Semnătură electronică și GDPR: ghid pentru DPO

Ce date personale prelucrează o soluție de semnătură?

O platformă de semnătură electronică prelucrează mai multe categorii de date personale.

• Identitatea semnatarului: nume, prenume, email, număr de telefon
• Conținutul documentelor: potențial date personale sensibile (contracte de muncă, date de sănătate, date financiare)
• Date de audit trail: adresă IP, timestamp, user-agent
• Date comportamentale: traseu de semnătură manuscrisă pe tabletă (dacă QES biometric)

Găzduire și transferuri în afara UE

GDPR impune ca datele personale să fie transferate în afara UE doar către țări care oferă un nivel de protecție adecvat sau sub garanții corespunzătoare (SCC-uri, BCR-uri). Pentru soluțiile de semnătură, aceasta înseamnă:

• Găzduire UE → transfer nativ, fără formalități suplimentare
• Găzduire US cu SCC-uri → posibil dar risc rezidual Cloud Act
• Entitate US (Cloud Act) → risc neînlăturabil chiar și cu găzduire UE

Cloud Act american și semnătură electronică

Cloud Act (2018) autorizează autoritățile americane să acceseze datele găzduite de companii de drept american, chiar dacă aceste date sunt stocate în Europa. DocuSign, Adobe Sign și Dropbox Sign sunt companii americane supuse Cloud Act. Certyneo este o entitate franceză, nu supusă acestei extrateritorialități.

Recomandări pentru DPO

1. 1Alegeți un furnizor a cărui entitate juridică este domiciliată în UE sau Regatul Unit (post-Brexit cu decizie de adecvare)
2. 2Verificați că găzduirea este exclusiv în UE, fără replicare pe servere în afara UE
3. 3Obțineți și semnați un DPA conform articolului 28 al GDPR
4. 4Documentați analiza impactului (AIPD) dacă prelucrați date sensibile în documentele dvs.
5. 5Verificați durata de retenție a datelor și politica de ștergere la încheierea contractului

Întrebări GDPR despre semnătură electronică

Semnătura electronică implică prelucrarea datelor personale?

Da. Email-ul, numele și potențial numărul de telefon al semnatarului sunt colectate. Conținutul documentelor poate conține, de asemenea, date personale. Furnizorul de semnătură este un prelucrător de date în sensul GDPR, supus obligațiilor articolului 28.

Este DocuSign conform GDPR?

DocuSign afirmă că este conform GDPR și oferă SCC-uri. Cu toate acestea, în calitate de societate americană, rămâne supusă Cloud Act. CNIL a reamintit că Cloud Act creează un risc neînlăturabil pentru datele europene găzduite de entități US, chiar și în UE.

Este Certyneo conform GDPR?

Da. Certyneo este o entitate franceză, găzduită în UE (IONOS Germania), care nu este supusă Cloud Act. Datele sunt criptate în tranzit (TLS 1.3) și în repaus. Certyneo oferă un DPA conform articolului 28 al GDPR.

Este necesară realizarea unei AIPD pentru utilizarea unei soluții de semnătură?

O AIPD nu este sistematic necesară pentru semnătura electronică standard. Ea se impune dacă semnați documente care conțin date sensibile (sănătate, resurse umane cu date sindicale etc.) sau dacă utilizarea semnăturii implică profilare sau supraveghere la scară largă.