Firma elettronika u RGPD: gwida għad-DPOs
L-adozzjoni ta' soluzzjoni ta' firma elettronika tqajjem diversi mistoqsijiet dwar RGPD: fejn huma maħżuna d-data? Min jista' jaċċessa lilhom? Hemm riskju Cloud Act? Din il-gwida twiegħed dawn il-mistoqsijiet u tispjega kif tagħżel soluzzjoni konformi mal-RGPD għall-organizzazzjoni tiegħek.
Liema data personali trattat soluzzjoni ta' firma?
Plataporma ta' firma elettronika trattat diversi kategoriji ta' data personali.
- Identità tal-firmatarja: isem, prenome, email, numru tat-telefown
- Kontenut tad-dokumenti: potenzjalment data personali sensittiva (kuntratti tax-xogħol, data dwar is-saħħa, data finanzjarja)
- Data ta' audit trail: indirizz IP, timestamp, user-agent
- Data komportamentali: trajett ta' firma manoskritt fuq tablet (jekk QES bijometrika)
Ospitaġġ u trasferimenti barra l-UE
RGPD jimponiment li d-data personali ma tittrasferixxux barra l-UE ħlief għal pajjiżi li joffru livell adegwat ta' protezzjoni jew taħt garanziji xierqa (SCCs, BCRs). Għas-soluzzjonijiet ta' firma, dan ifisser:
- Ospitaġġ tal-UE → trasferiment nattivu, mingħajr formalità addizzjonali
- Ospitaġġ tal-US ma' SCCs → possibbli iżda riskju residwu Cloud Act
- Entità tal-US (Cloud Act) → riskju li ma jitqaxxax anki ma ospitaġġ tal-UE
Cloud Act Amerikanu u firma elettronika
Il-Cloud Act (2018) jautorizza l-awtoritajiet Amerikani jaccedaw lil-data ospitata minn negozji tal-liġi Amerikana, anki jekk id-data hija maħżuna fl-Ewropa. DocuSign, Adobe Sign u Dropbox Sign huma negozji Amerikani soġġetti għall-Cloud Act. Certyneo hija entità Franċiza, mhux soġġetta għal din l-estraterritorjalità.
| Solution | Livell ta' riskju Cloud Act b'soluzzjoni |
|---|---|
| Certyneo | Ebda riskju — entità Franċiza |
| Yousign | Ebda riskju — entità Franċiza |
| DocuSign | Riskju residwu — entità Amerikana |
| Adobe Acrobat Sign | Riskju residwu — entità Amerikana |
| Dropbox Sign | Riskju residwu — entità Amerikana |
DPA u bażi legali
It-trattament tad-data minn soluzzjoni ta' firma għandu jibbaża fuq bażi legali valida (kuntratt, interess leġittimu, jew kunsens). Data Processing Agreement (DPA) għandu jittieħed mat-tipprovveder tal-firma. Certyneo jipproponi DPA konformi mal-RGPD, iffirmabbli elettronikament, ma l-elementi meħtieġa mill-artikolu 28 tal-RGPD.
Rakkomandazzjonijiet għad-DPOs
- 1Agħżel tipprovveder li l-entità legali tiegħu tkun stabilita fl-UE jew ir-Renju Unit (post-Brexit b'deċiżjoni ta' adegwatezza)
- 2Ivverifika li l-ospitaġġ huwa esklussivament fl-UE, mingħajr replikazzjoni fuq servuri barra l-UE
- 3Ġib u ffirma DPA konformi mal-artikolu 28 tal-RGPD
- 4Idokumenta l-analiżi ta' impatt (AIPD) jekk ttratta data sensittiva fid-dokumenti tiegħek
- 5Ivverifika d-durata tal-konservazzjoni tad-data u l-politika ta' deċezzjoni fit-tmiem tal-kuntratt
Mistoqsijiet RGPD dwar firma elettronika
- Għandu firma elettronika jimplika trattament ta' data personali?
- Iva. L-email, l-isem, u potenzjalment in-numru tat-telefon tas-sottosignatarju huma ġbur. Il-kontenut tal-dokumenti jista' jkun jippossedi wkoll dejta personali. Il-fornitur tas-sinjatura huwa sottokontrattant skont il-RGPD, soġġett għall-obbligi tal-artikolu 28.
- DocuSign huwa konformi mal-RGPD?
- DocuSign jiddikjara li huwa konformi mal-RGPD u joffri SCCs. Madankollu, bħala kumpanija Amerikana, tibqa' soġġetta għall-Cloud Act. Il-CNIL ikkummentaw li l-Cloud Act joħloq riskju li ma jistax jitneħħa għad-dejta Ewropea ospiżata minn entitajiet US, anki fl-UE.
- Certyneo huwa konformi mal-RGPD?
- Iva. Certyneo huwa entità Franza, ospiżata fl-UE (IONOS il-Ġermanja), mhux soġġett għall-Cloud Act. Id-dejta hija encrypted fit-transitu (TLS 1.3) u fi stat ta' mistrieħ. Certyneo joffri DPA konformi mal-artikolu 28 tal-RGPD.
- Għandu jkun hemm AIPD għall-użu ta' soluzzjoni ta' sinjatura?
- AIPD mhuwiex rekinit sistematikament għas-sinjatura elettronika standard. Huwa obbligatorju jekk inti tissinja dokumenti li fihom dejta sensittiva (saħħa, HR bid-dejta sindakali, eċċ.) jew jekk l-użu tiegħek tas-sinjatura jinvolvi profilazzjoni jew sorveljanza fuq skala wiesgħa.