• Tweet

Europa de manera urgente necesita desarrollar una estrategia para proteger la privacidad de los datos almacenados en los esquemas de las tarjetas de identificación nacional, advierte una agencia Europea de seguridad.

La ENISA (Red Europea y Agencia de Seguridad de la Información) argumenta que la vasta disparidad entre las características de privacidad en las tarjetas electrónicas de identidad en toda Europa esta creando un caldo de cultivo de problemas. De manera frecuente, las aplicaciones para las tarjetas de identidad incluyen el uso para declaraciones de impuestos y otro tipo de servicios de gobierno electrónico, pero existen más aplicaciones comerciales más ambiciosas en la línea de espera.

Mientras tanto Europa carece de una estrategia coordinada para definir como proteger los datos almacenados en dichas tarjetas.

Esto a la vez, es un obstáculo para la interoperabilidad y un problema potencial para lograr el afianzamiento de la tecnología, logrando aumentar el uso de la tecnología, advierte ENISA. La fuga de datos almacenados en las tarjetas crea un riesgo de fraude y otro tipo de formas de usos no debidos, pero cada país ha sido dejado a su suerte.

ENISA esta buscando establecer los lineamientos básicos para las tarjetas de identificación europeas, con un artículo en donde fija sus posturas, publicado el martes, en el cual intenta brindar un repaso de el rool de las tarjetas de identificación en Europa siendo este el primer paso en el desarrollo de de una estrategia trasnacional para la tecnología.

"La privacidad es un área básica, los puntos de vista difieren bastante y la identificación electrónica de Europa no va a marchar a menos que entendamos esto", dijo Andrea Pirotti, director ejecutivo de ENISA. "Europa necesita reflexionar en la privacidad de estas tarjetas y el papel que desempeñarán en el reto de la interoperatibilidad. El derecho humano a la privacidad debe permanecer garantizado para todos los portadores de una tarjeta Europea de identificación. Por lo tanto, ENISA continuará su trabajo en esta dirección durante 2009".

Al menos, diez esquemas de tarjetas de identificación existen en Europa en la actualidad en varios países de la Unión Europea, mientras que 13 más se encuentran en fase de desarrollo. Las tecnologías orientadas hacia la privacidad existen, pero sólo han sido desarrolladas, implementadas y probadas en un contexto a nivel nacional.

El artículo se dirige hacia la identificación de once riesgos potenciales en cuanto a la privacidad personal, como resultado del uso de los esquemas de tarjetas de identificación electrónica, así como en la comparación de ocho estrategias de mitigación de los riesgos. Entre los riesgos se incluyen problemas que van desde la simple pérdida de una tarjeta, hasta aplicaciones de rastreo de personas y ataques criptográficos. Las medidas de respuesta incluyen el encriptado, el control de acceso y medidas biométricas.

El análisis busca proveer un punto inicial para "identificar las mejores prácticas y las fuentes de referencia para futuras decisiones tomadas por los creadores de las políticas Europeas", explica ENISA.

La tarjeta de ciudadanía Europea, ICAO y sus especificaciones como pasaporte electrónico son incluidos en el análisis, pero el enfoque principal es la comparación de las especificaciones de las tarjetas europeas de identificación, brindando especial énfasis en las características que garanticen la privacidad. ENISA define a las medidas orientadas a mejorar la privacidad como "cualquier característica de la tarjeta que incremente el control del propietario sobre que datos se permite acceder y a quien".

El artículo de 24 páginas define los detalles a grandes rasgos sobre el papel que deben jugar las tecnologías de identificación electrónica en Europa. Incluye numerosas tablas para la fácil comparación pero no realiza discusiones profundas sobre la gravedad relativa de las amenazas y sobre las relaciones costo-beneficio de las medidas de respuesta, una omisión que permite contar con un análisis más legible. No se ha definido todavía cual sería la mejor práctica, pero al menos el artículo provee de un resumen útil como punto de partida de un futuro debate.

El artículo de ENISA puede ser descargado en su sitio web. La agencia establecida en 2004, trabaja en conjunto con instituciones de la Unión Europea, estados miembro y firmas privadas, para desarrollar prácticas y seguridad informática. Otros artículos recientes han trabajado en aspectos tales como el crimen electrónico y los riesgos de seguridad.