La identidad digital ha dejado de ser una simple herramienta de autenticación y debe entenderse como una proyección de la persona en entornos marcados por datos, perfiles, reputaciones e inferencias. Esa es la tesis central del artículo firmado por Lorenzo Cotino, presidente de la Agencia Española de Protección de Datos, y publicado el 6 de abril de 2026, en el que se plantea la necesidad de reforzar su protección jurídica ante los nuevos riesgos tecnológicos.
Un derecho con base internacional y reconocimiento en España
El análisis sitúa el reconocimiento jurídico de la identidad en el artículo 6 de la Declaración Universal de Derechos Humanos y en el artículo 16 del Pacto Internacional de Derechos Civiles y Políticos. En el caso de los menores, recuerda que el artículo 8 de la Convención sobre los Derechos del Niño protege el derecho a preservar su identidad, incluidos el nombre, la nacionalidad y las relaciones familiares.
Como referencia internacional, se cita la sentencia de la Corte Interamericana en el caso de las niñas Yean y Bosico contra República Dominicana, de 8 de septiembre de 2005, que vinculó la privación de identidad con la exclusión del acceso a derechos y con situaciones de discriminación.
En España, el artículo 53 de la Ley 20/2011 del Registro Civil reconoce el derecho al nombre y a su inscripción registral como elemento básico de la identidad civil. A ello se suma la Ley Orgánica 4/2015, que en su artículo 8 reconoce el derecho de los españoles a obtener el DNI y en el 13 regula la acreditación de la identidad de los extranjeros en España.
Identificación electrónica y nuevas carteras digitales
El texto repasa también la normativa sobre identificación electrónica. La Ley 39/2015 reconoce en su artículo 13 el derecho a obtener y utilizar medios de identificación y firma electrónica, regula los sistemas de identificación electrónica en el artículo 9 y fija en el artículo 10 los medios de firma admitidos en el procedimiento administrativo.
En el plano europeo, el Reglamento eIDAS establece un sistema jurídico completo para la identificación electrónica y obliga a los Estados miembros a reconocer determinados medios de identificación y a permitir su uso en los servicios públicos digitales.
La revisión de ese marco y el despliegue de la cartera europea de identidad digital abren, sin embargo, nuevos frentes. El artículo advierte de riesgos ligados a la minimización de los atributos compartidos, la posible trazabilidad de su uso y la correlación o reutilización de información. Esos escenarios, añade, han sido analizados tanto por la AEPD como por el Supervisor Europeo de Protección de Datos, que alerta de riesgos de vinculación entre usos de credenciales, de sobreidentificación y de la necesidad de aplicar de forma efectiva la protección de datos desde el diseño y por defecto.
Gemelos digitales, perfilado y suplantaciones
Entre los problemas asociados a la identidad digital, el artículo identifica la generación de gemelos digitales capaces de replicar el comportamiento de una persona, el uso de sistemas de perfilado y puntuación, y la persistencia y utilización de identidades digitales tras el fallecimiento.
El texto conecta esos riesgos con la Carta de Derechos Digitales de 2021, que en su apartado II establece que el derecho a la propia identidad es exigible en el entorno digital. Ese documento reconoce el derecho a gestionar la propia identidad, sus atributos y acreditaciones, y afirma que la identidad no puede ser controlada, manipulada o suplantada por terceros contra la voluntad de la persona. También reconoce el derecho al pseudonimato.
En el ámbito de las neurotecnologías, el apartado XXVI de esa misma Carta exige garantizar el control de cada persona sobre su propia identidad, junto con su autodeterminación y el dominio sobre los datos relativos a sus procesos cerebrales. El texto precisa, no obstante, que la Carta de Derechos Digitales no tiene valor normativo vinculante.
El RGPD como marco de protección
Frente a esos riesgos, el artículo sitúa al Reglamento General de Protección de Datos como uno de los instrumentos principales para abordar los elementos de la identidad digital, a partir del concepto amplio de dato personal y de los principios de exactitud, minimización, limitación de la finalidad, integridad y confidencialidad.
En esa línea, sostiene que conductas como la usurpación o la suplantación de identidad encajan en muchos casos en tratamientos de datos personales sin base jurídica, lo que activa las garantías previstas en el RGPD. Entre ellas menciona el derecho de acceso del artículo 15 y los derechos de rectificación, supresión, oposición y limitación del tratamiento regulados en los artículos 16, 17, 21 y 18.
El reglamento europeo incorpora además garantías específicas frente a decisiones automatizadas y elaboración de perfiles cuando produzcan efectos jurídicos o afecten de forma significativa a una persona.
El precedente danés ante los deepfakes
El artículo fija también la atención en Dinamarca, donde en 2025 el Gobierno presentó con amplio respaldo parlamentario un proyecto de reforma de la legislación de derecho de autor para responder a los deepfakes y a las imitaciones digitales hiperrealistas generadas mediante inteligencia artificial.
Esa iniciativa introduce nuevas disposiciones en la ley danesa para reforzar la protección frente a reproducciones digitales no consentidas de la apariencia, la voz o los rasgos distintivos de una persona. El modelo permitiría a la persona afectada exigir la retirada del contenido, el cese de su utilización y, en su caso, una compensación por daños. También prevé una protección reforzada para artistas intérpretes y mantiene excepciones tradicionales como la parodia o la sátira.
En España, este debate se está abordando además en el marco de la reforma del Estatuto del Artista impulsada por el Ministerio de Trabajo y Economía Social. En ese proceso se han planteado medidas para regular el uso de sistemas de inteligencia artificial generativa en la producción cultural, con acuerdos expresos para determinados usos, posibles compensaciones económicas y límites a la sustitución del trabajo artístico humano.
Una línea de trabajo abierta en la AEPD
El texto se enmarca en una línea de reflexión más amplia sobre identidad digital y protección de datos, en conexión con otros materiales difundidos por la División de Innovación y Tecnología de la AEPD sobre eIDAS2, la cartera europea de identidad digital y el RGPD durante 2025. La idea de fondo es que la defensa de la identidad ya no se limita a acreditar quién es una persona, sino que alcanza también al control sobre cómo es representada, perfilada y utilizada en el entorno digital.