En esta era digital, muchas empresas están sustituyendo la firma de puño y letra por la electrónica. No es de extrañar, porque aporta muchas ventajas y es más cómoda para el usuario. Pero al mismo tiempo, plantea cuestiones sobre la protección de la información (personal) a la hora de firmar, especialmente para las organizaciones que manejen categorías especiales de datos personales. Por ejemplo, si trabajas en el sector de los seguros, financiero, sanitario o público es probable que trates datos sensibles a diario. Querrás proteger la identidad del firmante y el contenido de los documentos, por lo que su firma deberá ser segura y protegida, cumpliendo la normativa vigente.
En esta entrada de nuestro blog, destacaremos los puntos clave que debes tener en cuenta a la hora de elegir una solución de firma digital para documentos con datos sensibles.
Algunos ejemplos
La generación automática de pólizas de seguro, la firma digital de préstamos personales, el registro electrónico de pacientes en hospitales,… Todos ellos son buenos ejemplos de cómo las empresas están digitalizando sus procesos basados en los documentos de papel. Al mismo tiempo, implican el tratamiento de categorías especiales de datos personales.
¿A qué nos referimos exactamente con estas “categorías especiales de datos personales”? Bueno, según indica el Reglamento General de Protección de Datos (RGPD), entre otras cosas, deben considerarse las siguientes categorías de datos personales:
- Datos biométricos (en los métodos de firma biométrica);
- Datos relativos a la salud (sector sanitario, financiero, RR. HH.);
- Datos genéticos (sector sanitario, seguros de vida);
- Afiliación sindical (relaciones humanas);
- Opiniones políticas (política, sector público);
- Datos relativos a la vida u orientación sexual de las personas (ámbitos financiero y sanitario).
Estas categorías de datos personales se consideran sensibles y requieren una atención especial a la hora de tratarlos. No solo porque lo decimos nosotros, sino porque la ley lo impone.
Además del RGPD ‒que es un reglamento europeo‒ varios Estados miembros promulgaron legislación específica dirigida al tratamiento de categorías especiales de datos personales. Esto también sucede en Bélgica, Francia o España. Como responsable del tratamiento, deberás velar por que trates este tipo de información de conformidad con la normativa vigente (de protección de datos).
Cinco puntos clave a considerar:
Punto clave 1: Identificación del firmante
El primer tema que deberás tener en cuenta es la persona o las personas que tendrán acceso a los documentos que se van a firmar. Recomendamos identificar al firmante para asegurarte que realmente sea la persona a la que te dirijas y que nadie más tenga acceso. En un entorno online esto es sencillo y existen múltiples formas seguras, como el uso de un documento nacional o régimen de identidad, o cualquier otro tipo de servicio de identificación (p. ej., el DNI electrónico).
Ten en cuenta que la identificación del firmante antes de conceder el acceso al documento no es lo mismo que utilizar un DNI electrónico para la firma.
Punto clave 2: Botones de inclusión voluntaria (opt-in), gestión del consentimiento y ventanas emergentes de la política de privacidad
Como la normativa vigente impone que determinadas categorías especiales de datos personales únicamente pueden tratarse tras el consentimiento explícito del interesado, deberás reunir las pertinentes inclusiones voluntarias (artículo 9.2 (a) del RGPD). Algunas soluciones de firmas digitales ofrecen herramientas para gestionar la inclusión voluntaria, de modo que –en calidad de responsable del tratamiento– podrás obtener el consentimiento requerido del firmante.
Además, deberás ser transparente sobre los fines de tu tratamiento, informando debidamente al interesado. Existen muchos métodos para ello, pero una solución que te aporte la posibilidad de presentar tu política de privacidad antes de la firma del documento, sin duda es útil.
Punto clave 3: Plazos de conservación de los datos
Los plazos de conservación (es decir, el tiempo que se almacena la información) también son un tema candente a la hora de tratar categorías especiales de datos personales. Por lo tanto, es importante tener en cuenta por cuánto tiempo se almacenarán los documentos firmados electrónicamente y dónde se archivarán.
De este modo, la elección entre una solución en la nube y local será determinante para las medidas que debas adoptar. Las soluciones en la nube almacenan los documentos firmados en un entorno virtual ajeno u ofrecen integraciones de la API que permitan conectar el software de firmas digitales con tu sistema de gestión de documentos (DMS) u otros paquetes informáticos similares. Desde el punto de vista de la protección de datos, creemos que la segunda opción (integración de la API) es la más interesante, ya que permite almacenar los documentos firmados en tus propios sistemas. Sin embargo, deberás asegurarte de configurar la integración de la API de tal manera que los documentos se eliminen automáticamente de los servidores de tu proveedor en cuanto estén firmados.
