Firma electrónica y RGPD: guía para DPO

¿Qué datos personales trata una solución de firma?

Una plataforma de firma electrónica trata varias categorías de datos personales.

• Identidad del firmante: nombre, apellido, email, número de teléfono
• Contenido de documentos: potencialmente datos personales sensibles (contratos de trabajo, datos de salud, datos financieros)
• Datos de audit trail: dirección IP, marca de tiempo, user-agent
• Datos conductuales: trazo de firma manuscrita en tableta (si QES biométrico)

Alojamiento y transferencias fuera de UE

El RGPD impone que los datos personales solo se transfieran fuera de la UE hacia países que ofrezcan un nivel de protección adecuado o bajo garantías apropiadas (SCCs, BCRs). Para las soluciones de firma, esto significa:

• Alojamiento UE → transferencia nativa, sin trámites adicionales
• Alojamiento US con SCCs → posible pero con riesgo residual de Cloud Act
• Entidad US (Cloud Act) → riesgo no eliminable incluso con alojamiento UE

Cloud Act estadounidense y firma electrónica

El Cloud Act (2018) autoriza a las autoridades estadounidenses a acceder a los datos alojados por empresas de derecho estadounidense, incluso si esos datos se almacenan en Europa. DocuSign, Adobe Sign y Dropbox Sign son empresas estadounidenses sujetas al Cloud Act. Certyneo es una entidad francesa, no sujeta a esta extraterritorialidad.

Recomendaciones para los DPO

1. 1Elija un proveedor cuya entidad legal esté domiciliada en la UE o el Reino Unido (post-Brexit con decisión de adecuación)
2. 2Verifique que el alojamiento sea exclusivamente en la UE, sin replicación en servidores fuera de la UE
3. 3Obtenga y firme un DPA conforme al artículo 28 del RGPD
4. 4Documente el análisis de impacto (AIPD) si trata datos sensibles en sus documentos
5. 5Verifique la duración de la retención de datos y la política de supresión al final del contrato

Preguntas sobre RGPD y firma electrónica

¿La firma electrónica implica un tratamiento de datos personales?

Sí. El correo electrónico, el nombre y potencialmente el número de teléfono del firmante se recopilan. El contenido de los documentos también puede contener datos personales. El proveedor de firma es un encargado del tratamiento según el RGPD, sujeto a las obligaciones del artículo 28.

¿Es DocuSign conforme a RGPD?

DocuSign afirma ser conforme a RGPD y ofrece SCCs. Sin embargo, como empresa estadounidense, sigue estando sujeta al Cloud Act. La CNIL ha recordado que el Cloud Act crea un riesgo no eliminable para los datos europeos alojados por entidades estadounidenses, incluso en la UE.

¿Es Certyneo conforme a RGPD?

Sí. Certyneo es una entidad francesa, alojada en la UE (IONOS Alemania), no sujeta al Cloud Act. Los datos se cifran en tránsito (TLS 1.3) y en reposo. Certyneo ofrece un DPA conforme al artículo 28 del RGPD.

¿Es necesario realizar una AIPD para usar una solución de firma?

Una AIPD no es sistemáticamente requerida para la firma electrónica estándar. Se impone si firma documentos que contienen datos sensibles (salud, recursos humanos con datos sindicales, etc.) o si su uso de la firma implica perfilado o vigilancia a gran escala.