Firma electrónica y RGPD: guía para los DPO
La adopción de una solución de firma electrónica plantea varias preguntas sobre RGPD: ¿dónde se alojan los datos? ¿Quién puede acceder a ellos? ¿Hay riesgo de Cloud Act? Esta guía responde a estas preguntas y explica cómo elegir una solución conforme a RGPD para su organización.
¿Qué datos personales procesa una solución de firma?
Una plataforma de firma electrónica procesa varias categorías de datos personales.
- Identidad del firmante: nombre, apellido, email, número de teléfono
- Contenido de los documentos: potencialmente datos personales sensibles (contratos laborales, datos de salud, datos financieros)
- Datos de audit trail: dirección IP, timestamp, user-agent
- Datos conductuales: trazo de firma manuscrita en tableta (si QES biométrica)
Alojamiento y transferencias fuera de la UE
El RGPD establece que los datos personales solo se transfieran fuera de la UE hacia países que ofrezcan un nivel de protección adecuado o bajo garantías apropiadas (SCCs, BCRs). Para soluciones de firma, esto significa:
- Alojamiento UE → transferencia nativa, sin formalidades adicionales
- Alojamiento US con SCCs → posible pero con riesgo residual de Cloud Act
- Entidad US (Cloud Act) → riesgo irremediable incluso con alojamiento UE
Cloud Act estadounidense y firma electrónica
El Cloud Act (2018) autoriza a las autoridades estadounidenses a acceder a datos alojados por empresas de derecho estadounidense, incluso si estos datos se almacenan en Europa. DocuSign, Adobe Sign y Dropbox Sign son empresas estadounidenses sujetas al Cloud Act. Certyneo es una entidad francesa, no sujeta a esta extraterritorialidad.
| Solution | Nivel de riesgo de Cloud Act por solución |
|---|---|
| Certyneo | Sin riesgo — entidad francesa |
| Yousign | Sin riesgo — entidad francesa |
| DocuSign | Riesgo residual — entidad estadounidense |
| Adobe Acrobat Sign | Riesgo residual — entidad estadounidense |
| Dropbox Sign | Riesgo residual — entidad estadounidense |
DPA y bases legales
El tratamiento de datos por una solución de firma debe basarse en una base legal válida (contrato, interés legítimo o consentimiento). Debe celebrarse un Data Processing Agreement (DPA) con el proveedor de firma. Certyneo ofrece un DPA conforme a RGPD, firmable electrónicamente, con los elementos requeridos por el artículo 28 del RGPD.
Recomendaciones para los DPO
- 1Elija un proveedor cuya entidad legal esté domiciliada en la UE o en el Reino Unido (post-Brexit con decisión de adecuación)
- 2Verifique que el alojamiento sea exclusivamente en la UE, sin replicación en servidores fuera de la UE
- 3Obtenga y firme un DPA conforme al artículo 28 del RGPD
- 4Documente el análisis de impacto (AIPD) si procesa datos sensibles en sus documentos
- 5Verifique el período de retención de datos y la política de eliminación al final del contrato
Preguntas RGPD sobre firma electrónica
- ¿Implica una firma electrónica un tratamiento de datos personales?
- Sí. El email, el nombre y potencialmente el número de teléfono del firmante se recopilan. El contenido de los documentos también puede contener datos personales. El proveedor de firma es un encargado de tratamiento en el sentido del RGPD, sujeto a las obligaciones del artículo 28.
- ¿Es DocuSign conforme a RGPD?
- DocuSign afirma ser conforme a RGPD y ofrece SCCs. Sin embargo, como empresa estadounidense, sigue sujeta al Cloud Act. La CNIL ha recordado que el Cloud Act crea un riesgo irremediable para los datos europeos alojados por entidades estadounidenses, incluso en la UE.
- ¿Es Certyneo conforme a RGPD?
- Sí. Certyneo es una entidad francesa, alojada en la UE (IONOS Alemania), no sujeta al Cloud Act. Los datos se cifran en tránsito (TLS 1.3) y en reposo. Certyneo ofrece un DPA conforme al artículo 28 del RGPD.
- ¿Es necesario realizar una AIPD para el uso de una solución de firma?
- Una AIPD no es sistemáticamente requerida para firma electrónica estándar. Se impone si firma documentos que contengan datos sensibles (salud, RH con datos sindicales, etc.) o si su uso de firma implica perfilado o vigilancia a gran escala.