Firma electrònica i RGPD: guia per a DPO

Quines dades personals tracta una solució de firma?

Una plataforma de firma electrònica tracta diverses categories de dades personals.

• Identitat del signatari: nom, cognom, email, número de telèfon
• Contingut dels documents: potencialment dades personals sensibles (contractes de treball, dades de salut, dades financeres)
• Dades d'audit trail: adreça IP, timestamp, user-agent
• Dades comportamentals: traç de firma manuscrita en tauleta (si QES biomètrica)

Allotjament i transferències fora de la UE

El RGPD imposa que les dades personals només es transfereixin fora de la UE a països que ofereixen un nivell de protecció adequat o amb garanties apropiades (SCCs, BCRs). Per a les solucions de firma, això significa:

• Allotjament UE → transferència nativa, sense formalitats addicionals
• Allotjament US amb SCCs → possible però amb risc residual de Cloud Act
• Entitat US (Cloud Act) → risc no suprimible ni amb allotjament UE

Cloud Act americà i firma electrònica

El Cloud Act (2018) autoritza les autoritats americanes a accedir a les dades allotjades per empreses de dret americà, inclús si aquestes dades es troben emmagatzemades a Europa. DocuSign, Adobe Sign i Dropbox Sign són empreses americanes sotmeses al Cloud Act. Certyneo és una entitat francesa, no sotmesa a aquesta extraterritorialitat.

Recomanacions per als DPO

1. 1Trieu un prestatari la seva entitat legal estigui domiciliada a la UE o al Regne Unit (post-Brexit amb decisió d'adequació)
2. 2Verifiqueu que l'allotjament és exclusivament a la UE, sense replicació en servidors fora de la UE
3. 3Obteniu i signeu un DPA conforme amb l'article 28 del RGPD
4. 4Documenteu l'anàlisi d'impacte (AIPD) si tracteu dades sensibles als vostres documents
5. 5Verifiqueu la durada de conservació de dades i la política de supressió en finalitzar el contracte

Preguntes RGPD sobre firma electrònica

Una firma electrònica implica un tractament de dades personals?

Sí. El correu electrònic, el nom i potencialment el número de telèfon del signatari es recopilen. El contingut dels documents pot contenir també dades personals. El prestatari de firma és un subcontractista en el sentit del RGPD, sotmès a les obligacions de l'article 28.

DocuSign és conforme amb RGPD?

DocuSign afirma ser conforme amb RGPD i ofereix SCCs. Tanmateix, com a societat americana, resta sotmesa al Cloud Act. La CNIL ha recordat que el Cloud Act crea un risc no suprimible per a les dades europees allotjades per entitats US, inclús a la UE.

Certyneo és conforme amb RGPD?

Sí. Certyneo és una entitat francesa, allotjada a la UE (IONOS Alemanya), no sotmesa al Cloud Act. Les dades es xifren en trànsit (TLS 1.3) i en repòs. Certyneo ofereix un DPA conforme amb l'article 28 del RGPD.

Cal realitzar una AIPD per a l'ús d'una solució de firma?

Una AIPD no és sistemàticament requerida per a la firma electrònica estàndard. S'imposa si signeu documents que contenen dades sensibles (salut, RH amb dades sindicals, etc.) o si el vostre ús de la firma implica perfilat o vigilància a gran escala.