Sinatura electrónica e RGPD: guía para DPO

¿Que datos personais trata unha solución de sinatura?

Unha plataforma de sinatura electrónica trata varias categorías de datos personais.

• Identidade do asinante: nome, apelido, email, número de teléfono
• Contido dos documentos: potencialmente datos personais sensibles (contratos de traballo, datos de saúde, datos financeiros)
• Datos de pista de auditoría: enderezo IP, marca de tempo, user-agent
• Datos comportamentais: trazo de sinatura manuscrita en tableta (se QES biométrica)

Aloxamento e transferencias fóra da UE

O RGPD impón que os datos personais se transfiran fóra da UE só a países que ofrecen un nivel de protección adecuado ou baixo garantías apropiadas (SCCs, BCRs). Para as solucións de sinatura, isto significa:

• Aloxamento UE → transferencia nativa, sen formalidades adicionais
• Aloxamento US con SCCs → posible pero risco residual de Cloud Act
• Entidade US (Cloud Act) → risco non eliminable incluso con aloxamento UE

Cloud Act estadounidense e sinatura electrónica

O Cloud Act (2018) autoriza as autoridades estadounidenses a acceder aos datos aloxados por empresas de dereito estadounidense, incluso se estes datos se almacenan en Europa. DocuSign, Adobe Sign e Dropbox Sign son empresas estadounidenses sometidas ao Cloud Act. Certyneo é unha entidade francesa, non sometida a esta extraterritorialidade.

Recomendacións para DPO

1. 1Escolle un provedor cuxa entidade xurídica está domiciliada na UE ou no Reino Unido (post-Brexit con decisión de adecuación)
2. 2Verifique que o aloxamento está exclusivamente na UE, sen replicación en servidores fóra da UE
3. 3Obteña e asine un DPA conforme ao artigo 28 do RGPD
4. 4Documente a análise de impacto (AIPD) se procesa datos sensibles nos seus documentos
5. 5Verifique o prazo de conservación dos datos e a política de eliminación ao finalizar o contrato

Preguntas RGPD sobre a sinatura electrónica

¿A sinatura electrónica implica un tratamento de datos persoais?

Si. O correo electrónico, o nome e potencialmente o número de teléfono do asinante son recollidos. O contido dos documentos pode conter datos persoais. O provedor de sinatura é un subcontratista segundo o RGPD, suxeito ás obrigas do artigo 28.

¿É DocuSign conforme con RGPD?

DocuSign afirma ser conforme con RGPD e ofrece SCCs. Con todo, como sociedade americana, segue suxeita á Cloud Act. A CNIL lembrou que a Cloud Act crea un risco non eliminable para os datos europeos aloxados por entidades estadounidenses, incluso na UE.

¿É Certyneo conforme con RGPD?

Si. Certyneo é unha entidade francesa, aloxada na UE (IONOS Alemaña), non suxeita á Cloud Act. Os datos están cifrados en tránsito (TLS 1.3) e en repouso. Certyneo ofrece un DPA conforme ao artigo 28 do RGPD.

¿É necesario realizar unha AIPD para usar unha solución de sinatura?

Unha AIPD non é sistematicamente requirida para a sinatura electrónica estándar. É obrigatoria se asina documentos que conteñen datos sensibles (saúde, RH con datos sindicais, etc.) ou se o seu uso da sinatura implica perfilado ou vixilancia a gran escala.