Si optas por la instalación local (o el alojamiento dedicado), tendrás el control exclusivo de los plazos de conservación de datos que apliquen, lo que además podría ser interesante para determinados modelos de negocio.
Punto clave 4: Cifrado
El cifrado es una de las medidas que el RGPD (artículo 32) destaca como forma adecuada de garantizar la protección de datos personales. Significa que la información que hayas enviado será codificada de tal manera que solo las personas autorizadas puedan acceder a ella, y que las que no estén autorizadas no puedan hacerlo. Para garantizar que únicamente las personas autorizadas tengan acceso durante todo el proceso, es importante aplicar el cifrado a los datos almacenados y mientras se transfieran.
Al elegir una solución de firmas digitales con cifrado, protegerás la confidencialidad del contenido del documento.
Punto clave 5: Servicios en la nube y proveedores de alojamiento
Si eliges una solución en la nube para la firma digital de tus documentos, deberás evaluar al proveedor del servicio de alojamiento. Hay dos razones de peso para ello:
- Medidas de protección adecuadas
Cuando trates categorías especiales de datos personales, las medidas técnicas y organizativas que adoptes deberán ajustarse a este tipo de tratamiento. Esto significa que el tratamiento de datos sensibles podría requerir medidas de protección adicionales (artículo 32 del RGPD). Obviamente, te ampararás en el proveedor de software con el que trabajes, pero también en tu proveedor de alojamiento. Asegúrate de que la solución en la nube que utilices cumpla con los estándares del mercado (o incluso sea superior) cuando trates categorías especiales de datos personales en los documentos por firmar y realiza una evaluación del impacto de la protección de datos (DPIA) si es preciso.
- Legislación nacional
Varios países promulgaron legislación específica sobre el tratamiento de datos personales sensibles, como aquellos relacionados con la salud. Francia es uno de estos países. Adoptó un amplio reglamento orientado al tratamiento de estos datos, obligando a los proveedores de alojamiento a obtener la certificación de proveedores de alojamiento de datos de salud (HDS).
En resumen, deberás tener en cuenta varios puntos para la firma digital de documentos, incluidas las categorías especiales de datos personales. ¿Quieres saber cómo Connective garantiza las medidas de protección adecuadas? ¡Sigue leyendo!
Identificación del firmante | ||
---|---|---|
Servicios de identificación | Identifica al firmante antes de darle acceso a los documentos, integrando nuestro software Identity Hub en tu entorno de eSignatures. | |
Protección de datos por diseño | ||
Botón de inclusión voluntaria (opt-in) | Integra botones opt-in para obtener el consentimiento previo. | |
Gestión del consentimiento | Configura tu propia política de gestión del consentimiento. | |
Política de privacidad | Incluye tu propia política de privacidad en el proceso de firma. | |
Plazos de conservación | ||
Integración de la API | Configura nuestra API a medida para proteger los documentos firmados que almacenes en tus sistemas internos. | |
Borrado automático | Instala el borrado automático para asegurarte de que los documentos no se almacenen tras su firma. | |
Cifrado | ||
Cifrado | Los documentos y los datos se cifran cuando estén almacenados y durante su transferencia. | |
Servicios en la nube y proveedores de alojamiento | ||
Alojamiento | Alojado en Microsoft Azure, con implementación de numerosas medidas técnicas y organizativas (con certificación ISO 27001) para garantizar una protección adecuada. Más información en el Centro de confianza de Microsoft. | |
Certificación HDS | Microsoft Azure dispone de certificación HDS | |
Localmente | Instalaciones locales disponibles. |
Las medidas internas que hemos adoptado para garantizar el tratamiento seguro de los datos personales:
- En Connective únicamente el “personal autorizado” tiene acceso al entorno de producción de nuestros clientes, y solo en la medida imprescindible para llevar a cabo sus tareas. Estas personas autorizadas solo podrán acceder a la información en forma limitada, para fines específicos (p. ej., soporte) y han sido ampliamente capacitadas en materia de protección de datos y confidencialidad;
- En su calidad de Proveedor de Servicios de Confianza, Connective dispone de la certificación ETSI auditada por LSTI;
- En Connective mantenemos un registro específico del tratamiento de datos médicos de salud y penales, tal como lo exige la legislación belga;
- En Connective implementamos amplias medidas técnicas y organizativas, tal como establecidas en nuestra Declaración de medidas técnicas y organizativas;
Así que, con todo lo anterior, puedes estar seguro de que sabemos manejar los proyectos que impliquen el tratamiento de categorías especiales de datos personales. Nuestro Oficial de protección de datos y el resto del equipo están a tu disposición para asesorarte sobre la implementación de nuestras soluciones en tu proyecto específico.