Firma elettronika u GDPR: gwida għad-DPOs

Liema data personali trattat soluzzjoni ta' firma?

Plataporma ta' firma elettronika trattat diversi kategoriji ta' data personali.

• Identità tal-firmatarja: isem, prenome, email, numru tat-telefown
• Kontenut tad-dokumenti: potenzjalment data personali sensittiva (kuntratti tax-xogħol, data dwar is-saħħa, data finanzjarja)
• Data ta' audit trail: indirizz IP, timestamp, user-agent
• Data komportamentali: trajett ta' firma manoskritt fuq tablet (jekk QES bijometrika)

Ospitaġġ u trasferimenti barra l-UE

GDPR jimponiment li d-data personali ma tittrasferixxux barra l-UE ħlief għal pajjiżi li joffru livell adegwat ta' protezzjoni jew taħt garanziji xierqa (SCCs, BCRs). Għas-soluzzjonijiet ta' firma, dan ifisser:

• Ospitaġġ tal-UE → trasferiment nattivu, mingħajr formalità addizzjonali
• Ospitaġġ tal-US ma' SCCs → possibbli iżda riskju residwu Cloud Act
• Entità tal-US (Cloud Act) → riskju li ma jitqaxxax anki ma ospitaġġ tal-UE

Cloud Act Amerikanu u firma elettronika

Il-Cloud Act (2018) jautorizza l-awtoritajiet Amerikani jaccedaw lil-data ospitata minn negozji tal-liġi Amerikana, anki jekk id-data hija maħżuna fl-Ewropa. DocuSign, Adobe Sign u Dropbox Sign huma negozji Amerikani soġġetti għall-Cloud Act. Certyneo hija entità Franċiza, mhux soġġetta għal din l-estraterritorjalità.

Rakkomandazzjonijiet għad-DPOs

1. 1Agħżel tipprovveder li l-entità legali tiegħu tkun stabilita fl-UE jew ir-Renju Unit (post-Brexit b'deċiżjoni ta' adegwatezza)
2. 2Ivverifika li l-ospitaġġ huwa esklussivament fl-UE, mingħajr replikazzjoni fuq servuri barra l-UE
3. 3Ġib u ffirma DPA konformi mal-artikolu 28 tal-GDPR
4. 4Idokumenta l-analiżi ta' impatt (AIPD) jekk ttratta data sensittiva fid-dokumenti tiegħek
5. 5Ivverifika d-durata tal-konservazzjoni tad-data u l-politika ta' deċezzjoni fit-tmiem tal-kuntratt

Mistoqsijiet GDPR dwar firma elettronika

Għandu firma elettronika jimplika trattament ta' data personali?

Iva. L-email, l-isem, u potenzjalment in-numru tat-telefon tas-sottosignatarju huma ġbur. Il-kontenut tal-dokumenti jista' jkun jippossedi wkoll dejta personali. Il-fornitur tas-sinjatura huwa sottokontrattant skont il-GDPR, soġġett għall-obbligi tal-artikolu 28.

DocuSign huwa konformi mal-GDPR?

DocuSign jiddikjara li huwa konformi mal-GDPR u joffri SCCs. Madankollu, bħala kumpanija Amerikana, tibqa' soġġetta għall-Cloud Act. Il-CNIL ikkummentaw li l-Cloud Act joħloq riskju li ma jistax jitneħħa għad-dejta Ewropea ospiżata minn entitajiet US, anki fl-UE.

Certyneo huwa konformi mal-GDPR?

Iva. Certyneo huwa entità Franza, ospiżata fl-UE (IONOS il-Ġermanja), mhux soġġett għall-Cloud Act. Id-dejta hija encrypted fit-transitu (TLS 1.3) u fi stat ta' mistrieħ. Certyneo joffri DPA konformi mal-artikolu 28 tal-GDPR.

Għandu jkun hemm AIPD għall-użu ta' soluzzjoni ta' sinjatura?

AIPD mhuwiex rekinit sistematikament għas-sinjatura elettronika standard. Huwa obbligatorju jekk inti tissinja dokumenti li fihom dejta sensittiva (saħħa, HR bid-dejta sindakali, eċċ.) jew jekk l-użu tiegħek tas-sinjatura jinvolvi profilazzjoni jew sorveljanza fuq skala wiesgħa.