Assinatura eletrónica e RGPD: guia para DPO
A adoção de uma solução de assinatura eletrónica coloca várias questões RGPD: onde estão alojados os dados? Quem pode aceder-lhes? Existe risco do Cloud Act? Este guia responde a estas questões e explica como escolher uma solução em conformidade com o RGPD para a sua organização.
Que dados pessoais trata uma solução de assinatura?
Uma plataforma de assinatura eletrónica trata várias categorias de dados pessoais.
- Identidade do signatário: nome, apelido, email, número de telefone
- Conteúdo dos documentos: potencialmente dados pessoais sensíveis (contratos de trabalho, dados de saúde, dados financeiros)
- Dados de auditoria: endereço IP, timestamp, user-agent
- Dados comportamentais: padrão de assinatura manuscrita em tablet (se QES biométrico)
Alojamento e transferências fora da UE
O RGPD impõe que os dados pessoais apenas sejam transferidos fora da UE para países que ofereçam um nível de proteção adequado ou sob garantias apropriadas (SCCs, BCRs). Para as soluções de assinatura, isto significa:
- Alojamento UE → transferência nativa, sem formalidades adicionais
- Alojamento EUA com SCCs → possível mas risco residual do Cloud Act
- Entidade EUA (Cloud Act) → risco não eliminável mesmo com alojamento UE
Cloud Act americano e assinatura eletrónica
O Cloud Act (2018) autoriza as autoridades americanas a aceder aos dados alojados por empresas de direito americano, mesmo que esses dados estejam armazenados na Europa. DocuSign, Adobe Sign e Dropbox Sign são empresas americanas sujeitas ao Cloud Act. Certyneo é uma entidade francesa, não sujeita a esta extraterritorialidade.
| Solution | Nível de risco do Cloud Act por solução |
|---|---|
| Certyneo | Sem risco — entidade francesa |
| Yousign | Sem risco — entidade francesa |
| DocuSign | Risco residual — entidade americana |
| Adobe Acrobat Sign | Risco residual — entidade americana |
| Dropbox Sign | Risco residual — entidade americana |
DPA e bases legais
O tratamento de dados por uma solução de assinatura deve basear-se numa base legal válida (contrato, interesse legítimo ou consentimento). Um Data Processing Agreement (DPA) deve ser celebrado com o prestador de assinatura. Certyneo oferece um DPA em conformidade com RGPD, assinável eletronicamente, com os elementos exigidos pelo artigo 28 do RGPD.
Recomendações para DPO
- 1Escolha um prestador cuja entidade legal esteja estabelecida na UE ou no Reino Unido (pós-Brexit com decisão de adequação)
- 2Verifique que o alojamento é exclusivamente na UE, sem replicação em servidores fora da UE
- 3Obtenha e assine um DPA em conformidade com o artigo 28 do RGPD
- 4Documente a análise de impacto (AIPD) se tratar dados sensíveis nos seus documentos
- 5Verifique o período de retenção de dados e a política de eliminação no final do contrato
Perguntas RGPD sobre assinatura eletrónica
- A assinatura eletrónica implica um tratamento de dados pessoais?
- Sim. O email, o nome e potencialmente o número de telefone do signatário são recolhidos. O conteúdo dos documentos pode também conter dados pessoais. O prestador de assinatura é um subcontratante no sentido do RGPD, sujeito às obrigações do artigo 28.
- DocuSign está em conformidade com o RGPD?
- DocuSign afirma estar em conformidade com o RGPD e oferece SCCs. Contudo, como empresa americana, permanece sujeita ao Cloud Act. A CNIL recalcou que o Cloud Act cria um risco não eliminável para dados europeus alojados por entidades EUA, mesmo na UE.
- Certyneo está em conformidade com o RGPD?
- Sim. Certyneo é uma entidade francesa, alojada na UE (IONOS Alemanha), não sujeita ao Cloud Act. Os dados estão encriptados em trânsito (TLS 1.3) e em repouso. Certyneo oferece um DPA em conformidade com o artigo 28 do RGPD.
- É necessário realizar uma AIPD para a utilização de uma solução de assinatura?
- Uma AIPD não é sistematicamente exigida para a assinatura eletrónica padrão. É obrigatória se assinar documentos contendo dados sensíveis (saúde, RH com dados sindicais, etc.) ou se a sua utilização da assinatura envolve perfilagem ou monitorização em larga escala.