L’Oficina del DPD de Salut ha obtingut un pronunciament de l’Autoritat Catalana de Protecció de Dades (APDCAT) sobre la viabilitat jurídica de la implementació de la signatura electrònica. Aquest pronunciament té relació a l’ús de la signatura electrònica en diferents casos dins l’àmbit de l’administració pública sanitària. L’ús de la signatura electrònica sempre ha generat debat jurídic respecte als requisits necessaris per a la seva admissibilitat sense que fins al moment existís un pronunciament per aquesta autoritat de control.
En aquest sentit, el pronunciament de l’APDCAT és rellevant ja que dona resposta a diverses situacions que fins ara paralitzaven determinats projectes degut a la inseguretat jurídica que generava l’ús de signatura electrònica. A partir dels supòsits plantejats per l’Oficina del DPD de Salut, l’APDCAT argumenta jurídicament els següents termes d’ús acceptable de la signatura electrònica per part de les persones no obligades a disposar de certificat electrònic.
Així mateix, exposa la distinció entre identificació i autenticació que considera fonamental per als supòsits plantejats per l’Oficina del DPD de Salut.
Si a LMS ens trobem en un entorn d’identificació i autenticació alt, la signatura electrònica ha de garantir la integritat i conservació d’allò que se signi. Això suposa que, en el moment de la signatura del CI, serà necessari un sistema de signatura fort jurídica i tècnicament.
És possible signar un document de consentiment informat mitjançat l’ús d’un codi d’un sol ús (OTP), sempre i quan es doti dels requeriments de seguretat necessaris com per exemple el temps de validesa del codi o l’establiment de requisits de seguretat addicionals en consonància amb l’establert al Reglament (UE) 910/2014, de 23 de juliol de 2014. El dictamen determina que és potestat de l’Administració valorar la seva implantació, realitzar el corresponent anàlisi de riscos i implementar els mecanismes addicionals que permetin garantir l’integritat del document que es signa.
Tanmateix afegeix que l’articulació del tràmit de signatura del CI s’ha de fer d’una manera que permeti acreditar que el ciutadà té a la seva disposició tota la informació respecte el tràmit de signatura i que hi ha accedit efectivament.
Aquest supòsit fa referència a l’ús de tauletes per signar quan la persona fa tràmits presencialment ja sigui com a usuaris del sistema públic de salut o com a donants.
L’APDCAT analitza la naturalesa d’aquest tipus de signatura que suposa el tractament d’una dada biomètrica i que té la consideració de dada especialment protegida per part de la normativa de protecció de dades. Fet que implica una limitació en el seu ús.
D’altra banda, cal tenir en compte que en aquests supòsits la identificació i autenticació de l’usuari s’ha fet presencialment pel personal que l’atén. La signatura biomètrica es fa exclusivament a efectes d’incorporar la signatura electrònica al CI de manera que no és la signatura la que l’autentica.
A partir d’aqueste premisses, l’APDCAT considera que en aquest supòsit hi ha dos tractaments de dades amb bases legitimadores diferenciades:
Primer tractament: derivat de la recollida i dipòsit de la signatura només a aquest efecte perquè la identificació i autenticació de la persona s’ha fet presencialment, i només a efectes de conservar-la de manera segura de cara al futur per si hi hagués una eventual discrepància. Es a dir no existeix una plantilla biomètrica de la signatura prèviament registrada. La base legitimadora seria el consentiment de l’interessat, el qual ha de tenir l’alternativa de signar de manera manuscrita (art. 9.2.a. RGPD).
Segon tractament: en cas de discrepància futura en què es realitzaria una prova pericial tecnològica contradictòria en què la persona hauria de signar novament i fer una comparativa. La base legitimadora seria la formulació, l’exercici o la defensa de reclamacions (art. 9.2.f. RGPD).
L’APDCAT conclou que considera viable l’ús d’aquest tipus de signatura sempre que s’acompanyi d’una sèrie de requeriments addicionals com oferir un sistema alternatiu de signatura, aplicar les mesures de seguretat necessàries, donar compliment al deure d’informació en quan al tractament de les dades i efectuar una AIPD.
Aquests arguments i conclusions són els mateixos tant si els signataris son pacients com si són donants.
Aquest supòsit fa referència a la signatura amb el dit sobre la pantalla d’un dispositiu. L’APDCAT considera que si la signatura consisteix només de la pressió sobre la pantalla del dispositu no es tractaria d’una dada biomètrica. Per tant no suposaria l’aplicació del règim de les categories especials de dades.
En aquest cas l’APDCAT considera que és un sistema de signatura vàlid jurídicament (l’article 25 del ReiDAS reconeix efectes jurídics en funció del cas concret), sense prejudici del fet que el seu valor probatori seria inferior a d’altres sistemes de signatura que impliquin mesures de seguretat corresponents a un nivell superior.
En aquestes circumstàncies i tenint en compte que no es considera dada especialment protegida, no caldria realitzar una AIPD. No obstant sí caldria complir amb els requeriments de transparència de la informació i adoptar les mesures de seguretat adients.
Adjuntem el dictamen per coneixement i recomanem la realització d’una lectura completa per tenir en compte tots els matisos que indica per portar a terme una correcta implementació dels diferents sistemes de signatura electrònica que analitza.
Dictamen en relació amb la consulta formulada per l’Oficina del Delegat de Protecció de Dades de Salut a l’Autoritat Catalana de Protecció de Dades sobre la signatura de documents en format electrònic
Subscriu-te i rep cada mes novetats i notícies al teu email