El trabajo que está llevando a cabo esta abogada madrileña en la Comisión Europea busca el desarrollo de una identificación robusta que nos permita manejarnos en el entorno online de manera segura y protegiendo nuestra privacidad.
La abogada Paloma Llaneza (Madrid, 1965) es especialista en protección de datos y en la aplicación del derecho a las nuevas tecnologías, un terreno resbaladizo en el que queda mucho por hacer. Ha publicado recientemente un libro titulado Identidad digital que aborda un concepto de gran complejidad y en cuya definición trabajan un grupo de expertos de la Comunidad Europea, entre los que se encuentra ella.
Llaneza ha formado parte del equipo que ha elaborado la Carta de Derechos Digitales, promovida por la Secretaría de Estado de Digitalización e Inteligencia Artificial. Además, es CEO de la consultora tecnológica Razona LegalTech, y fundadora de The Llaneza Firm. También es creadora y fundadora de Consent Commons y editora en estándares internacionales como ISO, ETSI o ALASTRIA ID.
Por si todo esto no fuera suficiente, también es escritora de ensayos como Datanomics, que trata sobre todos los datos que damos sin darnos cuenta y lo que las empresas hacen con ellos. Y hasta se ha atrevido con la novela negra con el libro Apetito de riesgo.
En la pandemia hemos sido más dependientes que nunca del mundo digital y para desenvolvernos en este ámbito necesitamos una identidad. ¿Pero cómo se define la identidad digital?
Es una buena pregunta. Para empezar, existe un problema legal y es que no está definido el concepto de identidad. Ni siquiera tenemos un derecho a la identidad cómo tal en la Constitución, sino que nace del derecho al libre desarrollo personal y a la dignidad humana.
Aunque todos sabemos lo que es la identidad, ninguno tenemos una idea clara de cómo articularla como derecho. En el siglo XX —y lo digo en el libro— hubo una evolución del concepto. Cada uno se identifica con su sexo, raza, clase social, profesión y con unas determinadas ideas en un momento dado.
Nos interesa la identidad desde un punto de vista legal. Esto es, quiénes somos a la hora de aceptar obligaciones y derechos, cuando firmamos un contrato, una hipoteca [...] y cómo llevamos eso a un entorno digital donde no vemos físicamente a la gente
Es decir, la identidad desde un punto de vista sociológico es evolutiva. A nosotros nos interesa la identidad desde una perspectiva legal. Esto es, quiénes somos a la hora de aceptar obligaciones y derechos, cuando firmamos un contrato, una hipoteca, cuando nos relacionamos con los demás de manera estrictamente legal y cómo llevamos eso a un entorno digital dónde no vemos físicamente a la gente.
No parece una tarea sencilla.
Generalmente, la identidad la relacionamos con el aspecto físico con la parte biómetrica, yo te veo, te identifico y, a partir de ahí, pues te puedo vender algo, o tú firmas algo en una notaría. ¿Cómo trasladamos eso al entorno digital? Hasta ahora hemos tenido muy poco éxito con ese traslado. De hecho, en ese ámbito no somos todavía capaces de determinar si una persona es mayor de edad o no para prestarle determinados servicios.
¿Y cómo se soluciona esto?
Es complicado. Con la pandemia hemos visto lo necesario que es tener sistemas fiables de identificación digital.
En el mundo real, tú naces, tus padres te identifican, hay un certificado médico, pasas por un registro público y a partir de ese momento la identificación se hace de manera presencial. Vas a la comisaría a sacarte el DNI, a tu banco para que identifique para cumplir la normativa de blanqueo de capitales, a la fábrica de Moneda y Timbre o a la Seguridad Social para que te den un certificado digital. Todo ese proceso físico, en el que te identifican mirándote la cara y comparándote con la foto de tu DNI, durante la pandemia no existió y nos dimos cuenta de que era imposible identificar a la gente si no era de manera remota.
Uno de los problemas que tenemos respecto a la identidad es que el que actúa en el entorno digital sea el que dice ser. Hasta ahora, el sistema se ha basado en el análisis de riesgos para detectar el fraude
¿Y esta identificación remota resulta fiable?
