La Oficina del Delegado de Protección de Datos de Salud consulta a la APDCAT sobre el uso de la firma electrónica

La Oficina del Delegado de Protección de Datos (DPD) de Salud ha obtenido un pronunciamiento de la Autoritad Catalana de Protección de Datos (APDCAT) sobre la viabilidad jurídica de la implementación de la firma electrónica. Este pronunciamiento está relacionado con el uso de la firma electrónica en diferentes casos dentro del ámbito de la administración pública sanitaria. El uso de la firma electrónica siempre ha generado debate jurídico en cuanto a los requisitos necesarios para su admisibilidad, sin que hasta el momento existiera un pronunciamiento por parte de esta autoridad de control.

En este sentido, el pronunciamiento de la APDCAT es relevante ya que proporciona respuestas a diversas situaciones que hasta ahora paralizaban ciertos proyectos debido a la inseguridad jurídica que generaba el uso de la firma electrónica. A partir de los supuestos planteados por la Oficina del DPD de Salud, la APDCAT argumenta jurídicamente los siguientes términos de uso aceptable de la firma electrónica por parte de las personas no obligadas a disponer de certificado electrónico.

Asimismo, expone la distinción entre identificación y autenticación, que considera fundamental para los supuestos planteados por la Oficina del DPD de Salud.

Firma de documentos de consentimiento informado a través de La Meva Salut (LMS)

Si nos encontramos en un entorno de La Meva Salut con un alto nivel de identificación y autenticación, la firma electrónica debe garantizar la integridad y conservación de lo que se firma. Esto significa que, en el momento de la firma del Consentimiento Informado (CI), será necesario un sistema de firma fuerte desde el punto de vista legal y técnico.

Es posible firmar un documento de consentimiento informado mediante el uso de un código de un solo uso (OTP), siempre que cumpla con los requisitos de seguridad necesarios, como el tiempo de validez del código o el establecimiento de requisitos de seguridad adicionales de acuerdo con lo establecido en el Reglamento (UE) 910/2014, de 23 de julio de 2014. El dictamen determina que es potestad de la Administración valorar su implementación, realizar el correspondiente análisis de riesgos e implementar los mecanismos adicionales que permitan garantizar la integridad del documento que se firma.

Asimismo, añade que la articulación del trámite de firma del CI debe realizarse de manera que permita acreditar que el ciudadano tiene a su disposición toda la información sobre el trámite de firma y que ha accedido a ella de manera efectiva.

 

Firma de documentos de consentimiento informado mediante el uso de la firma electrónica presencial

Este escenario se refiere al uso de tabletas para firmar cuando una persona realiza trámites presencialmente, ya sea como usuario del sistema público de salud o como donante.

La APDCAT analiza la naturaleza de este tipo de firma, que implica el tratamiento de un dato biométrico y tiene la consideración de dato especialmente protegido según la normativa de protección de datos. Esto implica una limitación en su uso.

Por otro lado, es importante tener en cuenta que en estos casos la identificación y autenticación del usuario se realiza presencialmente por el personal que lo atiende. La firma biométrica se realiza exclusivamente con el propósito de incorporar la firma electrónica al CI, por lo que no es la firma la que autentica.

A partir de estas premisas, la APDCAT considera que en este escenario hay dos tratamientos de datos con bases legitimadoras diferenciadas:

Primer tratamiento: derivado de la recopilación y depósito de la firma solo para este propósito, ya que la identificación y autenticación de la persona se ha realizado presencialmente, y solo con el fin de conservarla de manera segura para el futuro en caso de una eventual discrepancia. Es decir, no existe una plantilla biométrica de la firma registrada previamente. La base legitimadora sería el consentimiento del interesado, que debe tener la alternativa de firmar de manera manuscrita (art. 9.2.a. RGPD).

Segundo tratamiento: en caso de discrepancia futura, en la que se realizaría una prueba pericial tecnológica contradictoria y la persona tendría que firmar nuevamente y realizar una comparativa. La base legitimadora sería la formulación, el ejercicio o la defensa de reclamaciones (art. 9.2.f. RGPD).

La APDCAT concluye que considera viable el uso de este tipo de firma siempre que se acompañe de una serie de requisitos adicionales, como ofrecer un sistema alternativo de firma, aplicar las medidas de seguridad necesarias, cumplir con el deber de información sobre el tratamiento de los datos y llevar a cabo una Evaluación de Impacto en la Protección de Datos (AIPD).

Estos argumentos y conclusiones son los mismos tanto si los firmantes son pacientes como si son donantes.

 

Firma electrónica remota para la firma de contratos laborales

Este caso se refiere a la firma con el dedo sobre la pantalla de un dispositivo. La APDCAT considera que si la firma consiste solo en la presión sobre la pantalla del dispositivo, no se trataría de un dato biométrico. Por lo tanto, no supondría la aplicación del régimen de las categorías especiales de datos.

En este caso, la APDCAT considera que es un sistema de firma válido desde el punto de vista legal (el artículo 25 del Reglamento eIDAS reconoce efectos jurídicos en función del caso concreto), sin perjuicio de que su valor probatorio sería inferior a otros sistemas de firma que implican medidas de seguridad correspondientes a un nivel superior.

En estas circunstancias y teniendo en cuenta que no se considera un dato especialmente protegido, no sería necesario realizar una Evaluación de Impacto en la Protección de Datos (AIPD). Sin embargo, sí sería necesario cumplir con los requisitos de transparencia de la información y adoptar las medidas de seguridad adecuadas.

Adjuntamos el dictamen para su conocimiento y recomendamos su lectura completa para tener en cuenta todos los matices que indica para llevar a cabo una implementación correcta de los diferentes sistemas de firma electrónica que analiza.

  • Dictamen en relació amb la consulta formulada per l’Oficina del Delegat de Protecció de Dades de Salut a l’Autoritat Catalana de Protecció de Dades sobre la signatura de documents en format electrònic

  • El pronunciamiento de APDCAT es relevante ya que ofrece respuestas a diversas situaciones que, hasta ahora, frenaban ciertos proyectos debido a la incertidumbre legal en torno al uso de la firma electrónica