Tabletas digitalizadoras y protección de datos

La recogida de la firma de un usuario en una tableta digitalizadora, es una práctica cada vez más común hoy en día. Mediante este sistema queda guardada de forma digitalizada la firma del usuario, en lugar de tener que escanear posteriormente el documento en formato papel o archivarlo directamente en este formato.

Para las empresas que utilizan esta tecnología las ventajas son claras, la eliminación de la copia en papel se ha traducido en un ahorro de costes substancial. Al mismo tiempo, los procesos son más eficientes, ágiles y seguros, así como el compromiso con el medio ambiente y la reducción de gasto de papel.

Sobre su legalidad, en base al cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personalidad, se debe atender a dos claros principios: finalidad del uso del dato recabado y el deber de información.

El artículo 3.a) de la citada Ley Orgánica define datos de carácter personal como “cualquier información concerniente a personas físicas identificadas o identificables”, es decir toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.

En línea con lo anterior el artículo 2.a) de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24/10/95, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, considera identificable “toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.”

En primer cabe hacer referencia al artículo 5 de la citada Ley Orgánica, haciendo mención al derecho de información en la recogida de los datos:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

  1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. (…)”

Por tanto, de forma previa a la inclusión de la firma, se debería dar cumplimiento al citado precepto, mediante una cláusula o aviso legal donde se indique dicha información, previa a la inclusión de la firma (dato de carácter personal) y al tratamiento de la misma.

En este sentido, la Resolución R/00098/2006 de la Agencia de Protección de Datos (en el Procedimiento Nº PS/00241/2005), recoge la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, al delimitar el contenido esencial del derecho fundamental a la protección de los datos personales, ha considerado el derecho de información como un elemento indispensable del derecho fundamental a la protección de datos, al declarar que: “el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele”

A mayor abundamiento, debe quedar clara la finalidad y el uso exclusivo del dato recabado para la misma, asociándose a un único documento, ateniéndose a lo estipulado en el artículo 6.1 de la Ley Orgánica 15/1999 “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa”, así como del procedimiento establecido para el ejercicio de los derecho de acceso, rectificación, cancelación y oposición, la titularidad del fichero, entidades cedentes o encargados del tratamiento de los mismos, … obteniendo el consentimiento expreso e inequívoco del usuario a dicho tratamiento.

Debe tenerse en cuenta las medidas de seguridad que aportan la propia tableta digitalizadora, así como el software utilizado, que deberá cumplir con las medidas recogidas en la Ley Orgánica 15/1999 de protección de datos de carácter personal y en su reglamento de desarrollo.

Se debe diferenciar dentro del tipo de tecnología utilizada la tabletas que sólo captan la imagen de la firma y aquellas otras mediante las cuales se obtienen datos biométricos, tales como la presión, velocidad coordenadas de la firma, … permitiéndose una correcta identificación de la persona firmante del documento. La comunicación de estos datos debería realizarse de forma encriptada al equipo informático donde van a ser almacenados, salvaguardando los niveles de acceso o la utilización por una persona sin perfil autorizado para ello. Cabe recordar que una firma digitalizada no es una firma digital.

Sólo mediante una correcta aplicación de las medias de seguridad, tales como la vinculación a un único documento PDF, protegido mediante una firma digital, el cifrado de la información o la utilización de certificados pueden evitar una mala utilización o manipulación de los datos recabados, así como una correcta definición de la tableta, la calibración de la misma y el trazo de elemento usado para la firma, que permitan una correcta realización de la firma por el usuario, de forma clara y nítida, permitiéndose la identificación de la misma, evitando posibles casos de suplantación de la identidad.

Por último, en al recogida de los datos y su asociación a un determinado documento, como podría ser el consentimiento para el tratamiento de datos de carácter personal, un determinado contrato, el pago de un servicio o una transacción bancaria; se hace especialmente necesario, el obligado derecho de información, así como la forma en que se puede ejercitar el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1999.

Deberá hacerse constar en el documento de seguridad del Responsable del Fichero el procedimiento implementado, así como, a mi entender, independientemente del nivel de seguridad de los datos recabados o a los que va asociados (datos de salud, consentimientos informados, …), el registro de las personas que acceden a dicha información (personal interno o encargados de tratamiento), así como la correcta asociación al documento referido, evitando así, posteriores perjuicios al usuario final, o incidencias que pudieran producirse. Recordar que se deberá en todo caso atender a la finalidad de la recogida de los datos, las posibles cesiones o comunicaciones de datos, así como a la legislación específica aplicable, en el presente artículo sólo se tratan aspectos generales relacionados con la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal.