Firma elettronica e GDPR: cosa prevede la normativa europea

Gli strumenti digitali rappresentano un supporto fondamentale per snellire e velocizzare le pratiche burocratiche e lo scambio di documenti sia per le aziende che per i comuni cittadini e la pubblica amministrazione. Tuttavia, questo non può avvenire a discapito della privacy e della conformità alle normative che la regolamentano. In Unione Europea, la normativa regina in questo ambito è senza dubbio il GDPR.

In questo articolo andremo dunque a esaminare il legame tra firma elettronica e GDPR, e in che modo le aziende possono assicurarsi di rispettare la legge nel loro utilizzo degli strumenti digitali di firma. Ma prima facciamo una veloce panoramica su questi due temi.

Secondo la definizione Codice dell'amministrazione digitale, una firma elettronica è “un insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”. Insomma, è un metodo per identificare un firmatario per via informatica, consentendogli di firmare un documento per via digitale. 

Detto questo, occorre sapere che esistono diverse tipologie di firma elettronica, che si differenziano soprattutto per il loro livello di sicurezza. Vediamole insieme.

La firma elettronica semplice, tipologia più comune e meno sofisticata di firma elettronica, è l'ideale per un uso rapido e limitato a documenti di importanza non critica. Non prevede un'identificazione forte del firmatario, né ha caratteristiche precise definite dalla legge. Per fare un esempio, la firma apposta sul terminale di un corriere che ti consegna una merce è considerata una firma elettronica semplice. 

Questa tipologia prevede una conferma dell'identità del firmatario tramite l'invio da parte dello strumento di firma di un codice di almeno quattro cifre valido una sola volta (“one time password” o OTP, appunto). Tale codice può essere inviato via SMS, e-mail o messaggio vocale.

La firma con OTP è utile per documenti come preventivi, lettere d'incarico, contratti di vendita, pre-contratti, informative sulla privacy.

A differenza della firma elettronica semplice, la firma elettronica avanzata (FEA) è definita più precisamente dalla normativa eIDAS e dall'ordinamento giuridico italiano. Le caratteristiche che deve possedere sono un'identificazione forte del firmatario, una connessione univoca tra il firmatario e la firma, il controllo esclusivo del firmatario nella generazione della firma, inclusi i dati biometrici eventualmente utilizzati, la certezza che il documento non sia stato modificato dopo la firma e via dicendo. 

Insomma, con una firma FEA si ha la certezza che il firmatario sia chi dice di essere, che sia effettivamente la persona che ha firmato, che la firma sia stata apposta sul dato documento e che questo non sia stato modificato in seguito. Tutte qualità che rendono questa tipologia adatta a documenti di maggiore importanza, come documenti assicurativi e bancari.

La tipologia più sicura di firma elettronica è anche nota in Italia come firma digitale. Rispetto alla FEA, prevede un'identificazione ancora più forte tramite l'utilizzo di un token che serve a convalidare l'identità del firmatario, attraverso una chiave crittografata preventivamente validata dall'AGID (Agenzia per l'Italia digitale).

La FEQ è fondamentale per documenti di grande importanza, come il registro di protocollo informatico, il bilancio d'esercizio, i registri IVA, o per partecipare a gare d'appalto pubbliche.

La sigla GDPR sta per General Data Protection Regulation, ovvero Regolamento generale sulla protezione dei dati, ed è la normativa UE che stabilisce le modalità di trattamento di dati personali da parte di aziende e organizzazioni. 

Sono soggetti al GDPR tutti i liberi professionisti e le persone giuridiche che trattano i dati personali di persone fisiche (e non, quindi, altri professionisti o aziende) nell'ambito della loro attività. 

La legge stabilisce che tali dati possano essere trattati solo se esiste una base giuridica di tale trattamento, ovvero se il trattamento risulta lecito secondo quanto definito dall'articolo 6. Alcuni esempi di tale base giuridica sono il consenso al trattamento dei dati da parte dell'interessato, o la necessità del trattamento per adempiere un obbligo legale, per eseguire un contratto di cui l'interessato è parte, per compiti di interesse pubblico e così via. 

Gli interessati devono essere informati sullo scopo del trattamento dei loro dati, inclusi dettagli come l'eventuale invio dei dati stessi all'estero, terze parti e così via.

Non solo, ma gli interessati possono in qualunque momento revocare il loro consenso e richiedere la cancellazione dei dati, anche se questi sono nel frattempo passati a una terza parte. Inoltre hanno il diritto alla portabilità dei dati, vale a dire che possono ricevere dall'azienda in questione i dati personali trattati e conservarli a loro volta o trasmetterli ad altri titolari del trattamento. 

Tutte le aziende e i liberi professionisti che prevedono il trattamento dei dati dei cittadini UE, devono agire in conformità con il GDPR. In caso contrario, l'autorità incaricata di far rispettare la normativa, che in italia è il Garante della privacy, può applicare delle sanzioni sia di tipo pecuniario che amministrativo. Le sanzioni sono salatissime, dato che possono arrivare a 10 milioni di euro o 2% del fatturato globale dell'azienda nei casi meno gravi. Per i casi gravi, le multe possono raddoppiare.

