Firma electrònica i RGPD: guia per a DPO
L'adopció d'una solució de firma electrònica planteja diverses qüestions RGPD: on s'allotgen les dades? Qui hi pot accedir? Hi ha risc de Cloud Act? Aquesta guia respon aquestes preguntes i explica com triar una solució conforme al RGPD per a la vostra organització.
Quines dades personals tracta una solució de firma?
Una plataforma de firma electrònica tracta diverses categories de dades personals.
- Identitat del signatari: nom, cognom, email, número de telèfon
- Contingut dels documents: potencialment dades personals sensibles (contractes de treball, dades de salut, dades financeres)
- Dades d'audit trail: adreça IP, timestamp, user-agent
- Dades comportamentals: traç de firma manuscrita en tauleta (si QES biomètrica)
Allotjament i transferències fora de la UE
El RGPD imposa que les dades personals només es transfereixin fora de la UE a països que ofereixen un nivell de protecció adequat o amb garanties apropiades (SCCs, BCRs). Per a les solucions de firma, això significa:
- Allotjament UE → transferència nativa, sense formalitats addicionals
- Allotjament US amb SCCs → possible però amb risc residual de Cloud Act
- Entitat US (Cloud Act) → risc no suprimible ni amb allotjament UE
Cloud Act americà i firma electrònica
El Cloud Act (2018) autoritza les autoritats americanes a accedir a les dades allotjades per empreses de dret americà, inclús si aquestes dades es troben emmagatzemades a Europa. DocuSign, Adobe Sign i Dropbox Sign són empreses americanes sotmeses al Cloud Act. Certyneo és una entitat francesa, no sotmesa a aquesta extraterritorialitat.
| Solution | Nivell de risc del Cloud Act per solució |
|---|---|
| Certyneo | Cap risc — entitat francesa |
| Yousign | Cap risc — entitat francesa |
| DocuSign | Risc residual — entitat americana |
| Adobe Acrobat Sign | Risc residual — entitat americana |
| Dropbox Sign | Risc residual — entitat americana |
DPA i bases legals
El tractament de dades per una solució de firma ha de reposar sobre una base legal vàlida (contracte, interès legítim, o consentiment). Un Data Processing Agreement (DPA) ha de signar-se amb el prestatari de firma. Certyneo ofereix un DPA conforme amb RGPD, signables electrònicament, amb els elements requerits per l'article 28 del RGPD.
Recomanacions per als DPO
- 1Trieu un prestatari la seva entitat legal estigui domiciliada a la UE o al Regne Unit (post-Brexit amb decisió d'adequació)
- 2Verifiqueu que l'allotjament és exclusivament a la UE, sense replicació en servidors fora de la UE
- 3Obteniu i signeu un DPA conforme amb l'article 28 del RGPD
- 4Documenteu l'anàlisi d'impacte (AIPD) si tracteu dades sensibles als vostres documents
- 5Verifiqueu la durada de conservació de dades i la política de supressió en finalitzar el contracte
Preguntes RGPD sobre firma electrònica
- Una firma electrònica implica un tractament de dades personals?
- Sí. El correu electrònic, el nom i potencialment el número de telèfon del signatari es recopilen. El contingut dels documents pot contenir també dades personals. El prestatari de firma és un subcontractista en el sentit del RGPD, sotmès a les obligacions de l'article 28.
- DocuSign és conforme amb RGPD?
- DocuSign afirma ser conforme amb RGPD i ofereix SCCs. Tanmateix, com a societat americana, resta sotmesa al Cloud Act. La CNIL ha recordat que el Cloud Act crea un risc no suprimible per a les dades europees allotjades per entitats US, inclús a la UE.
- Certyneo és conforme amb RGPD?
- Sí. Certyneo és una entitat francesa, allotjada a la UE (IONOS Alemanya), no sotmesa al Cloud Act. Les dades es xifren en trànsit (TLS 1.3) i en repòs. Certyneo ofereix un DPA conforme amb l'article 28 del RGPD.
- Cal realitzar una AIPD per a l'ús d'una solució de firma?
- Una AIPD no és sistemàticament requerida per a la firma electrònica estàndard. S'imposa si signeu documents que contenen dades sensibles (salut, RH amb dades sindicals, etc.) o si el vostre ús de la firma implica perfilat o vigilància a gran escala.