En los procesos completamente online es contraintuitivo y, además, no tiene sentido que haya que ir físicamente a un sitio para que te identifiquen en el ámbito digital. De ahí, ha nacido la necesidad de hacer videoindentificación o utilizar técnicas de inteligencia artificial para comparar tu cara con la foto de tu DNI. Pero todo esto que es un proceso que hacemos de manera natural, con nuestros ojos y nuestro cerebro, en el entorno digital es extremadamente complicado porque el sistema se puede hackear, la gente puede mentir o falsear un vídeo, maquillarse para parecer otra persona, etc. Lo que hemos comprobado es que los procesos del mundo físico cuando los llevas al entorno digital se complican mucho, y el de la identidad no es una excepción.
A pesar de que hablemos maravillas de la digitalización, todo se complica en este entorno porque tienes que cumplir más normas y además tienes que estar técnicamente más preparado.
Portada del libro Identidad digital./ Álvaro Muñoz Guzmán, SINC
Sin una identificación digital propiamente dicha, ¿cuáles son los riesgos que se afrontan?
Uno de los problemas que tenemos respecto a la identidad es que el que actúa en el entorno digital sea el que dice ser. Hasta ahora, el sistema se ha basado en el análisis de riesgos. Por ejemplo, yo asumo que tú eres quien dice ser, pero no te dejo operar con sumas muy grandes. Así, puedo venderte online una tostadora, pero no un coche porque el riesgo es que haya un rehúse de la operación —que puedas decir que no has comprado ningún coche— es de unos 30.000 euros. En cambio, si me equivoco contigo cuando te vendo la tostadora, asumo ese riesgo.
Lo que no se cuenta es que los sitios online tienen sistemas de análisis de fraude muy avanzados para saber cuántas personas no son los que dicen ser. Tampoco se habla de cuántas operaciones resultan fallidas. Cuanto mejor es el sistema, menos fraude hay, pero ha habido épocas en las que ha habido mucho fraude.
Otro de los riesgos más preocupantes es el de menores de edad que entran en juegos online inadecuados, en páginas porno, webs de bebidas alcohólicas, etc. Solo se les pregunta la fecha de nacimiento y ellos pueden poner la que quieran.
¿Y cómo se puede avanzar en este sentido?
El trabajo se encamina a ser capaces de atribuir a personas reales lo que sus avatares hacen en internet. Estamos en esa tesitura, Por un lado, ha habido una modificación que está en trámite del reglamento de firma electrónica, que regula la identidad electrónica y a los prestadores de servicios de confianza.
Por otro, expertos de la Comunidad Europea estamos trabajando en un nuevo entorno, basado en una tecnología bastante punk, que es lo que se llama la self-sovereign identity (SSI), las identidades soberanas, que están inspiradas en blockchain.
¿En qué consiste y por qué dices que es muy punk?
Es que es muy punk, como el propio blockchain, parte de la idea de que la identidad es tuya y tú la gestionas, que no es algo que te otorgue el Estado. Es muy interesante ver cómo la identidad evoluciona a lo largo de los años, de los siglos y ahora lo que la gente quiere es recuperar la soberanía sobre su propia identidad digital.
Está basado en un concepto de privacidad y de que el Estado no es quién para decir quién soy yo. Partiendo de esa idea, se genera toda una tecnología que, fundamentalmente, lo que establece es que puedes tener una aplicación en el móvil —por ponértelo muy aterrizado— y en esa aplicación no guardas datos personales, sino atributos tuyos.
Expertos europeos estamos trabajando en un nuevo entorno, basado en una tecnología bastante ‘punk’, que es lo que se llama identidades soberanas, inspirada en ‘blockchain’ y que no manejará datos personales, sino atributos
¿Qué tipo de atributos?
Por ejemplo, en vez de decir tu fecha de nacimiento, dices que eres mayor de edad. Te pongo otro ejemplo, ahora hay muchísimas empresas de alquiler de coches y cada vez que alquilas uno tienes que dar muchos datos, los del carnet de conducir, de la tarjeta de crédito... Les das toda esa información a compañías que no sabes cuánto van a durar. Vas repartiendo datos por ahí y algunos son críticos. Y luego están todos los que generas con el vehículo, que también se asociarán a tu identidad. Con la tecnología SSI, podrías intercambiar con esas empresas únicamente que tienes carnet de conducir y capacidad para pagar. Por su parte, la Dirección General de Tráfico informará de que tienes todos los puntos y el Registro Civil o tu banco, que eres mayor de edad. Y luego esos atributos los intercambias sin necesidad de suministrar más datos personales.
