Firma elettronica e GDPR: guida per i DPO

Quali dati personali tratta una soluzione di firma?

Una piattaforma di firma elettronica tratta diverse categorie di dati personali.

• Identità del firmatario: nome, cognome, email, numero di telefono
• Contenuto dei documenti: potenzialmente dati personali sensibili (contratti di lavoro, dati sanitari, dati finanziari)
• Dati di audit trail: indirizzo IP, timestamp, user-agent
• Dati comportamentali: traccia di firma manuscritta su tablet (se QES biometrica)

Hosting e trasferimenti extra-UE

Il GDPR impone che i dati personali non siano trasferiti extra-UE se non verso paesi che offrono un livello di protezione adeguato o sotto garanzie appropriate (SCCs, BCRs). Per le soluzioni di firma, questo significa:

• Hosting UE → trasferimento nativo, nessuna formalità supplementare
• Hosting USA con SCCs → possibile ma rischio residuale Cloud Act
• Entità USA (Cloud Act) → rischio non eliminabile neanche con hosting UE

Cloud Act americano e firma elettronica

Il Cloud Act (2018) autorizza le autorità americane ad accedere ai dati ospitati da aziende di diritto americano, anche se questi dati sono archiviati in Europa. DocuSign, Adobe Sign e Dropbox Sign sono aziende americane soggette al Cloud Act. Certyneo è un'entità francese, non soggetta a questa extraterritorialità.

Raccomandazioni per i DPO

1. 1Scegliete un provider la cui entità legale è domiciliata nell'UE o nel Regno Unito (post-Brexit con decisione di adeguatezza)
2. 2Verificate che l'hosting sia esclusivamente nell'UE, senza replica su server extra-UE
3. 3Ottenete e sottoscrivete un DPA conforme all'articolo 28 del GDPR
4. 4Documentate l'analisi di impatto (AIPD) se trattate dati sensibili nei vostri documenti
5. 5Verificate il periodo di conservazione dei dati e la politica di cancellazione al termine del contratto

Domande GDPR sulla firma elettronica

Una firma elettronica comporta un trattamento di dati personali?

Sì. L'email, il nome e potenzialmente il numero di telefono del firmatario sono raccolti. Il contenuto dei documenti può anche contenere dati personali. Il provider di firma è un responsabile del trattamento ai sensi del GDPR, soggetto agli obblighi dell'articolo 28.

DocuSign è conforme al GDPR?

DocuSign afferma di essere conforme al GDPR e offre SCCs. Tuttavia, in quanto azienda americana, rimane soggetta al Cloud Act. La CNIL ha ricordato che il Cloud Act crea un rischio non eliminabile per i dati europei ospitati da entità USA, anche nell'UE.

Certyneo è conforme al GDPR?

Sì. Certyneo è un'entità francese, ospitata nell'UE (IONOS Germania), non soggetta al Cloud Act. I dati sono crittografati in transito (TLS 1.3) e a riposo. Certyneo propone un DPA conforme all'articolo 28 del GDPR.

È necessario effettuare un'AIPD per l'uso di una soluzione di firma?

Un'AIPD non è sistematicamente richiesta per la firma elettronica standard. È obbligatoria se sottoscrivete documenti contenenti dati sensibili (sanitari, HR con dati sindacali, ecc.) o se il vostro uso della firma comporta profiling o sorveglianza su larga scala.