DNI i certificats digitals dels empleats públics: què diu l’AEPD i què implica per a les administracions? 

Facebook Facebook Facebook Facebook Share

Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha dictat una resolució sancionadora contra la Junta de Comunitats de Castella-la Manxa (exp. EXP202406805) que torna a posar el focus sobre una qüestió recurrent: és correcte que el DNI dels empleats públics aparegui en les signatures electròniques i documents signats? 

A continuació, expliquem les claus jurídiques i l’impacte pràctic d’aquesta resolució, així com la situació actual dels certificats digitals com les T-CAT. 

Què ha resolt l’AEPD? 

La resolució analitza si és conforme amb el RGPD que, en documents signats electrònicament per funcionaris, es mostrin dades com el nom, cognoms i DNI del signant, accessibles a tercers. 

Segons l’AEPD: 

  • El DNI és una dada de gran sensibilitat, ja que permet identificar de manera directa i inequívoca una persona i comporta riscos elevats com la suplantació d’identitat. 
  • La seva inclusió en signatures o marques visibles pot suposar un tractament excessiu de dades

Es vulneren potencialment:

  • el principi de minimització de dades (art. 5.1.c RGPD) 
  • i el principi de protecció de dades des del disseny i per defecte (art. 25 RGPD) 

Per aquest motiu, l’AEPD conclou que caldria evitar la inclusió del DNI en la informació visible dels documents signats, apostant per mecanismes d’identificació menys intrusius. 

No és un debat nou 

L’AEPD ja s’havia pronunciat en la mateixa línia a l’Informe 0088/2020, on afirmava que: 

  • El DNI no és una dada que hagi de constar en els actes administratius
  • No hauria de figurar ni en la signatura electrònica ni en els certificats. 

Caldria adaptar la normativa i impulsar alternatives com:

  • identificadors professionals 
  • informació del càrrec o unitat 
  • o fins i tot pseudònims en alguns casos 

És a dir, la pròpia AEPD apunta que la solució passa per una modificació normativa del sistema de certificació digital

Què ha passat en aquest cas concret? 

En el cas de Castella-la Manxa, l’AEPD declara infracció, però no imposa sanció (en tractar-se d’una administració pública). 

En canvi, li requereix: 

  • eliminar el DNI de les propietats visibles en verificar documents 
  • adaptar els sistemes per complir el principi de minimització 
  • acreditar les mesures adoptades en un termini de 6 mesos 

Quin és el problema de fons? 

Aquí es troba el punt clau: hi ha un conflicte entre normativa de protecció de dades i normativa de certificació digital

  • La Llei 6/2020, d’11 de novembre de 2020, reguladora de determinats aspectes dels serveis electrònics de confiança obliga els prestadors de serveis de confiança a incloure el DNI en els certificats digitals 
  • A més, els perfils de certificats de l’Administració General de l’Estat exigeixen que el DNI consti en diversos camps del certificat (com el Common Name)  
  • Aquestes dades formen part estructural del certificat i són necessàries per a la seva validació i interoperabilitat 

Per això, els prestadors com l’AOC no poden modificar unilateralment el contingut dels certificats sense incomplir la normativa vigent. L mateixa AEPD admet que la solució requereix una modificació legislativa, no una decisió tècnica dels prestadors. 

I els certificats amb pseudònim? 

Tot i que la normativa preveu certificats amb identificadors professionals o pseudònims, aquests: 

  • només es poden emetre en casos molt concrets (seguretat pública, informació classificada, etc.) 
  • no són aplicables de forma general a tots els empleats públics 

Quines solucions pràctiques tenen al seu abast les administracions públiques? 

Mentre no es modifiqui la normativa, les administracions poden aplicar mesures per reduir la visibilitat del DNI

1. No mostrar el DNI a la imatge de signatura 

Els programes de signatura permeten configurar quines dades es visualitzen. Això no elimina el DNI del certificat, però evita que aparegui de forma visible al document. Consulta com evitar el dni de la imatge de la signatura

2. Generar còpies electròniques autèntiques 

Permeten: 

  • ocultar el DNI tant en la imatge com en les propietats visibles 
  • substituir-lo per dades mínimes del signant 

Aquestes còpies tenen validesa jurídica si s’acompanyen del segell de l’organització. Consulta com generar una còpia autèntica i amagar el DNI de la imatge i propietats visibles:  

3. Utilitzar altres mecanismes 

Com per exemple segells electrònics i codis segurs de verificació (CSV) 

Conclusions 

  • L’AEPD considera que mostrar el DNI en documents signats pot vulnerar el RGPD. 
  • La normativa vigent de certificats obliga a incloure’l, generant un conflicte regulatori. 
  • Els prestadors de serveis de confiança com l’AOC no poden eliminar el DNI dels certificats
  • La solució definitiva passa per una reforma normativa estatal i europea
  • Mentrestant, les administracions han d’aplicar mesures de minimització en la visualització i accés a les dades.
Publicat a

Subscriviu-vos al butlletí AOC

Rebeu setmanalment la dosis de vitamines per avançar cap a un govern digital

Entrades relacionades

Veure totes →
  • Certificació digital ·
  • Identitat i signatura digital

Prepara la Renda 2025 amb l’idCAT Certificat

La campanya de la Renda 2025 comença el 8 d’abril i s’allargarà fins al 30 de juny. Per presentar la declaració per internet cal disposar d’un certificat digital reconegut....
  • Identitat digital ·
  • Identitat i signatura digital

Els catalans a l’exterior poden obtenir l’idCAT Certificat amb vídeoidentificació

El Govern de Catalunya, a través de l’Administració Oberta de Catalunya (AOC) i amb el suport dels Departaments de Presidència i d’Unió Europea i Acció Exterior, ha posat...
  • Certificació digital ·
  • Entitats registre idCAT i T-CAT
    • ...

Canvi en les targetes T-CAT: JCOP4

A l’AOC continuem treballant per garantir un entorn segur, estable i alineat amb la normativa europea vigent. En aquest context, iniciarem el procés de canvi de...