¿Además de mejorar la privacidad, qué otras ventajas tiene esta tecnología?
Sería mucho más usable, por ejemplo, que la firma electrónica, cuya utilización es más engorrosa. Todos la tenemos instalada en el DNI y casi nadie la usa porque es un rollo. Te la activa la Policía, pero a los dos años caduca el certificado y nadie lo renueva. Ha sido una inversión enorme que no ha valido para nada, ¿por qué? Porque la gente vive en movilidad, la gente vive en su teléfono móvil.
La propuesta en la que ahora estamos trabajando está inspirada, como decía, en la tecnología SSI, se van a utilizar protocolos que se proponen por instituciones internacionales de estandarización. Es un modelo que gusta mucho en EE UU, por eso creo que va a tener éxito. Los wallets [carteras] y las aplicaciones en donde tendríamos la identidad con nuestros atributos las emitirían los Estados miembros, es decir, que de alguna manera mantienen el control sobre la emisión de los medios de identidad, aunque luego tus atributos los gestiones tú.
Los ‘wallets’ [carteras] y las aplicaciones en donde tendríamos la identidad con nuestros atributos las emitirían los Estados miembros, aunque luego tus atributos los gestiones tú
Ya hay un proyecto piloto en marcha, tras un acuerdo firmado por los Gobiernos de España y Alemania, de este modelo de identificación digital que tenga en cuenta la soberanía de nuestros datos.
¿Tu papel en todo esto cuál está siendo ahora mismo?
He trabajado en la redacción de la Carta de Derechos Digitales, junto con un equipo estupendo de juristas y la propia Administración y ahora formo parte de un grupo de trabajo de estandarización europeo. Hay dos entidades de estandarización en Europa: CENELEC y ETSI y, dentro de esta última, estamos generando toda la estandarización para poder desarrollar ese reglamento, que establece principios legales, pero todo eso tiene que tener documentos técnicos para poderlo llevar a efecto.
¿Cuáles son estos derechos?
En el ámbito de la identidad, tener derecho a la identidad digital en el entorno online y que esa identidad sea robusta, que nadie la ataque, la pueda suplantar o manipular. Para eso, los poderes públicos tienen que articular medidas que permitan que las normas técnicas y los entornos sean lo suficientemente seguros.
Ten en cuenta que el documento es una carta de derechos generales y como toda carta necesita luego una aplicación y eso dependerá de cómo lo lleve a cabo el Gobierno, no depende de nosotros, los expertos.
El derecho a la identidad digital ha de garantizar que sea robusta, que nadie la ataque, la pueda suplantar o manipular. Para eso, los poderes públicos tienen que articular medidas para que las normas técnicas y los entornos sean seguros
¿Crees que al final iremos a este tipo de modelo de identidades soberanas, basadas en atributos que comentabas?
La Comisión Europea ha apostado firmemente por este modelo. En este sentido, la UE ya está trabajando en una iniciativa que revisará el Reglamento eIDAS de 2014, sobre transacciones electrónicas, haciéndolo extensivo al sector privado y promoviendo identidades de confianza para todos los europeos.
Es cierto que luego los Estados miembros decidirán si quiere adoptar este modelo. Hay países que están a favor y otros, muy en contra, como Francia. Tal vez los franceses consideren que es una especie de intromisión en su sistema centralista, no lo sé. Otros, en cambio, están muy a favor, es el caso de Alemania y lo mismo ocurre con España. Creo que debemos ser muy realistas porque el sistema actual funciona muy limitadamente y tenemos un problema legal grave. Estamos poniendo a la gente a moverse en el mundo digital sin una seguridad sobre su identidad. Si no sabes con quién estás tratando, pues apaga y vámonos.
