejorando procesos como la prevención de blanqueo de capitales y permitiendo la captación de clientes transfronteriza con mayor seguridad jurídica.
Otro uso concreto es el de registro de tarjetas SIM. Al asociar una SIM a la identidad digital, se reduce el fraude y se abaratan los costes para los operadores de redes móviles. De forma similar, la cartera permitirá mostrar un permiso de conducción digital, tanto online como físicamente, por ejemplo cuando se alquila un coche en otro país de la UE.
La EUDI Wallet se integrará también en escenarios de firma electrónica de contratos y documentos, sin necesidad de imprimir papeles ni acudir a una oficina. Será posible, por ejemplo, firmar un contrato de alquiler, una póliza de seguros o un acuerdo laboral a distancia, utilizando firmas electrónicas cualificadas emitidas a través de la cartera. Incluso se facilitará la firma de correos electrónicos y otros mensajes electrónicos, reforzando la trazabilidad y autenticidad de las comunicaciones.
En el ámbito educativo, la Identidad Digital Europea permitirá almacenar y presentar títulos académicos, diplomas y certificados de estudios, e incluso un currículum digital estructurado. A la hora de solicitar plaza en una universidad de otro Estado miembro, o de acreditar formación ante un empleador extranjero, bastará con compartir las credenciales pertinentes desde la cartera, sin necesidad de compulsar papeles o traducir documentos cada vez.
En el sector sanitario, será posible reclamar y usar recetas médicas electrónicas en cualquier farmacia de la Unión, así como compartir datos médicos relevantes, siempre con control sobre qué se comparte y con quién. Esto facilitará la continuidad asistencial cuando alguien viva, trabaje o viaje en otro país.
Los desplazamientos también se verán simplificados: la EUDI Wallet permitirá presentar ciertos datos de documentos de viaje, como los del pasaporte o visado, para agilizar los controles en fronteras, aduanas o seguridad aeroportuaria, reduciendo colas y verificaciones manuales.
Otra dimensión importante es la de las identidades digitales organizativas. La cartera podrá demostrar que una persona actúa en nombre de una empresa u organización (por ejemplo, para firmar contratos, presentar escritos ante la administración o contratar servicios corporativos), evitando el intercambio manual de poderes notariales en cada gestión.
Todo esto se complementa con usos de pagos online y autenticación fuerte: la cartera podrá asociar medios de pago y utilizarse como factor de identificación para confirmar operaciones de manera más segura que las soluciones actuales. También ayudará a demostrar la edad o ciertos atributos (por ejemplo, que una persona es mayor de 18 años) sin revelar todos los datos personales subyacentes.
Beneficios y promesas de la Identidad Digital Europea
La Comisión Europea y los distintos organismos nacionales destacan una serie de beneficios clave que la Identidad Digital Europea pretende aportar tanto a ciudadanos como a empresas, proveedores de servicios y a la sociedad en su conjunto. Uno de los más repetidos es que la cartera permitirá un acceso más fácil y uniforme a servicios públicos y privados en toda la UE, reduciendo las barreras administrativas y el papeleo.
Desde el punto de vista de la privacidad, la EUDI Wallet está diseñada para que el usuario tenga control total sobre sus datos personales. Solo se compartirá la información estrictamente necesaria para cada trámite, pudiendo elegir de forma selectiva qué atributos revelar y cuáles no. Se contempla además el uso de seudónimos y técnicas de divulgación mínima, lo que permitirá, por ejemplo, demostrar que se cumple un requisito (edad, residencia, cualificación) sin tener que exponer el resto de datos de identidad.
En materia de ciberseguridad, el reglamento promueve un enfoque armonizado en toda la UE, con requisitos mínimos de seguridad y modelos de certificación que deben cumplir las carteras, y promueve buenas prácticas de higiene digital. La publicación del software con licencia de código abierto para la parte de la cartera se ha planteado como un mecanismo de transparencia: cualquiera puede auditar el código, aumentando la confianza en que no se incluyen puertas traseras o funciones ocultas de seguimiento.
