RGPD y firma electrónica: cómo cumplir con la AEPD

Por qué la firma electrónica genera tanto dato personal#

Una firma electrónica no es solo una imagen pegada en un PDF. Para tener fuerza probatoria, las soluciones modernas capturan:

• Identidad del firmante: nombre, apellidos, email, DNI/NIE.
• Metadatos del dispositivo: IP, user agent, sistema operativo, idioma del navegador.
• Geolocalización aproximada (derivada de IP o GPS).
• Timestamp de cada interacción (apertura del email, lectura del documento, firma).
• Trazo biométrico (en firmas manuscritas en tablet) — categoría especial Art. 9 RGPD.
• Datos del documento firmado — que pueden incluir datos de salud, financieros, laborales o de categoría especial.

Toda esa información cae bajo el RGPD. Para cumplir, hay que tomar decisiones específicas en cada uno de estos siete bloques.

1. Identifica responsable y encargado#

El RGPD UE 2016/679 distingue dos roles:

• Responsable del tratamiento (Controller): quien decide finalidad y medios del tratamiento.
• Encargado del tratamiento (Processor): quien trata los datos por cuenta del responsable.

En el caso de una clínica que usa una plataforma de firma electrónica:

• Responsable: la clínica (decide qué documentos firma, con quién, para qué).
• Encargado: el proveedor de la plataforma (procesa los datos por instrucción de la clínica).

Esto implica firmar un acuerdo de encargado de tratamiento (DPA, Art. 28 RGPD) con el proveedor antes de procesar datos. El DPA debe especificar:

• Objeto, duración, naturaleza y finalidad del tratamiento.
• Tipo de datos personales y categorías de interesados.
• Obligaciones y derechos del responsable.
• Subprocesadores autorizados.
• Medidas técnicas y organizativas (Art. 32 RGPD).
• Asistencia al responsable en el ejercicio de derechos.
• Devolución o supresión de datos al final del contrato.

2. Base legal del tratamiento (Art. 6 RGPD)#

El RGPD exige una base legal explícita para cada tratamiento. Para la firma electrónica, las bases típicas son:

Art. 6.1.b — Ejecución contractual#

Aplica cuando el firmante es parte del contrato que se firma. Ejemplos:

• Empleado firmando contrato laboral.
• Cliente firmando un acuerdo de servicios.
• Paciente firmando consentimiento informado para una intervención.

Es la base más sólida. No requiere consentimiento adicional para los datos estrictamente necesarios para ejecutar el contrato.

Art. 6.1.c — Obligación legal#

Aplica cuando una norma exige firma electrónica. Ejemplos:

• Receta médica privada con QES (RD 1718/2010).
• Notificaciones electrónicas a la Administración (Ley 39/2015).
• Factura electrónica B2G (Ley 25/2013).

Art. 6.1.f — Interés legítimo#

Aplica para flujos donde no hay relación contractual directa pero sí interés legítimo del responsable que prevalece sobre los derechos del firmante. Ejemplos:

• NDAs con counterparties potenciales.
• Aprobaciones internas entre empresas del mismo grupo.
• Audit trail post-firma (registro de evidencias).

Requiere test de ponderación documentado.

Art. 6.1.a — Consentimiento#

Solo para tratamientos que NO encajan en las bases anteriores. Por ejemplo, marketing post-firma, o investigación médica con datos pseudonimizados.

El consentimiento RGPD es revocable en cualquier momento y no puede usarse cuando hay desequilibrio significativo (relación laboral, asistencial sin alternativa).

«Tratamientos basados en consentimiento no se consideran libremente prestados cuando exista un claro desequilibrio entre el interesado y el responsable del tratamiento.»

3. Datos de categoría especial (Art. 9 RGPD)#

Si firmas documentos sanitarios (consentimientos, recetas, historias clínicas) tratas datos de salud — categoría especial del Art. 9 RGPD. Necesitas además una excepción del Art. 9.2:

Excepción Art. 9.2	Caso de uso típico
a) Consentimiento explícito	Investigación, marketing sanitario
b) Cumplimiento obligaciones laborales	Datos sanitarios del empleado para PRL
f) Interés vital del interesado	Urgencia médica con paciente inconsciente
g) Interés público importante	Notificación obligatoria a sanidad pública
h) Asistencia sanitaria	Consentimiento informado clínico, historia clínica
i) Salud pública	Vigilancia epidemiológica

Para una clínica privada, la base habitual es Art. 9.2.h (asistencia sanitaria) — no requiere consentimiento explícito siempre que el médico esté sujeto a secreto profesional.

4. Audit trail y minimización#

El RGPD impone minimización de datos (Art. 5.1.c): solo los datos adecuados, pertinentes y limitados a lo necesario para la finalidad.

En audit trail de firma electrónica, los datos típicamente recogidos:

Dato	Necesidad probatoria	Retener
Nombre + apellidos del firmante	Imprescindible	Sí
Email del firmante	Imprescindible	Sí
IP	Alta (autenticación contextual)	Sí
User agent / dispositivo	Media (evidencia de coherencia)	Sí
DNI/NIE	Solo si la firma lo requiere	Solo si requerido
Geolocalización GPS exacta	Baja (suele bastar IP)	No (sí región)
Datos biométricos del trazo	Alta (firma manuscrita en tablet)	Sí cifrados
Timestamp eventos (apertura, lectura, firma)	Imprescindible	Sí

Buena práctica: enmascarar DNI en evidencias (***5678A en lugar de 12345678A) por defecto. Estipula lo hace via flag evidencePacketMaskDni activado por defecto.

