Semnătură electronică și RGPD: ghid pentru DPO
Adoptarea unei soluții de semnătură electronică ridică mai multe întrebări legate de RGPD: unde sunt găzduite datele? Cine poate accesa? Există risc Cloud Act? Acest ghid răspunde la aceste întrebări și explică cum să alegeți o soluție conformă cu RGPD pentru organizația dvs.
Ce date personale prelucrează o soluție de semnătură?
O platformă de semnătură electronică prelucrează mai multe categorii de date personale.
- Identitatea semnatarului: nume, prenume, email, număr de telefon
- Conținutul documentelor: potențial date personale sensibile (contracte de muncă, date de sănătate, date financiare)
- Date de audit trail: adresă IP, timestamp, user-agent
- Date comportamentale: traseu de semnătură manuscrisă pe tabletă (dacă QES biometric)
Găzduire și transferuri în afara UE
RGPD impune ca datele personale să fie transferate în afara UE doar către țări care oferă un nivel de protecție adecvat sau sub garanții corespunzătoare (SCC-uri, BCR-uri). Pentru soluțiile de semnătură, aceasta înseamnă:
- Găzduire UE → transfer nativ, fără formalități suplimentare
- Găzduire US cu SCC-uri → posibil dar risc rezidual Cloud Act
- Entitate US (Cloud Act) → risc neînlăturabil chiar și cu găzduire UE
Cloud Act american și semnătură electronică
Cloud Act (2018) autorizează autoritățile americane să acceseze datele găzduite de companii de drept american, chiar dacă aceste date sunt stocate în Europa. DocuSign, Adobe Sign și Dropbox Sign sunt companii americane supuse Cloud Act. Certyneo este o entitate franceză, nu supusă acestei extrateritorialități.
| Solution | Nivel de risc Cloud Act pe soluție |
|---|---|
| Certyneo | Niciun risc — entitate franceză |
| Yousign | Niciun risc — entitate franceză |
| DocuSign | Risc rezidual — entitate americană |
| Adobe Acrobat Sign | Risc rezidual — entitate americană |
| Dropbox Sign | Risc rezidual — entitate americană |
DPA și baze juridice
Prelucrarea datelor de o soluție de semnătură trebuie să se bazeze pe o bază juridică valabilă (contract, interes legitim sau consimțământ). Un Acord de prelucrare a datelor (DPA) trebuie încheiat cu furnizorul de semnătură. Certyneo oferă un DPA conform RGPD, semnable electronic, cu elementele necesare conform articolului 28 al RGPD.
Recomandări pentru DPO
- 1Alegeți un furnizor a cărui entitate juridică este domiciliată în UE sau Regatul Unit (post-Brexit cu decizie de adecvare)
- 2Verificați că găzduirea este exclusiv în UE, fără replicare pe servere în afara UE
- 3Obțineți și semnați un DPA conform articolului 28 al RGPD
- 4Documentați analiza impactului (AIPD) dacă prelucrați date sensibile în documentele dvs.
- 5Verificați durata de retenție a datelor și politica de ștergere la încheierea contractului
Întrebări RGPD despre semnătură electronică
- Semnătura electronică implică prelucrarea datelor personale?
- Da. Email-ul, numele și potențial numărul de telefon al semnatarului sunt colectate. Conținutul documentelor poate conține, de asemenea, date personale. Furnizorul de semnătură este un prelucrător de date în sensul RGPD, supus obligațiilor articolului 28.
- Este DocuSign conform RGPD?
- DocuSign afirmă că este conform RGPD și oferă SCC-uri. Cu toate acestea, în calitate de societate americană, rămâne supusă Cloud Act. CNIL a reamintit că Cloud Act creează un risc neînlăturabil pentru datele europene găzduite de entități US, chiar și în UE.
- Este Certyneo conform RGPD?
- Da. Certyneo este o entitate franceză, găzduită în UE (IONOS Germania), care nu este supusă Cloud Act. Datele sunt criptate în tranzit (TLS 1.3) și în repaus. Certyneo oferă un DPA conform articolului 28 al RGPD.
- Este necesară realizarea unei AIPD pentru utilizarea unei soluții de semnătură?
- O AIPD nu este sistematic necesară pentru semnătura electronică standard. Ea se impune dacă semnați documente care conțin date sensibile (sănătate, resurse umane cu date sindicale etc.) sau dacă utilizarea semnăturii implică profilare sau supraveghere la scară largă.