Opinión

Necesitamos una identidad soberana autogestionada (pero todavía no lo sabemos)

Casi nadie cree que tenga que menester un invento nuevo para su identidad digital.

Si nos dicen que es autogestionada, posiblemente pensaremos que es un dolor de cabeza nuevo; si añaden que es soberana, quizás encontraremos que como podemos ser soberanos de una cosa digital, un terreno sobre el que a menudo no sabemos para que sirven un buen puñado de cosas. En realidad, ni siquiera sabríamos decir si las necesitamos antes de que no las tenga todo el mundo y nos parezca que ha llegado la hora de ponerse.

En el supuesto de que nos ocupa, el SSI (Self-Sovereign Identity o identidad soberana autogestionada) no es un nuevo producto digital más, sino nuestra dignidad y voluntad a la hora de usar miles de servicios digitales. O quizás millones, porque todo aquello que pueda ser software será software.

El objetivo del SSI es que los millones de servicios digitales sensibles que nos esperan sean tan respetuosos con nuestra privacidad como nosotros decidimos.

Por ejemplo, el gimnasio.

Cómo lo hace

Para explicar como lo hace, primero hay que aclarar donde lo hace. La respuesta es donde quieras o sino, el acrónimo SSI no tendría la segunda S de soberano .

Así, el SSI consiste en una cartera donde guardar toda nuestra información personal: fotos que sirvan para identificarnos a los servicios de reconocimiento facial, DNI, pasaporte, certificado de familia numerosa, de residencia, de estudios, salud, direcciones de correo digital y postal, lugares que tenemos en internet, etc. Guardaremos la cartera allí donde queramos: el móvil, al cloud, en un ordenador propio o incluso fuera de línea dentro de una memoria.

Qué pintan los gobiernos?

Es muy fácil que os preguntéis qué pinta el gobierno en todo ello. A la postre, la Generalitat anunció hace nada un SSI: El IdentiCAT.

"La identidad digital tendría que hacer mucho más más fácil la Administración Digital; que no haya que recorrer mesas (o ventanillas) buscando certificados y evidencias que nos sirvan para hacer trámites con otras administraciones, empresas y organizaciones"

En la rueda de prensa por la presentación de la IdentiCAT surgieron las primeras preguntas sobre el papel del Govern. A continuación, algunos periodistas patrióticos españoles, presuntamente entendidos en tecnología, dijeron la suya alrededor del concepto independencia. Como no podía ser de una otro manera, a continuación se unieron políticos con ganas de alborotar el gallinero. No tienen que sufrir; el SSI también está pensado para ayudar a los refugiados. Si algún día sus compatriotas tienen que huir de Catalunya apresuradamente, porque no pueden más, partirán con toda la documentación hecha en Catalunya, cosa que simplificará considerablemente su repatriación.

En el último párrafo tenéis, de paso, otro motivo importante para el SSI: que los refugiados nunca pierdan su identidad y puedan tener toda documentación necesaria para rehacer sus vidas en otro lugar.

El SSI tiene en cuenta los gobiernos porque no puede ser de otro modo: son los emisores de identidad más preparados -hasta ahora-.

En el hospital, al nacer, el personal acreditado dice quién sois porque lo pregunta a los progenitores. La información, firmada, va a parar al Registro Civil. Aquí empieza todo y con suficientes garantías -de momento no tenemos de mejores-.

En el Estado español la indentidad acaba en un DNI -pero no es así por todas partes-. Pronto, el DNI también podrá ir en vuestra cartera SSI. Cuando llegue, quedará validada con blockchain, cosa que garantizará que aquello que dice quién sois, y que es cierto, nadie puede alterar. A la vez estará guardada out-chain para garantizar la privacidad.

"Si los catalanes tenemos una cosa diferente, en el Estado español creen que es o sospechosa o para molestar. De la lengua hasta la identidad digital"

Esta es la primera pasa del SSI: establecer un yo auténtico. En este momento, el yo auténtico lo nombra la Administración pública, de la cual la Generalitat forma parte.