Otro beneficio evidente es la reducción de la burocracia y los trámites presenciales. Procesos que hoy en día requieren múltiples desplazamientos, aportación física de documentos y validaciones manuales (por ejemplo, trámites notariales, registro de poderes, acreditación de titulación) pueden integrarse en flujos 100 % digitales, con firma electrónica y verificación automatizada de credenciales.
Para las empresas y proveedores de servicios digitales, la Identidad Digital Europea ofrece la posibilidad de simplificar y abaratar la autenticación de usuarios, delegando en la cartera la parte más compleja de identificación y verificación de atributos. De este modo se reducen responsabilidades y riesgos asociados a la gestión de datos sensibles, y se evita depender en exclusiva de las grandes plataformas tecnológicas que hoy concentran buena parte de la identidad digital de los usuarios.
En el plano macroeconómico, se espera que el despliegue de la cartera impulse un aumento de las transacciones online seguras, genere nuevas oportunidades de negocio (servicios basados en credenciales verificables, asesoría financiera con datos consolidados, soluciones de eSalud, etc.) y permita reasignar recursos que antes se dedicaban a comprobaciones manuales hacia actividades de mayor valor añadido. Todo ello debería contribuir a un entorno digital más confiable y a un crecimiento económico sostenido.
Riesgos, críticas y desafíos de seguridad y privacidad
Pese a todas estas ventajas, la Identidad Digital Europea no está exenta de controversias y alertas de expertos. Más de 550 científicos e investigadores han señalado puntos débiles del marco eIDAS2, especialmente en lo relativo a la seguridad de la infraestructura de confianza y al potencial de cibervigilancia masiva si no se aplican las salvaguardas adecuadas.
Una de las críticas más sonadas se refiere a la posibilidad de que los Estados puedan preinstalar certificados raíz en los navegadores sin que estos puedan comprobar plenamente su legitimidad, lo que en teoría abriría la puerta a capacidades de interceptación o monitorización del tráfico cifrado. También se ha cuestionado que el texto, tal y como está redactado, pueda facilitar vínculos innecesarios entre gobiernos y grandes proveedores digitales, comprometiendo el principio de no-vinculación.
Expertos en privacidad como la ingeniera Carmela Troncoso, al frente del Laboratorio SPRING de la EPFL, han insistido en que todo depende del diseño concreto de la arquitectura técnica. Hoy por hoy, señalan que no existe todavía una arquitectura final plenamente pública y cerrada, y que, aunque es técnicamente posible construir una cartera muy respetuosa con la privacidad, el margen de diseño es amplio y hay que vigilar que se adopten las tecnologías criptográficas maduras y las mejores prácticas ya disponibles.
Otros especialistas, como los abogados Javier Pascual y María Gracia, apuntan también a los riesgos derivados de que los Estados elijan qué empresas emiten los certificados digitales. Una brecha de seguridad en uno de estos prestadores de servicios de confianza podría tener un impacto enorme al afectar a millones de usuarios, dada la centralidad de la cartera en la vida diaria: salud, finanzas, movilidad, comunicaciones, etc.
Para mitigar parte de estos temores, el reglamento contempla que la cartera pueda funcionar de manera local y offline, almacenada de forma segura en el dispositivo del usuario, sin necesidad de subir todos los datos a la nube. Los sistemas de seguridad propuestos se asemejan a los actuales métodos de certificados electrónicos en móviles: instalación de un software emitido por un proveedor de confianza y uso de contraseñas, factores de autenticación múltiples como el lector de huellas digital USB cada vez que se quiera compartir o firmar algo.
