En el décimo episodio del Podcast del Observatorio de Privacidad y Derechos Digitales de AUTELSI, tuvimos la oportunidad de conversar con Esteban Morrás, cofundador y presidente de Veridas y miembro de la Fundación Hermes, una de las voces más autorizadas en el ámbito de la identidad digital y la biometría aplicada con garantías de privacidad. La conversación giró en torno a una cuestión tan compleja como esencial: cómo garantizar la identidad de las personas en el entorno digital sin sacrificar derechos fundamentales.

Desde el inicio del diálogo, quedó claro que la identidad no es un mero atributo técnico, sino un derecho fundamental reconocido en el artículo 6 de la Declaración Universal de Derechos Humanos. Sin embargo, la transformación digital ha tensionado este derecho de una forma inédita. A diferencia del mundo físico, donde la suplantación de identidad se percibe social y jurídicamente como un delito grave, en el entorno digital esta práctica se ha normalizado peligrosamente, diluyendo la percepción de riesgo y fomentando espacios de impunidad.

Esteban explicó con claridad esta brecha entre el mundo físico y el digital. Mientras que nadie concibe subirse a un avión con el documento de otra persona, en internet es habitual crear identidades ficticias para opinar, denostar o causar perjuicios a terceros sin consecuencias aparentes. Este fenómeno, advirtió, erosiona la confianza y amenaza la propia sostenibilidad del espacio digital. Por ello, defendió la necesidad de incorporar una capa fiable, segura y privada de verificación de identidad real, especialmente en aquellos contextos en los que pueden verse afectados derechos de terceros.

La experiencia de Veridas resulta especialmente ilustrativa para entender cómo abordar este reto. Hace ya una década comenzó a gestarse su propuesta tecnológica, impulsada por una necesidad muy concreta del sector bancario: permitir la apertura de cuentas a distancia cumpliendo con las exigencias de la normativa de prevención del blanqueo de capitales. A partir de ese contexto, se desarrolló un proceso de verificación de identidad basado en dos pilares tecnológicos: la comprobación de la autenticidad del documento de identidad y la verificación biométrica mediante reconocimiento facial, comparando a la persona con la imagen del documento presentado.

Este enfoque no solo respondía a una necesidad de negocio, sino a una obligación legal y ética. Como subrayó Esteban, ningún banco puede permitirse sistemas que faciliten la suplantación de identidad. De hecho, la biometría moderna surge precisamente como un mecanismo para reforzar la seguridad, garantizar la autenticación fuerte y proteger tanto a las entidades como a los ciudadanos.

La conversación avanzó hacia uno de los grandes cambios de paradigma que se están produciendo en Europa: la identidad digital soberana y el futuro despliegue del European Digital Identity Wallet, en el marco del reglamento eIDAS 2.0. Frente a modelos anteriores de identidad centralizada o federada, en los que el ciudadano pierde el control sobre sus datos, la identidad soberana sitúa a la persona en el centro. Todas las credenciales se almacenan en una cartera digital bajo control del usuario, que decide qué datos comparte, con quién y para qué finalidad, manteniendo además una trazabilidad completa.

Este modelo no solo refuerza la privacidad, sino que materializa principios clave del RGPD como la minimización del dato, la transparencia y la responsabilidad proactiva. Un ejemplo muy ilustrativo es la posibilidad de acreditar únicamente un atributo, como ser mayor de 65 años para obtener un descuento, sin necesidad de revelar nombre, documento o cualquier otro dato personal innecesario.

Uno de los momentos más técnicos y, a la vez, más reveladores del episodio fue la explicación de las referencias biométricas renovables. Esteban detalló cómo la biometría tradicional, diseñada originalmente para el intercambio de datos entre policías y sistemas fronterizos, planteaba serios riesgos si una base de datos era comprometida. Frente a ello, la investigación científica europea ha desarrollado modelos en los que las representaciones biométricas ya no permiten reconstruir la cara original, ni siquiera en caso de ataque.

Estas referencias se basan en posiciones relativas dentro de grandes bases de entrenamiento, no en valores directos de los rasgos físicos. El resultado es un salto cualitativo en privacidad: aunque un atacante obtuviera la referencia biométrica, no podría utilizarla para suplantar a la persona en otros contextos. Hasta la fecha, no se ha documentado ningún caso en el que se haya logrado reconstruir una identidad a partir de este tipo de referencias, lo que refuerza su fiabilidad.

El debate abordó también una preocupación muy presente en la sociedad: el miedo a la vigilancia permanente y a la pérdida de anonimato. En este punto, Esteban aportó una reflexión clave basada en el sentido común. La identidad real debe utilizarse únicamente cuando sea estrictamente necesario, por ejemplo, en situaciones de fraude, riesgo para la seguridad o cuando están en juego derechos de terceros. En otros contextos cotidianos, la acreditación de identidad carece de justificación.

Este enfoque conecta directamente con la regulación europea, que distingue entre distintos factores de autenticación y permite modular el nivel de identificación según el riesgo. Vivir en un anonimato absoluto, señaló gráficamente, equivaldría a una sociedad en la que nadie muestra su rostro, generando desconfianza estructural. La clave está en el equilibrio: proteger la privacidad sin renunciar a la confianza.

Como conclusión, este décimo episodio del podcast refuerza una idea central: la identidad digital no es solo una cuestión tecnológica, sino jurídica, ética y social. Contar con mecanismos fiables de verificación, alineados con la regulación europea y diseñados desde la privacidad, es indispensable para combatir el fraude, proteger derechos y construir un entorno digital más seguro y humano.

La visión compartida por Esteban Morrás apunta a un futuro cercano en el que cada persona gestione su identidad desde una única cartera digital, sin contraseñas ni llaves físicas, accediendo de forma segura tanto a espacios digitales como físicos, y compartiendo únicamente los datos imprescindibles. Un futuro que, más que una promesa tecnológica, se presenta como una necesidad inaplazable.

Gracias a Esteban por compartir su experiencia y su visión, y por recordarnos que la confianza es el verdadero pilar sobre el que debe construirse la identidad digital.

Oscar López, Presidente del Observatorio AUTELSI de Privacidad y Derechos Digitales  y presidente del Grupo de Regulación de AUTELSI y CEO UBT Legal & Compliance