¿Es la firma un dato personal según la LOPDGDD?
¿Es la firma un dato personal?
Sí, la firma es un dato personal, considerada como tal tanto por la LOPDGDD como por el RGPD. Y, si bien es cierto, que en ninguna de las leyes aparece mencionada explícitamente la firma personal, de la definición de lo que es un dato personal del artículo 4 del RGPD podemos inferir que, en efecto, la firma lo es.
La definición que recoge el RGPD dice que un dato personal es «toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».
Sin duda, la firma funciona como un identificador único mediante el que se puede identificar a una persona, no sólo porque esta pueda, en algunos casos, incluir nombre y apellidos claramente legibles, sino porque la rúbrica es un elemento que se ve pocas veces alterado con el paso del tiempo (al menos, desde que empieza a tener valor legal para determinadas transacciones) y permite «reconocer» y verificar la identidad de su emisor (pensemos, por ejemplo, en la firma del DNI o en las firmas de los contratos).
Pero además, y siguiendo con la definición de dato personal, la firma manuscrita es uno de esos elementos de la identidad fisiológica, puesto que cómo hacemos nuestra firma sirve para identificar, recurriendo a un perito caligráfico o cierta tecnología, si se ha tratado de falsificar una firma o si es auténtica.
¿Qué tipo de dato personal es la firma?
Ahora que ya hemos establecido que de acuerdo al RGPD y la LOPDGDD la firma es un dato personal, ¿qué tipo de dato personal es?
La firma es un dato identificativo de los que llamaríamos básicos, es decir, de aquellos que no requieren medidas de protección especiales.
Sin embargo, podemos decir también que la firma puede llegar a considerarse un dato biométrico, es decir, un dato de las denominadas categorías especiales (art. 9 del RGPD) que requieren siempre el consentimiento para su tratamiento y de una mayor protección. Esta consideración de dato biométrico sólo la tiene la llamada firma biométrica.
La firma biométrica es un sistema de firma que permite la identificación inequívoca de la persona mediante la captura de ciertos parámetros propios de esta a la hora de hacer la firma, como son la velocidad de escritura, la presión y la aceleración aplicadas en la realización de los trazos de la misma. Se trata de un tipo de firma digital.
¿Y la firma digital?
Visto todo lo anterior, la conclusión es que la firma digital es también un dato personal, tanto si se trata de una firma biométrica como si es la firma electrónica asociada a un certificado digital. En ambos casos se trata de un identificador único que permite identificar de manera inequívoca a una persona.
En conclusión, como dato personal, a la hora de tratar la firma de nuestros clientes o empleados, debemos cumplir con las obligaciones que establecen la LOPDGDD y el RGPD para el tratamiento de datos personales (licitud, transparencia, consentimiento, medidas de seguridad, etc.). Y si tenemos intención de usar sistemas para emplear firmas biométricas, habrá que tener en cuenta otros aspectos, como contar siempre con el consentimiento del interesado para su uso y tratamiento, y valorar si debe realizarse una evaluación de impacto.
Para más información sobre qué son datos personales, no dudes en contactarnos.