Además estos problemas quedaron muy en evidencia en la pandemia
Es una asunción de buena fe, se asume que alguien es el que dice ser, pero si estás gestionando un negocio o estás emitiendo firma electrónica o tienes un banco que tiene que cumplir con la normativa de blanqueo de capitales, ¿cómo puedes saber que no se está infiltrando el Estado Islámico, a través de identificaciones mal hechas? Es muy complejo. Hemos dado un salto enorme porque todo ha funcionado así en el entorno digital. Primero hemos hecho el tejado y hemos asumido que el resto funcionaría y, hasta ahora, no ha funcionado.
La impresión es que muchas veces la tecnología va demasiado rápido y los que están detrás de los desarrollos no se paran a pensar en detalles tan importantes como tener una identidad digital.
En general, lo que nos pasa con la tecnología y con ciertos tecnólogos es que no tienen en cuenta la parte ética, algo que sí sucede en otros ámbitos como la investigación genética. Sin embargo, en el ámbito técnico de internet si algo se puede hacer, se hace. Nadie se pregunta si es bueno o si vale para algo, ni si es éticamente conveniente. Y, por supuesto, los que nos dedicamos al mundo del derecho y la regulación somos unos antiguos, somos el ‘doctor no’. Los que nos preocupamos por la dignidad humana y la democracia estamos ahí, supuestamente, para entorpecer el desarrollo tecnológico y, muchas veces, ese desarrollo es la última tontería que se le ha ocurrido a un adolescente prolongado en Silicon Valley y, a veces, te dan ganas de decir... Pues bueno, es que a lo mejor no se tenía que haber hecho.
En el ámbito de internet si algo se puede hacer, se hace. Nadie se pregunta si sirve o si es ético y, por su puesto, los que nos dedicamos al derecho y la regulación somos unos antiguos y estamos ahí para entorpecer el desarrollo tecnológico, que muchas veces, es la ultima tontería de un adolescente prolongado en Silicon Valley
Ya sé de qué hablas, por ejemplo, Facebook quiso sacar un Instagram para niños y al final se echó para atrás por las críticas.
Son tremendos. Bueno, daría igual porque la mitad de los niños ya están en esa red porque no hay un control de edad. Pero con técnicas de estudio del comportamiento, saben perfectamente cuántos menores de edad tienen. Se echaron para atrás en el lanzamiento de esta red para niños, después del escándalo que se montó tras la publicación de un artículo en The Wall Street Journal que mencionaba, entre otras cosas, los efectos que tiene Instagram en la salud mental de los menores.
Paloma Llaneza en su despacho con su perra Rosca. / Álvaro Muñoz Guzmán, SINC
En una entrevista leí que te diste de baja de casi todas las redes sociales.
Sí me borré de todas las redes, soy una friki de la protección de datos, pero sigo en Twitter y sé perfectamente lo que hace esta red con mis datos. De hecho, estoy trabajando ahora en un proyecto de privacidad muy interesante, del que todavía no puedo hablar. En cambio, sí te puedo contar una iniciativa llamada Consent Commons, que es como Creative Commons, pero con el consentimiento, y nos la ha premiado la Agencia de protección de Datos.
Se trata de un sistema iconográfico de privacidad que permite de un vistazo resumir la información legal necesaria para recoger el consentimiento cuando se recaban datos de personas físicas en entornos online. El objetivo es facilitar la comprensión utilizando un formato digital, atractivo, comprensible y funcional. Lo he puesto en marcha junto con una agencia de publicidad. Y ya lo hemos implantado en Renfe y en Telefónica. Es libre y gratuito.
Estudiaste derecho y también informática. Ahí ya se veía tu interés por mezclar ambas materias.
También estudie derecho comunitario en Brujas, luego trabajé en una firma internacional y volví a España. A partir de un determinado momento, me vinculé al mundo de la estandarización técnica por la parte de la gestión de la seguridad. Además, me interesó mucho el ámbito de la ingeniería y me dedico al derecho de nuevas tecnologías. Últimamente, me he centrado más en la identidad digital.
Todo esto no quiere decir que dentro de dos años siga aquí, soy muy curiosa. Y otra opción es abrir un hotelito en Vietnam y dedicarme a mirar cómo cae el monzón, en plan regia como Catherine Deneuve en la película Indochina [risas].