Publicitat de documents amb signatures

Per a la publicitat de determinats documents que contenen o poden contenir signatures cal tenir en compte les següents consideracions en matèria de protecció de dades:

No publicar documents amb signatures manuscrites:

La signatura manuscrita (rúbrica) constitueix una dada personal de caràcter identificatiu que connecta amb el dret a la intimitat personal i familiar pel fet que aquesta signatura és també utilitzada en l’esfera privada de la persona. A més, l’eventual publicació de signatures manuscrites pot comportar un risc de reproducció amb exactitud.

La publicació de documents subjectes al règim de publicitat activa que continguin aquestes signatures manuscrites és excessiva i contrària al principi de minimització de dades en tractar-se de dades no estricament necessàries per a poder identificar a les persones signants. (dictàmens CNS 34/2016, CNS 58/2018 i CNS 1/2019, CNS 38/2019 APDCat i PS 44/2019).

Per tant;

  • És necessari ocultar la signatura manuscrita de la documentació a publicar als portals de transparència.

  • Es recomana fer constar que la versió original del document està signada per les persones que hi intervenen.

Els àmbits en els que cal extremar les precaucions de divulgació indeguda de la signatura manuscrita són aquells en els que els signants no disposen de signatura electrònica (cas cada vegada menys comú, sobretot quan els signants són treballadors públics i càrrecs electes).

Es recomana revisar, en especial, la publicació de documents com contractes i convenis que puguin contenir signatures manuscrites de terceres persones que no tenen la condició de treballador públic ni de càrrec electe.

Ocultar el DNI de les signatures electròniques:

La publicació de documents subjectes al règim de publicitat activa que continguin signatures electròniques en la que es mostri el DNI dels signants constitueix una pràctica contrària al principi de minimització de dades ja que, de la mateixa manera que en les signatures manuscrites, es tracta d’una dada excessiva i innecessària per a la identificació dels signants dels documents. (CNS 17/2017, CNS 1/2019 i CNS 39/2020 APDCat).

A efectes que es pugui identificar correctament als signants de determinats documents (en especial quan aquests són treballadors públics) sí que es considera justificada la inclusió de dades personals com el nom i cognoms del signant i el càrrec a la signatura electrònica. (article 5.1 c RGPD)

D’acord al que es disposa a l’article 6.1 de la Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança, i la Norma Tècnica d’Interoperabilitat de Política de Signatura i Segell Electrònic i de Certificats d’Administració (en endavant NTI) els certificats qualificats de signatura electrònica i autenticació expedits a persones físiques (entre els que s’hi troben les TCAT i TCAT-P expedides a treballadors públics) han d’incloure obligatòriament, entre d’altres dades, el número del DNI o número d’identitat d’estranger de manera que no és possible, amb excepció dels certificats de pseudònim, que la signatura electrònica basada en certificats qualificats no inclogui el DNI. L’APDCat ja ha manifestat en reiterades ocasions (FJ III CNS 39/2020 entre d’altres) que la inclusió d’aquest camp a la signatura hauria de ser un atribut específic addicional i no obligatori sempre que no comprometi la interoperabilitat i reconeixement de la signatura electrònica qualificada.

Per tal de conciliar la presència de la metadada DNI a les signatures electròniques basades en certificats qualificats i la no publicació de dades excessives en els documents subjectes a publicitat activa es proposen diverses alternatives:

OPCIÓ A: Valorar la conveniència de portar a terme la publicació dels documents subjectes a publicitat activa sense incorporar signatures electròniques. Aquesta és una proposta de l’APDCAT que es fonamenta en l’article 38 de la Llei 40/2015, d’1 d’octubre, de règim jurídic de les administracions publiques segons el qual l’establiment d’una seu electrònica suposa l’existència de responsabilitat del titular respecte la integritat, veracitat i actualització de la informació i serveis als que es pot accedir des de la mateixa. És a dir, els documents que es trobin en un entorn amb certificat de SEU-E es presumeixen vàlids, íntegres i actualitzats encara que aquests no es trobin signats. (CNS 1/2019 FJ V i CNS 39/2020 FJ V)

OPCIÓ B: Mantenir visible la signatura electrònica però amb l’aparença modificada de manera que no es pugui visualitzar el número de DNI i en un format que no permeti accedir a les propietats de la signatura. És a dir, impossibilitar la consulta de les metadades de la signatura entre les que s’hi troba el DNI.

OPCIÓ C: Publicar una imatge del document objecte de publicitat activa (no el document en el seu format original) en què, com a dades de les persones signants, hi consti únicament el nom, cognoms i càrrec. Per portar-ho a terme seria necessari:

  • Definir l’aparença de la signatura electrònica de manera que només siguin visibles les dades relatives al nom, cognoms i càrrec.

  • Convertir el document objecte de publicació a format imatge (com podria ser, per exemple, escanejant-lo).

En aquest últim supòsit  cal tenir en compte les directrius per garantir l’accessibilitat dels documents electrònics generats en format imatge (en concret, per  a les persones amb discapacitat virtual). D’acord amb les previsions de la normativa sobre accessibilitat cal facilitar l’opció alternativa de poder accedir als documents incorporats com a imatge també en format textual (el text contingut en la imatge) (CNS 12/2020 (FJ IV i V) i CNS 39/2020 APDCat (FJ V)). Es recomana l’ús d’impressores virtuals de conversió a .pdf per generar documents en format text pels quals no sigui necessària la tecnologia de reconeixement de text específica (OCR) per a poder llegir-los.

En el cas que s’opti per aquesta opció caldrà tenir en compte que el document publicat en forma d’imatge no complirà amb els requisits de l’article 26 de la Llei 39/2015, d’1 d’octubre, de procediment administratiu de les administracions públiques relatiu a l’emissió de documents electrònics vàlids per part de les administracions públiques ni tampoc amb la Norma Tècnica d’Interoperabilitat del Document Electrònic ja que, en tractar-se d’una imatge, no incorporaria ni els requisits ni les metadades mínimes obligatòries que han de tenir els documents per a ser considerats documents electrònics vàlids.

OPCIÓ D: Certificar que el document objecte de difusió ha estat signat per una persona concreta a través d’algun sistema de compulsa digital que no incorpori les dades que formen part del certificat qualificat de la persona que signa l’acte, sinó només les dades de l’òrgan que fa la compulsa (les dades del segell d’òrgan).

En aquesta opció cal mantenir, a efectes de publicitat activa, les dades que fan referència a les persones que han signat els documents (nom, cognoms i càrrec).

La solució tecnològica Còpia de l’AOC permet dur a terme aquesta compulsa de manera plenament respectuosa amb la protecció de dades perquè en el procés de generació de còpies autèntiques d’un document original electrònic signat amb un certificat qualificat només captura les següents metadades de la signatura electrònica del document original:

  • Data de la signatura electrònica

  • Nom i cognoms del signatari del document original

  • Organització a la qual pertany el signatari del document original

  • CIF de l’organització a la qual pertany el signatari del document original