Sinaduraren elektronikoa eta RGPD: DPOentzako gidaliburua

Zer datu pertsonaletako kategoriak prozesatzen ditu sinaduraren elektronikoa duten soluzioak?

Sinaduraren elektronikoa duten plataformek datu pertsonaletako hainbat kategoria prozesatzen dituzte.

• Sinatzailearen identitatea: izena, abizena, e-posta, telefonoa
• Dokumentuen edukia: agian datu pertsonal sentikorra (laneko kontratua, osasun datuak, finantza datuak)
• Audit trail datuak: IP helbidea, timestamp-a, user-agent
• Portaera datuak: eskuz idatzitako sinaduran arraina tabletan (biometrikoa QES bada)

Gordeta eta UEtik kanpo transferentziak

RGPDk ditu datu pertsonalek ez direla UEtik kanpo transferitu behar baina niba babes maila egokia duten herrialdeetan edo bermeade egokien pean (SCCs, BCRs). Sinaduraren soluzioen kasuan, hau esan nahi du:

• UE-en gordeta → jatorrizko transferentzia, formalitate gehigarri batzuk ez
• SCCekin gordeta dagoen AEB → posiblea baina Cloud Act-en arrisku hondarra
• AEBetako entitatea (Cloud Act) → arrisku ezabaezinak, baita UE-en gordeta egonda ere

AEB-etako Cloud Act eta sinaduraren elektronikoa

Cloud Act-ek (2018) AEB-etako gobernuari baimena ematen dio AEB-etako eretzeen dituztake datuak atzitzeko, Europan gordeta egonda ere. DocuSign, Adobe Sign eta Dropbox Sign AEB-etako enpresak dira Cloud Act-en pean. Certyneo frantses entitate da, ez dago extraterritorialtasun honen pean.

DPOentzako gomendazioak

1. 1Aukeratu entitate legala UE-n edo Erresuma Batuan domizilioa duen prestasaile bat (Brexit ondoren adekuazioaren bidez)
2. 2Egiaztatu gordeta UE-n soilik dagoela, UEtik kanpo zerbitzarietara errepikazinorik gabe
3. 3Lortu eta sinaduz RGPD-ko 28. artikulua jarraitzen duen DPA
4. 4Dokumentatu eragina analisia (AIPD) baldin eta datu sentikor batzuk prozesatzen baditu zure dokumentuetan
5. 5Egiaztatu datuak kontserba ahal da zenbat denboran eta kanzelatze politika kontratua amaitzean

Sinaduraren elektronikoa RGPD galderak

Sinaduraren elektronikoak datu pertsonaletako tratamendua ekarri al du?

Bai. Sinatzailearen e-posta, izena eta zenbaki telefonikoa jasota daude. Dokumentuen edukia ere datu pertsonaletakoa izan daiteke. Sinaduraren prestasailari RGPD-ko 28. artikuluaren obligazioen pean dagoen azpikontratista da.

DocuSign RGPD-rekin bat al da?

DocuSignek RGPD-rekin bat datorren gisa esaten du eta SCCak proposatzen ditu. Baina AEB-etako enpresa izateak Cloud Act-en pean geratzen da. CNILak gogorarazi du Cloud Act-ek AEB-etako enpresen datuetan Europarako ez dela ezabaezinak arriskua sortzen duala.

Certyneo RGPD-rekin bat al da?

Bai. Certyneo frantses entitate da, UE-n gordeta (IONOS Alemania), Cloud Act-en pean ez. Datuak zifratuta daude transitoan (TLS 1.3) eta atonean. Certyneok RGPD-ko 28. artikulua jarraitzen duen DPA proposatzen du.

AIPD egin behar al da sinaduraren elektronikoa soluzio bat erabiltzean?

AIADa ez da sistematikoki beharrezkoa sinaduraren elektronikoa estandarrean. Baina nahitaezia datorren datu sentikor batzuk sinatzen baditu (osasuna, enpleguari buruzko datu sindikalak), edo sinaduraren erabilera profilazioa edo begiratzea da.