Tra le misure tecniche e organizzative che le aziende devono adottare per essere conformi al GDPR ci sono:

• La redazione del registro dei trattamenti dei dati personali, un documento in cui sono indicati le operazioni di trattamento effettuate, le finalità, i dati del titolare del trattamento e degli eventuali responsabili, e tutti gli altri dettagli necessari
• La nomina di un Data Protection Officer
• La redazione dell'informativa sulla privacy
• L'analisi dei rischi
• L'istituzione di un registro dei data breach (ovvero delle violazioni della privacy dei dati)

Veniamo ora al cuore della questione, la relazione tra il GDPR e la firma elettronica. Com'è facile comprendere, l'apposizione di una firma elettronica richiede spessissimo l'elaborazione di alcuni dati personali, come ad esempio il nome e il cognome del firmatario, il suo indirizzo e-mail, o i dati biometrici per la firma grafometrica. 

Proprio come in qualunque altra occasione, il trattamento di tali dati da parte dell'azienda che utilizza la firma elettronica deve essere conforme al regolamento europeo, e quindi corrispondere ai criteri di liceità, trasparenza e minimizzazione del trattamento. Il firmatario deve dunque essere informato sulle finalità del trattamento e, se necessario, esprimere il suo consenso. 

Inoltre, il GDPR richiede che la sicurezza di tali dati sia garantita tramite una serie di misure come quelle che abbiamo elencato sopra. Restano poi invariati i diritti come quello all'accesso, alla cancellazione e alla portabilità dei dati.

Vediamo ora un esempio di caso d'uso della firma elettronica in conformità al GDPR:

• L'azienda italiana XY assume un nuovo dipendente, a cui invia il contratto di lavoro per via telematica. Il dipendente deve firmarlo tramite firma elettronica avanzata. Questa deve essere apposta tramite un'applicazione SaaS di firma elettronica come quella realizzata da noi di Yousign. 
• Prima della firma, il dipendente riceve sull'applicazione stessa un'informativa sulla privacy conforme al GDPR, dove sono illustrate base giuridica, finalità di trattamento, tipi di dati raccolti e così via.
• L'applicazione si occupa quindi di verificare l'identità del firmatario, ad esempio tramite OTP e caricamento del documenti d'identità. I dati scambiati in questa maniera andranno anch'essi trattati in modo conforme. 
• La firma viene apposta garantendo un collegamento univoco al firmatario tramite una crittografia a chiave asimmetrica. Anche qui, sono presenti dei dati che richiedono un trattamento conforme al GDPR.
• Infine, il contratto va conservato in modo da proteggerne la privacy (ad esempio tramite una crittografia end-to-end), con accessi limitati ai soli autorizzati e solo per il tempo necessario per adempiere agli obblighi di legge. 

A proposito di quest'ultimo punto, vale la pena spendere qualche parola in più.

La normativa di riferimento per la conservazione dei documenti informatici da parti di aziende e PA è l'articolo 44 del Codice dell'Amministrazione Digitale. Essa afferma che tale conservazione debba avvenire “in modo da garantire autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti stessi, anche con riferimento ai profili organizzativi e alle modalità tecniche di realizzazione.” 

Anche i sistemi con cui i documenti devono essere conservati, insomma, devono essere conformi alla legge e devono essere in grado di assicurare che i documenti rimangano integri e reperibili nel tempo.

Un breve capitolo a parte lo dedichiamo a cosa dice la legge in termini di conservazione dei dati biometrici. A normare questo punto è il provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 emanato dal Garante per la protezione dei dati personali e stabilisce che:

• L'uso della biometria debba avere una base giuridica valida e le persone debbano essere debitamente informate del trattamento dei loro dati
• I dati debbano essere protetti tramite criptazione, limiti di accesso e misure per evitare i data breach.
• La conservazione deve cessare nel momento in cui i dati non servono più.
• La valutazione d'impatto (DPIA) diventa in questi casi quasi sempre obbligatoria.

Vediamo ora alcune buone pratiche di fondamentale importanza che le imprese devono abbracciare per mantenersi conformi al GDPR nel loro uso della firma elettronica:

• Scegliere la firma elettronica giusta per le loro esigenze. Un livello di sicurezza troppo elevato così come uno troppo blando potrebbero rappresentare un problema.
• Garantire che siano prese le misure tecniche necessarie per proteggere i dati ottenuti.
• Informare i firmatari attraverso un'informativa a norma di legge.
• Utilizzare un servizio di firma elettronica in linea con la normativa eIDAS e il GDPR.

In quanto software di firma elettronica in linea con le normative italiane ed europee, la soluzione per imprese elaborata da noi di Yousign facilità la conformità, garantendo processi di firma a norma per quanto riguarda il trattamento e la conservazione dei dati.