A continuación, cuando hayamos comenzado nuestra cartera SSI, podremos pedir un buen puñado de información personal administrativa a la Administración. Cada documento que entre, recibirá garantías de autenticidad intermediado blockchain.

El papel del gobierno se limita a ser emisor de datos personales administrativos auténticos. También tiene que estar preparado para recibirlas mediante SSI. Todo ello, en teoría, tendría que hacer mucho más más fácil la Administración Digital; que no haya que recorrer mesas (o ventanillas) buscando certificados y evidencias que nos sirvan para hacer trámites con otras administraciones, empresas y organizaciones.

También necesitaremos leyes para hacerlo posible; las futuras leyes de Sociedad Digital tendríamos que hablar de SSI. Hasta que una ley no lo diga, la buena tecnología es sólo algo opcional y circunstancial.

Los gobiernos también pueden ofrecer un lugar donde guardar nuestra cartera SSI al cloud público. De momento, desde la Generalitat no han dicho que esté en sus planes, y se han referido al móvil. La evolución real del proyecto servirá para saber qué espacio IdentiCAT propone para la cartera.

El papel de las empresas

Las empresas también podrán entregar los documentos personales para que los guardemos en la cartera SSI. Por ejemplo, el gimnasio puede enviarnos un atributo que después abrirá la puerta. También será posible en el futuro, quizás, usar datos biométricos con SSI para entrar con reconocimiento facial.

Y ahora viene cuando nos asustamos al hacer futurismo: "Reconocimiento facial en el gimnasio!?"

"Si hoy podemos entrar pagando en efectivo y sin decir quién somos, con SSI podremos hacer exactamente lo mismo, pero -atención- disfrutando de todos los servicios personalizados que puedan ofrecer los gimnasios del futuro equipados con inteligencia artificial"

Sí, pero soberano porque detrás de este reconocimiento facial podrá haber los principios de la Identidad Soberana Autogestionada -por cierto, todavía no sabemos si la llamaremos ISA-.

¿Hará falta que hayáis pasado vuestra foto, como dato personal, para que la guarden y que sirva para abriros la puerta? No. SSI permite que el gimnasio esté autorizado a preguntar si es cliente la persona ante la cámara de reconocimiento facial. La respuesta será un breve o no . No habrá que decir quién es el cliente en cuestión; hay que subrayarlo porque es importante: sólo un o uno no. Al principio se le dice Zero Knowledge Proof (o ZKP) y es una característica del SSI.

La diferencia, a la que hará falta que todo el mundo se adapte, es que no habrá que dar los datos en bruto para recibir servicios. Daremos los mínimos datos necesarios, que en el caso del gimnasio son las que necesite para cumplir sus obligaciones legales. Si hoy podemos entrar pagando en efectivo y sin decir quién somos, con SSI podremos hacer exactamente lo mismo, pero -atención- disfrutando de todos los servicios personalizados que puedan ofrecer los gimnasios del futuro equipados con inteligencia artificial.

Al irnos, no sabrán quién somos. Sólo que ha entrado alguien autorizado, y que ha usado tal y cual cosa. Incluso. Si fuera el caso que para usar algún servicio hiciera falta un certificado médico, lo podríamos llevar en la cartera SSI y permitir la consulta a los sistemas del gimnasio, pero sin decir quién somos. Insisto: Zero Knowledge Proof.

Todo ello es posible gracias al blockchain, que hace que los de SSI tengan todas las garantías. Las transmisiones de datos y nuestra identificación, a pesar de que revelada pero auténtica, es posible gracias a nuevos estándares tecnológicos abiertos. En esto trabaja el núcleo de internet: W3C. En la Fundación DIF (Decentralized Identity Foundation) preparan estándares. También hace trabajo el RWoT (Rebooting Web of Trust) y el IIW (Internet Identity Workshop).

