(Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal)
A los efectos de esta Ley, las firma electrónicas manuscritas (imagen de firma y datos biométricos) son consideradas “datos de carácter personal”:
Artículo 3: “Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables”
Según indica el artículo 4, los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Asimismo, el artículo 5 de la Ley recoge el derecho a la información. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
En el apartado 2 del mismo artículo, se detalla que «Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior»
Por último el artículo 9 hace referencia a la necesidad de garantizar la seguridad de los datos, en este caso biométricos:
«El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural»
Conclusiones
Por lo tanto, en el caso de que se recaben datos personales (ej: datos biométricos de la firma en una tableta digitalizadora) deberá tenerse en cuenta los aspectos considerados en esta Ley, en particular se deberá:
- Informar de la finalidad con la que se recaba la firma, la entidad responsable del fichero y del modo de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Esta información se puede incluir cómo un mensaje previo a la firma en la tableta digitalizadora, por ejemplo: «Los datos de carácter personal registrados para la firma (incluyendo la firma digitalizada) quedarán registrados en un fichero de la empresa X. Pueden ejercitar los derechos de acceso, rectificación, cancelación y oposición ante el X, en la calle X, CP X Ciudad.»
- Utilizar esa firma única y exclusivamente para la finalidad descrita, para lo cual es importante la asociación a un único documento.
- Tener en cuenta las medidas de seguridad que ofrecen la tableta y el software utilizado. En este sentido, es importante obtener los datos biométricos cifrados en todo momento, para garantizar su seguridad.