Salta ai contenuti

Firma elettronica avanzata in Smart OSH

Quando invii un documento a un lavoratore da Smart OSH affinché lo firmi —una valutazione dei rischi, una consegna di DPI, un certificato di formazione—, la piattaforma applica un insieme di misure tecniche che gli conferiscono validità come firma elettronica avanzata secondo il Regolamento (UE) 910/2014 (eIDAS).

Questa pagina spiega cosa fa Smart OSH per garantire tale validità, quali evidenze genera e puoi consultare, e quali responsabilità spettano a te come cliente e titolare del trattamento dei dati.

Cosa fa Smart OSH per garantire la validità legale

Sezione intitolata “Cosa fa Smart OSH per garantire la validità legale”

Smart OSH implementa quattro misure che, nel loro insieme, soddisfano i requisiti della firma elettronica avanzata:

  • Firma del documento con certificato digitale interno che garantisce l’integrità: qualsiasi modifica successiva del documento è rilevabile.
  • Rubrica del firmatario incorporata nel documento finale.
  • Registro di audit (auditlog) con la tracciabilità completa della transazione.
  • Documento Legacy probatorio generato automaticamente per ogni firma, con il dettaglio completo del ciclo di vita.

Per ogni firma effettuata, Smart OSH genera un PDF probatorio firmato con un certificato digitale interno, noto anche come Certificato legale probatorio o Certificato legale di completamento.

Questo documento contiene tutte le evidenze elettroniche della transazione, suddivise in due momenti:

Al momento dell’invio del documento:

  • Dati completi dell’azienda cliente: indirizzo fisico, email e responsabile dell’area (PRL / RR. HH.).
  • Dati di chi effettua la comunicazione (lo SPA, quando applicabile).
  • Account email di origine e indirizzo IP di origine.
  • Identificatore univoco del documento.
  • Oggetto della transazione (per esempio, Valutazione dei rischi dicembre 2025).
  • Identificatore univoco del lavoratore, nome completo e dati di contatto.
  • Data e ora dell’invio.

Alla ricezione e firma da parte del lavoratore:

  • Account email di destinazione del lavoratore.
  • Indirizzo IP da cui è stato aperto il documento.
  • Immagine della firma.
  • Data e ora della firma.
  • Data e ora dell’elaborazione finale.
  • Hash del certificato digitale che garantisce la riservatezza e l’integrità.

Le evidenze generate sono accessibili sia per l’amministratore del cliente sia per il lavoratore firmatario:

  • Il documento firmato può essere consultato dal front-end dell’applicazione.
  • Viene inoltre inviato via email al lavoratore e, opzionalmente, al cliente.
  • Il PDF Legacy probatorio può essere scaricato dall’account amministratore.
  • Può essere generato un elenco delle evidenze (report) con: azienda, identificatore del documento, oggetto della transazione, dati del lavoratore, data di invio e data di firma.

Smart OSH fornisce l’infrastruttura tecnica, ma come titolare del trattamento secondo il GDPR ci sono tre punti a cui devi prestare attenzione:

Perché la firma identifichi in modo univoco il firmatario, utilizza sempre l’account email personale del lavoratore all’interno del dominio della tua organizzazione. Evita account generici (info@, personale@, ecc.).

Includi l’uso di questo strumento —e la finalità del trattamento del loro account email— nelle politiche o dichiarazioni sulla privacy che già fornisci ai tuoi lavoratori. È un obbligo derivante dal GDPR che ricade su di te come titolare del trattamento.

Sebbene Smart OSH conservi in modo persistente il documento firmato e il certificato probatorio, si raccomanda come buona pratica conservare una copia di tale documentazione nei tuoi sistemi interni.

Smart OSH si basa sul seguente corpus normativo:

Nel diritto spagnolo, la validità di un contratto non richiede la firma autografa: è valido se le parti con capacità legale raggiungono un accordo, sia verbalmente, tramite mezzi elettronici o su carta.

Il Regolamento eIDAS è tecnologicamente neutro e riconosce tre tipi di firma. Smart OSH implementa la firma elettronica avanzata (FEA), che è quella adatta per i processi abituali di PRL e RR. HH.

Un check o casella di accettazione. Permette di esprimere conformità, ma non identifica in modo affidabile il firmatario. In caso di contenzioso è molto difficile dimostrare chi ha accettato il documento.

Firma avanzata (FEA) — quella usata da Smart OSH

Sezione intitolata “Firma avanzata (FEA) — quella usata da Smart OSH”

Soddisfa quattro requisiti cumulativi:

  • È univocamente collegata al firmatario.
  • Permette di identificare il firmatario.
  • È creata con mezzi che il firmatario mantiene sotto il suo controllo esclusivo.
  • È collegata ai dati firmati in modo che qualsiasi modifica successiva sia rilevabile.

Variante della FEA con dispositivo di creazione sicura certificato da un organismo governativo. Offre le massime garanzie legali (equivalente piena alla firma autografa) ma non è necessaria per i casi d’uso abituali di Smart OSH.


Fonte: «Firma elettronica avanzata nella distribuzione di documenti», rapporto elaborato da Toni Martín Ávila (IT Government Assessor & DPO, IT360.es) per PrevenControl, 22 aprile 2019.