Aun así, investigadores como Juan Tapiador o Javier Sánchez Monedero subrayan que el principal riesgo no es solo técnico, sino también social y de exclusión. Si la Identidad Digital Europea se convierte en el estándar de facto para acceder a servicios básicos, empleo o banca, no usar la cartera puede acarrear un nivel de aislamiento parecido al de no tener smartphone hoy en día. Colectivos con menor competencia digital, como muchas personas mayores, pueden verse especialmente perjudicados si no se prevén alternativas reales y apoyo presencial.
Finalmente, la comunidad académica insiste en que muchas de las garantías que recoge el texto de eIDAS2 (no-vinculación, revocación eficaz, separación lógica de datos, panel de control del usuario) solo se materializarán si el ARF y los reglamentos de ejecución las desarrollan con suficiente precisión. Mientras eso no ocurra, hay una brecha entre los principios proclamados y las implementaciones prácticas.
De eIDAS 2014 a eIDAS2: evolución del marco europeo
Para entender mejor cómo hemos llegado hasta aquí, conviene repasar brevemente la evolución de eIDAS. El Reglamento nº 910/2014 nació como un instrumento para facilitar transacciones electrónicas seguras entre ciudadanos, empresas y administraciones públicas, proporcionando un marco jurídico para la firma electrónica, el sellado digital, los sellos de tiempo, la entrega electrónica certificada y los servicios de confianza en general.
Sin embargo, la experiencia acumulada desde 2014 ha demostrado que el eIDAS original no cubría adecuadamente las necesidades de un sistema europeo de identidad electrónica moderno. Por un lado, permitía que los Estados miembros notificaran voluntariamente sus sistemas nacionales de identificación electrónica, que los demás debían reconocer a partir de 2018, pero no obligaba a todos los países a crear una eID nacional ni resolvía bien la interoperabilidad técnica entre sistemas muy distintos.
La solución que se adoptó entonces fue una especie de superestructura de interoperabilidad para conectar los diferentes sistemas, lo que en la práctica generó problemas técnicos, fragmentación y dificultades para extender el modelo a servicios privados. Además, la directiva presentaba vacíos en cuanto a supervisión de proveedores, detalles de responsabilidad, compatibilidad con nuevas tecnologías y experiencias de usuario verdaderamente sencillas.
El nuevo Reglamento eIDAS2 viene precisamente a cerrar estas brechas. Obliga a los Estados miembros a ofrecer a ciudadanía y empresas una billetera digital oficial que vincule su identidad digital nacional con otros atributos personales (permisos de conducir, diplomas, cuentas bancarias, certificados profesionales, etc.), y permite que estas carteras sean emitidas tanto por autoridades públicas como por entidades privadas reconocidas.
De esta forma, se pasa de un modelo en el que la identificación digital era algo relativamente limitado y poco usado (en España, por ejemplo, a través de sistemas como Cl@ve o certificados para trámites concretos), a un ecosistema integrado de identidad digital en el que la cartera se convierte en la puerta de entrada a un número enorme de servicios, tanto online como offline. La intención es que, a diferencia de lo que ocurría con eIDAS 2014, la ciudadanía pueda usarla de forma masiva y cotidiana.
Impacto práctico: obligatoriedad, grandes plataformas y brecha digital
Sobre el papel, el uso de la Identidad Digital Europea será voluntario para los ciudadanos. Nadie estará obligado legalmente a descargar la app ni a utilizarla. Sin embargo, muchos expertos señalan que, en la práctica, su implantación amplia hará que sea casi imprescindible para una inmensa mayoría de personas, ya que numerosos servicios centrales pasarán a depender de ella.
Por ejemplo, las denominadas plataformas en línea muy grandes (VLOP) reguladas por la Ley de Servicios Digitales (Digital Services Act), como Amazon, Facebook o Booking.com, estarán obligadas a aceptar la cartera de identidad digital europea como mecanismo de autenticación para sus usuarios. Si a eso se suman administraciones públicas, bancos, universidades, aseguradoras, etc., el incentivo a usar la cartera será enorme.
