Firma elettronica e RGPD: guida per i DPO
L'adozione di una soluzione di firma elettronica solleva diverse questioni RGPD: dove sono ospitati i dati? Chi può accedervi? C'è un rischio Cloud Act? Questa guida risponde a queste domande e spiega come scegliere una soluzione conforme al RGPD per la vostra organizzazione.
Quali dati personali tratta una soluzione di firma?
Una piattaforma di firma elettronica tratta diverse categorie di dati personali.
- Identità del firmatario: nome, cognome, email, numero di telefono
- Contenuto dei documenti: potenzialmente dati personali sensibili (contratti di lavoro, dati sanitari, dati finanziari)
- Dati di audit trail: indirizzo IP, timestamp, user-agent
- Dati comportamentali: traccia di firma manuscritta su tablet (se QES biometrica)
Hosting e trasferimenti extra-UE
Il RGPD impone che i dati personali non siano trasferiti extra-UE se non verso paesi che offrono un livello di protezione adeguato o sotto garanzie appropriate (SCCs, BCRs). Per le soluzioni di firma, questo significa:
- Hosting UE → trasferimento nativo, nessuna formalità supplementare
- Hosting USA con SCCs → possibile ma rischio residuale Cloud Act
- Entità USA (Cloud Act) → rischio non eliminabile neanche con hosting UE
Cloud Act americano e firma elettronica
Il Cloud Act (2018) autorizza le autorità americane ad accedere ai dati ospitati da aziende di diritto americano, anche se questi dati sono archiviati in Europa. DocuSign, Adobe Sign e Dropbox Sign sono aziende americane soggette al Cloud Act. Certyneo è un'entità francese, non soggetta a questa extraterritorialità.
| Solution | Livello di rischio Cloud Act per soluzione |
|---|---|
| Certyneo | Nessun rischio — entità francese |
| Yousign | Nessun rischio — entità francese |
| DocuSign | Rischio residuale — entità americana |
| Adobe Acrobat Sign | Rischio residuale — entità americana |
| Dropbox Sign | Rischio residuale — entità americana |
DPA e basi legali
Il trattamento dei dati da parte di una soluzione di firma deve basarsi su una base legale valida (contratto, interesse legittimo o consenso). Un Data Processing Agreement (DPA) deve essere concluso con il provider di firma. Certyneo propone un DPA conforme al RGPD, sottoscrivibile elettronicamente, con gli elementi richiesti dall'articolo 28 del RGPD.
Raccomandazioni per i DPO
- 1Scegliete un provider la cui entità legale è domiciliata nell'UE o nel Regno Unito (post-Brexit con decisione di adeguatezza)
- 2Verificate che l'hosting sia esclusivamente nell'UE, senza replica su server extra-UE
- 3Ottenete e sottoscrivete un DPA conforme all'articolo 28 del RGPD
- 4Documentate l'analisi di impatto (AIPD) se trattate dati sensibili nei vostri documenti
- 5Verificate il periodo di conservazione dei dati e la politica di cancellazione al termine del contratto
Domande RGPD sulla firma elettronica
- Una firma elettronica comporta un trattamento di dati personali?
- Sì. L'email, il nome e potenzialmente il numero di telefono del firmatario sono raccolti. Il contenuto dei documenti può anche contenere dati personali. Il provider di firma è un responsabile del trattamento ai sensi del RGPD, soggetto agli obblighi dell'articolo 28.
- DocuSign è conforme al RGPD?
- DocuSign afferma di essere conforme al RGPD e offre SCCs. Tuttavia, in quanto azienda americana, rimane soggetta al Cloud Act. La CNIL ha ricordato che il Cloud Act crea un rischio non eliminabile per i dati europei ospitati da entità USA, anche nell'UE.
- Certyneo è conforme al RGPD?
- Sì. Certyneo è un'entità francese, ospitata nell'UE (IONOS Germania), non soggetta al Cloud Act. I dati sono crittografati in transito (TLS 1.3) e a riposo. Certyneo propone un DPA conforme all'articolo 28 del RGPD.
- È necessario effettuare un'AIPD per l'uso di una soluzione di firma?
- Un'AIPD non è sistematicamente richiesta per la firma elettronica standard. È obbligatoria se sottoscrivete documenti contenenti dati sensibili (sanitari, HR con dati sindacali, ecc.) o se il vostro uso della firma comporta profiling o sorveglianza su larga scala.