Recentemente, a Agência Espanhola de Proteção de Dados (AEPD) emitiu uma resolução sancionatória contra o Governo Regional de Castilla-La Mancha (exp. EXP202406805) que volta a chamar a atenção para um problema recorrente: É correto que o cartão de identificação de funcionários públicos apareça em assinaturas eletrônicas e documentos assinados?
A seguir, explicamos os pontos-chave legais e o impacto prático desta resolução, bem como a situação atual dos certificados digitais, como o T-CAT.
O que o AEPD resolveu?
A resolução analisa se está em conformidade com o RGPD que, em documentos assinados eletronicamente por funcionários públicos, sejam utilizados dados como o Nome, sobrenome e documento de identidade do signatário., acessível a terceiros.
De acordo com a AEPD:
- O DNI é um dado. grande sensibilidadepois permite a identificação direta e inequívoca de uma pessoa e acarreta altos riscos, como o roubo de identidade.
- Sua inclusão em assinaturas ou marcas visíveis pode representar um processamento excessivo de dados.
Elas podem ser violadas:
- el princípio de minimização de dados (artigo 5.1.c do RGPD)
- e o início de Proteção de dados desde a concepção e por padrão (artigo 25 do RGPD)
Por essa razão, a AEPD conclui que seria necessário Evite incluir o DNI (Número de Identificação Nacional) nas informações visíveis de documentos assinados.optando por mecanismos de identificação menos intrusivos.
Não se trata de um debate novo.
A AEPD já havia se manifestado na mesma linha no Relatório 0088/2020, onde afirmou que:
- O DNI Não se trata de um dado que deva ser incluído em atos administrativos..
- Não deve constar na assinatura eletrônica nem nos certificados.
Seria necessário adaptar os regulamentos e promover alternativas como:
- identificadores profissionais
- informações sobre a posição ou unidade
- ou até mesmo pseudônimos em alguns casos.
Em outras palavras, a própria AEPD aponta que a solução reside em uma modificação regulamentar do sistema de certificação digital.
O que aconteceu neste caso específico?
No caso de Castilla-La Mancha, a AEPD declara uma infração, mas não impõe uma penalidade (por se tratar de uma administração pública).
Em vez disso, exige:
- remover o cartão de identificação do propriedades visíveis ao verificar documentos
- Adaptar os sistemas para que estejam em conformidade com o princípio da minimização.
- Acreditar as medidas adotadas no prazo de 6 meses.
Qual é o problema subjacente?
Eis o ponto crucial: Existe um conflito entre as normas de proteção de dados e as normas de certificação digital..
- A Lei 6/2020, de 11 de novembro de 2020, que regulamenta certos aspetos dos serviços de confiança eletrónicos, obriga os prestadores de serviços de confiança a incluir o DNI (Número de Identificação Nacional) nos certificados digitais.
- Além disso, os perfis de certificados da Administração Geral do Estado exigem que o DNI conste em vários campos do certificado (como, por exemplo, Nome comum)
- Esses dados são parte estrutural do certificado e são necessários para a sua emissão. validação e interoperabilidade
Por esse motivo, instituições de crédito como a AOC não pode ser alterado unilateralmente o conteúdo dos certificados sem violar as normas vigentes. A própria AEPD admite que a solução exige uma alteração legislativaNão se trata de uma decisão técnica dos credores.
E os certificados com pseudônimo?
Embora os regulamentos prevejam certificados com identificadores profissionais ou pseudônimos, estes:
- só pode ser emitido em casos muito específicos (segurança pública, informações confidenciais, etc.)
- geralmente não se aplicam a todos os funcionários públicos.
Que soluções práticas têm à sua disposição as administrações públicas?
Até que os regulamentos sejam modificados, as administrações podem aplicar medidas para reduzir a visibilidade do cartão de identificação:
1. Não mostre o documento de identidade na imagem da assinatura.
Os programas de assinatura permitem configurar quais dados são exibidos. Isso não remove o ID do certificado, mas impede que ele apareça visivelmente no documento. Veja como evite o ID da imagem de assinatura
2. Gere cópias eletrônicas autênticas.
Eles permitem:
- Oculte o ID tanto na imagem quanto nas propriedades visíveis.
- substitua por dados mínimos de assinatura
Essas cópias têm validade legal se estiverem acompanhadas do selo da organização. Veja como. gerar um còpia autêntico e ocultar a identidade da imagem e das propriedades visíveis:
3. Utilizar outros mecanismos
Como, por exemplo, selos eletrônicos e códigos de verificação seguros (CSV).
Conclusões
- A AEPD considera que a exibição do DNI em documentos assinados pode violar o RGPD.
- As normas atuais sobre certificados requer a inclusão dele, gerando um conflito regulatório.
- Prestadores de serviços confiáveis como a AOC Eles não podem remover o DNI dos certificados..
- A solução definitiva é através de um reforma regulatória estadual e europeia.
- Entretanto, as administrações devem implementar medidas para minimização na visualização e acesso a dados.