Esta “voluntariedad de derecho, pero obligatoriedad de hecho” plantea desafíos importantes en términos de inclusión digital. Colectivos con menos competencias tecnológicas o con menor acceso a dispositivos adecuados podrían quedar fuera de muchos procesos, del mismo modo que ya ha ocurrido con la migración de la banca tradicional al mundo online, donde muchas personas mayores han tenido dificultades para seguir operando con normalidad.
Se han puesto en marcha soluciones parciales, como quioscos inteligentes o asistencia presencial en ciertas oficinas públicas, pero los expertos advierten de que el problema va más allá de disponer de un dispositivo o conexión: tiene que ver con relaciones de poder, dependencia y necesidad. Si para optar a un trabajo, inscribirse en un curso o acceder a una ayuda se exige aportar credenciales digitales de la cartera, la parte “débil” del proceso no tendrá mucha capacidad de negarse.
Al mismo tiempo, desde el ámbito empresarial y de la administración se subraya que una identidad digital europea bien diseñada puede suponer un freno al fraude, a la suplantación de identidad y a la documentación falsa, lo que redunda en un entorno más seguro para todos. El equilibrio entre estos beneficios y el riesgo de exclusión social será uno de los grandes retos en los próximos años.
Calendario, plazos y próximos pasos
La puesta en marcha de la Identidad Digital Europea es un proceso gradual que lleva varios años en desarrollo. La iniciativa arrancó formalmente en 2021; en 2022 se acordó el enfoque general y, meses después, se publicó un texto provisional. Tras debates intensos y ajustes legales, el Reglamento (UE) 2024/1183 ha entrado ya en vigor, marcando el inicio de la fase más decisiva.
Con la aprobación de eIDAS2, la UE ha fijado un horizonte claro: los Estados miembros deberán poner a disposición de ciudadanos, residentes y empresas al menos una cartera de identidad digital europea antes de que finalice 2026. Este plazo implica que, a lo largo de los próximos años, se deberán completar varias tareas críticas: aprobación de todos los reglamentos de ejecución, maduración y actualización del ARF, desarrollo de las carteras nacionales, pruebas piloto y despliegues progresivos.
En este periodo de transición, seguirá siendo necesario escuchar a organizaciones civiles, expertos en privacidad, industria tecnológica y autoridades de protección de datos para pulir las ambigüedades del texto y resolver las polémicas más encendidas, especialmente en lo que atañe a seguridad criptográfica, gobernanza de certificados, riesgos de vigilancia y exclusión digital.
No existe todavía una fecha única en la que todo el mundo vaya a empezar a usar la cartera de golpe; más bien, veremos un despliegue escalonado, con países que avanzarán más rápido y otros que necesitarán más tiempo para adaptar sus sistemas. Aun así, el compromiso regulatorio de que las carteras estén disponibles a finales de 2026 marca el punto en el que la Identidad Digital Europea debería dejar de ser un proyecto para convertirse en una realidad cotidiana en el conjunto de la Unión.
En este contexto, empresas tecnológicas especializadas en identidad digital, como las que participan en proyectos EBSI Wallets o soluciones descentralizadas, ya están alineando sus desarrollos con el ecosistema EUDI. El objetivo es que las organizaciones puedan integrar la cartera en sus procesos con el menor impacto operativo posible, aprovechando arquitecturas modulares y casos de uso reales en ámbitos como la salud, la ciberseguridad, la banca o los asistentes conversacionales.
La Identidad Digital Europea se perfila así como una pieza central del futuro digital de Europa: una combinación de marco jurídico, arquitectura técnica y aplicación móvil que puede simplificar de manera radical la relación de la ciudadanía con la administración y las empresas, reforzar la seguridad de las transacciones y, al mismo tiempo, abrir debates profundos sobre vigilancia, inclusión, soberanía digital y control efectivo de los datos personales que todavía están lejos de cerrarse.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.