Sinatura electrónica e RGPD: guía para DPO
A adopción dunha solución de sinatura electrónica suscita varias cuestións RGPD: ¿onde se aloxan os datos? ¿Quen pode acceder a eles? ¿Hai risco de Cloud Act? Esta guía responde a estas preguntas e explica como escoller unha solución conforme ao RGPD para a súa organización.
¿Que datos personais trata unha solución de sinatura?
Unha plataforma de sinatura electrónica trata varias categorías de datos personais.
- Identidade do asinante: nome, apelido, email, número de teléfono
- Contido dos documentos: potencialmente datos personais sensibles (contratos de traballo, datos de saúde, datos financeiros)
- Datos de pista de auditoría: enderezo IP, marca de tempo, user-agent
- Datos comportamentais: trazo de sinatura manuscrita en tableta (se QES biométrica)
Aloxamento e transferencias fóra da UE
O RGPD impón que os datos personais se transfiran fóra da UE só a países que ofrecen un nivel de protección adecuado ou baixo garantías apropiadas (SCCs, BCRs). Para as solucións de sinatura, isto significa:
- Aloxamento UE → transferencia nativa, sen formalidades adicionais
- Aloxamento US con SCCs → posible pero risco residual de Cloud Act
- Entidade US (Cloud Act) → risco non eliminable incluso con aloxamento UE
Cloud Act estadounidense e sinatura electrónica
O Cloud Act (2018) autoriza as autoridades estadounidenses a acceder aos datos aloxados por empresas de dereito estadounidense, incluso se estes datos se almacenan en Europa. DocuSign, Adobe Sign e Dropbox Sign son empresas estadounidenses sometidas ao Cloud Act. Certyneo é unha entidade francesa, non sometida a esta extraterritorialidade.
| Solution | Nivel de risco de Cloud Act por solución |
|---|---|
| Certyneo | Ningún risco — entidade francesa |
| Yousign | Ningún risco — entidade francesa |
| DocuSign | Risco residual — entidade estadounidense |
| Adobe Acrobat Sign | Risco residual — entidade estadounidense |
| Dropbox Sign | Risco residual — entidade estadounidense |
DPA e bases legais
O tratamento de datos por unha solución de sinatura debe basearse nunha base legal válida (contrato, interese lexítimo ou consentimento). Un Data Processing Agreement (DPA) debe ser asinado co prestador de sinatura. Certyneo ofrece un DPA conforme a RGPD, asinabel electronicamente, cos elementos requiridos polo artigo 28 do RGPD.
Recomendacións para DPO
- 1Escolle un provedor cuxa entidade xurídica está domiciliada na UE ou no Reino Unido (post-Brexit con decisión de adecuación)
- 2Verifique que o aloxamento está exclusivamente na UE, sen replicación en servidores fóra da UE
- 3Obteña e asine un DPA conforme ao artigo 28 do RGPD
- 4Documente a análise de impacto (AIPD) se procesa datos sensibles nos seus documentos
- 5Verifique o prazo de conservación dos datos e a política de eliminación ao finalizar o contrato
Preguntas RGPD sobre a sinatura electrónica
- ¿A sinatura electrónica implica un tratamento de datos persoais?
- Si. O correo electrónico, o nome e potencialmente o número de teléfono do asinante son recollidos. O contido dos documentos pode conter datos persoais. O provedor de sinatura é un subcontratista segundo o RGPD, suxeito ás obrigas do artigo 28.
- ¿É DocuSign conforme con RGPD?
- DocuSign afirma ser conforme con RGPD e ofrece SCCs. Con todo, como sociedade americana, segue suxeita á Cloud Act. A CNIL lembrou que a Cloud Act crea un risco non eliminable para os datos europeos aloxados por entidades estadounidenses, incluso na UE.
- ¿É Certyneo conforme con RGPD?
- Si. Certyneo é unha entidade francesa, aloxada na UE (IONOS Alemaña), non suxeita á Cloud Act. Os datos están cifrados en tránsito (TLS 1.3) e en repouso. Certyneo ofrece un DPA conforme ao artigo 28 do RGPD.
- ¿É necesario realizar unha AIPD para usar unha solución de sinatura?
- Unha AIPD non é sistematicamente requirida para a sinatura electrónica estándar. É obrigatoria se asina documentos que conteñen datos sensibles (saúde, RH con datos sindicais, etc.) ou se o seu uso da sinatura implica perfilado ou vixilancia a gran escala.