No hará falta el carné para entrar al gimnasio, pero puede pasar que necesitamos acreditar que vamos regularmente para tener descuento en el seguro de vida. Aunque seamos anónimos para el gimnasio, tendríamos que poder cargar nuestras visitas en la cartera. Cada año, al renovar la póliza, permitiremos que la aseguradora las consulte.

La aseguradora nos pedirá más datos de la cartera. Tendrá que guardar algunas en sus sistemas por motivos estrictamente legales. Quizás quiere alguno más porque es su forma trabajar. Lo sabremos porque los tenemos que ceder desde nuestra cartera. Si no nos parece bien, podremos buscar otra aseguradora. O quizás ceder algunos datos más y pagar otro precio por la póliza.

"La Identidad Soberana Autogesionada tendrá efectos económicos, porque los datos personales tienen mucho valor y SSI cambiará como las empresas las reciben"

La Identidad Soberana Autogesionada tendrá efectos económicos, porque los datos personales tienen mucho valor y SSI cambiará como las empresas las reciben. Tendrán las indispensables. Ahora las regalamos sin límites y sin saber muy bien en que consiste nuestro obsequio. Esto no cambiará de golpe, pero cuando tengamos la herramienta -SSI- el cambio será inevitable. El nuevo panorama no significa que no nos puedan dar servicios digitales ultra-personalizados, que es la excusa que usan ahora para conseguir el máximo de datos personales.

Para cuándo?

Si habéis llegado hasta aquí, quizás ahora sí, que queréis tener una Identidad digital Soberana Autogestionada.

Poco a poco, que todo esto es muy nuevo. Promete pero todavía está en los inicios.

El anuncio del IdentiCAT es una buena noticia porque lo tendremos antes. A escala internacional hay bastante garantías para que la SSI no se deshinche.

En el ámbito gubernamental, acaban de ponerse el eIDAS, que es una regulación y un conjunto de estándares por la identidad digital dentro de la Unión Europea.

A nivel tecnológico trabajan las organizaciones antes mencionadas, entre las que destaca el consorcio W3C y la Fundación DIF. Su objetivo es que SSI esté a la altura de estándares tan conocidos como por ejemplo HTTP o SMTP.

"Si Microsoft se pasa al SSI, su sistema de identidades nos gustará más que el de Google o Facebook, y lo saben"

Finalmente parece que Microsoft está muy interesada. Un buen puñado de años atrás no consiguieron que su Microsoft Passport triunfara, ahora convertido en el Microsoft Account. Han llegado tarde cuando casi todo el mundo usa las identidades de Facebook y Google para abrir cuentas por todas partes. Si Microsoft se pasa al SSI, su sistema de identidades nos gustará más que el de Google o Facebook, y lo saben. Es una nueva oportunidad para ayudarnos a olvidar una época reciente que les hizo bastante daño, la de Ballmer, que era un tipo de Trump de la tecnología.

Todo ello es una sospecha personal; sin la fuerza de alguien como Microsoft, no me salen las cuentas de la predicción que Gartner hizo en 2016 sobre el SSI, y que dice que en 2022 lo usaremos un 40% de quienes tenemos identidad digital. En casa de Gartner suelen acertarlas.

El proyecto IdentiCAT es oportuno por el momento en que se encuentra el SSI, justo antes de la disrupción, cosa que permite protagonizarla. Es osado por el momento político; hace años que no se oía tanto eco por un proyecto tecnológico. También demuestra una buena visión de los técnicos de la Generalitat que lo han impulsado; podemos estar satisfechos porque cuestan de encontrar, en los gobiernos.

De paso, ha confirmado aquel principio que dice que, si los catalanes tenemos una cosa diferente, en el Estado español creen que es o sospechosa o para molestar. De la lengua hasta la identidad digital.