5. Retención de datos firmados#

¿Cuánto tiempo retienes los documentos firmados y sus evidencias?

El RGPD no impone plazos concretos pero exige justificación. Criterios típicos:

• Mientras dure la relación contractual + plazos de prescripción:
  • Contratos civiles: 5 años (Art. 1964 CC).
  • Contratos laborales: 4 años + cuotas SS pendientes.
  • Documentos fiscales: 4-6 años (Ley General Tributaria).
  • Historias clínicas: 5 años desde alta del paciente o 15-20 años según comunidad autónoma.
  • Receta médica privada dispensada: 2 años (variable).
• Hasta que el tratamiento ya no sea necesario según finalidad.
• Indefinido si interés legítimo subsiste (ej. evidencia de NDA roto que se litiga 10 años después).

La justificación documentada vive en el registro de actividades de tratamiento (Art. 30 RGPD).

6. Derechos ARCO-POL del firmante#

Cada firmante (empleado, cliente, paciente) tiene los derechos del Cap. III RGPD:

• Acceso (Art. 15) — copia de sus datos.
• Rectificación (Art. 16) — corrección de inexactitudes.
• Cancelación / supresión (Art. 17) — derecho al olvido.
• Oposición (Art. 21) — al tratamiento basado en interés legítimo.
• Portabilidad (Art. 20) — recibir datos en formato estructurado.
• Olimitación (Art. 18) — limitar el tratamiento sin borrar.
• Lacción ante la AEPD (Art. 77).

Para firma electrónica, el más delicado es la supresión. ¿Qué pasa si un firmante pide borrar sus datos pero la firma forma parte de un audit trail probatorio?

Solución técnica: anonimización en lugar de supresión. Sustituir nombre/email/DNI/IP por hashes irreversibles que mantienen la cadena criptográfica del audit pero anonimizan al sujeto. El considerando 26 RGPD reconoce que la anonimización satisface el derecho al olvido sin destruir el rastro probatorio.

7. Transferencias internacionales#

Si tu proveedor de firma o sus subprocesadores están fuera del Espacio Económico Europeo (EEE), aplican garantías Art. 44-49 RGPD:

• Decisiones de adecuación — Andorra, Japón, Corea del Sur, Reino Unido (post-Brexit), Suiza, etc.
• Cláusulas contractuales tipo (SCC) — Decisión 2021/914 CE.
• Reglas corporativas vinculantes (BCR) para grupos multinacionales.
• EU-US Data Privacy Framework — para proveedores USA adheridos.

Buena práctica: elige proveedor con datos almacenados en la UE/España. Estipula procesa datos en Supabase EU (Frankfurt) y Resend (US-DPF para envío de emails).

Cumplimiento práctico — checklist para empresas#

Antes de empezar a firmar electrónicamente, completa este checklist:

1. ✅ Identifica la base legal correcta para cada tipo de documento.
2. ✅ Firma DPA con el proveedor (Art. 28 RGPD).
3. ✅ Documenta el tratamiento en el registro de actividades (Art. 30).
4. ✅ Si hay datos de salud, identifica la excepción Art. 9.2 aplicable.
5. ✅ Define plazos de retención justificados.
6. ✅ Configura audit trail con minimización (DNI enmascarado, sin GPS exacto).
7. ✅ Implementa respuesta a ARCO-POL (export + supresión/anonimización).
8. ✅ Verifica localización de datos (UE preferible).
9. ✅ Capacita a tu equipo en uso correcto (no enviar datos sensibles fuera del flujo).
10. ✅ Realiza EIPD (evaluación de impacto) si tratas datos de salud o de menores a gran escala.

Preguntas frecuentes#

¿Hace falta consentimiento explícito para firmar un consentimiento clínico?#

No. La base legal es Art. 9.2.h (asistencia sanitaria) si el médico está sujeto a secreto profesional. El paciente firma su consentimiento informado para la intervención, no para el tratamiento de sus datos por la clínica.

¿Puedo borrar el audit trail si un firmante lo pide?#

No, en general. La base legal del audit trail es interés legítimo (probatorio). La solución técnica es anonimizar (sustituir identificadores por hashes) en lugar de borrar, manteniendo la cadena criptográfica.

¿Las IPs de los firmantes son datos personales?#

Sí. La AEPD y la jurisprudencia europea consideran que las IPs son datos personales por permitir identificación cuando se cruzan con otros datos. Aplica todo el régimen RGPD.

¿Mi proveedor en USA cumple con RGPD?#

Solo si está adherido al EU-US Data Privacy Framework o si firmas con él cláusulas contractuales tipo SCC. Verifica antes de contratar. Estipula procesa datos principalmente en EU.

¿Necesito un Delegado de Protección de Datos (DPO) si uso firma electrónica?#

Solo si tu organización cumple los criterios del Art. 37 RGPD: autoridad pública, tratamiento a gran escala de categorías especiales, o seguimiento sistemático de personas. La mera adopción de firma electrónica no obliga por sí sola.

¿La AEPD ha sancionado por firma electrónica mal implementada?#

Sí, casos por:

• Falta de DPA con proveedor.
• Retención excesiva.
• Falta de respuesta a derechos ARCO-POL.
• Tratamiento de datos de salud sin base Art. 9.2.

Las sanciones de la AEPD pueden alcanzar 20 millones EUR o 4% facturación según gravedad.