Firma elettronica avanzata in Smart OSH
Quando invii un documento a un lavoratore da Smart OSH affinché lo firmi —una valutazione dei rischi, una consegna di DPI, un certificato di formazione—, la piattaforma applica un insieme di misure tecniche che gli conferiscono validità come firma elettronica avanzata secondo il Regolamento (UE) 910/2014 (eIDAS).
Questa pagina spiega cosa fa Smart OSH per garantire tale validità, quali evidenze genera e puoi consultare, e quali responsabilità spettano a te come cliente e titolare del trattamento dei dati.
Cosa fa Smart OSH per garantire la validità legale
Sezione intitolata “Cosa fa Smart OSH per garantire la validità legale”Smart OSH implementa quattro misure che, nel loro insieme, soddisfano i requisiti della firma elettronica avanzata:
- Firma del documento con certificato digitale interno che garantisce l’integrità: qualsiasi modifica successiva del documento è rilevabile.
- Rubrica del firmatario incorporata nel documento finale.
- Registro di audit (auditlog) con la tracciabilità completa della transazione.
- Documento Legacy probatorio generato automaticamente per ogni firma, con il dettaglio completo del ciclo di vita.
Il documento Legacy probatorio
Sezione intitolata “Il documento Legacy probatorio”Per ogni firma effettuata, Smart OSH genera un PDF probatorio firmato con un certificato digitale interno, noto anche come Certificato legale probatorio o Certificato legale di completamento.
Questo documento contiene tutte le evidenze elettroniche della transazione, suddivise in due momenti:
Al momento dell’invio del documento:
- Dati completi dell’azienda cliente: indirizzo fisico, email e responsabile dell’area (PRL / RR. HH.).
- Dati di chi effettua la comunicazione (lo SPA, quando applicabile).
- Account email di origine e indirizzo IP di origine.
- Identificatore univoco del documento.
- Oggetto della transazione (per esempio, Valutazione dei rischi dicembre 2025).
- Identificatore univoco del lavoratore, nome completo e dati di contatto.
- Data e ora dell’invio.
Alla ricezione e firma da parte del lavoratore:
- Account email di destinazione del lavoratore.
- Indirizzo IP da cui è stato aperto il documento.
- Immagine della firma.
- Data e ora della firma.
- Data e ora dell’elaborazione finale.
- Hash del certificato digitale che garantisce la riservatezza e l’integrità.
Come accedere alle evidenze
Sezione intitolata “Come accedere alle evidenze”Le evidenze generate sono accessibili sia per l’amministratore del cliente sia per il lavoratore firmatario:
- Il documento firmato può essere consultato dal front-end dell’applicazione.
- Viene inoltre inviato via email al lavoratore e, opzionalmente, al cliente.
- Il PDF Legacy probatorio può essere scaricato dall’account amministratore.
- Può essere generato un elenco delle evidenze (report) con: azienda, identificatore del documento, oggetto della transazione, dati del lavoratore, data di invio e data di firma.
Cosa spetta a te come cliente
Sezione intitolata “Cosa spetta a te come cliente”Smart OSH fornisce l’infrastruttura tecnica, ma come titolare del trattamento secondo il GDPR ci sono tre punti a cui devi prestare attenzione:
Email aziendale del lavoratore
Sezione intitolata “Email aziendale del lavoratore”Perché la firma identifichi in modo univoco il firmatario, utilizza sempre l’account email personale del lavoratore all’interno del dominio della tua organizzazione. Evita account generici (info@, personale@, ecc.).
Dovere di informare i lavoratori
Sezione intitolata “Dovere di informare i lavoratori”Includi l’uso di questo strumento —e la finalità del trattamento del loro account email— nelle politiche o dichiarazioni sulla privacy che già fornisci ai tuoi lavoratori. È un obbligo derivante dal GDPR che ricade su di te come titolare del trattamento.
Conservazione aggiuntiva
Sezione intitolata “Conservazione aggiuntiva”Sebbene Smart OSH conservi in modo persistente il documento firmato e il certificato probatorio, si raccomanda come buona pratica conservare una copia di tale documentazione nei tuoi sistemi interni.
Quadro normativo di riferimento
Sezione intitolata “Quadro normativo di riferimento”Smart OSH si basa sul seguente corpus normativo:
- Legge 1/2000, di Procedura Civile.
- Legge 34/2002, sui servizi della società dell’informazione e sul commercio elettronico.
- Legge 59/2003, sulla firma elettronica.
- Legge 11/2007, sull’accesso elettronico dei cittadini ai Servizi Pubblici.
- Regolamento (UE) 910/2014 (eIDAS).
- Legge 39/2015, sulla Procedura Amministrativa Comune.
- Regolamento (UE) 2016/679 (GDPR).
- LO 3/2018, sulla Protezione dei Dati Personali e garanzia dei diritti digitali.
Nel diritto spagnolo, la validità di un contratto non richiede la firma autografa: è valido se le parti con capacità legale raggiungono un accordo, sia verbalmente, tramite mezzi elettronici o su carta.
Tipi di firma elettronica secondo eIDAS
Sezione intitolata “Tipi di firma elettronica secondo eIDAS”Il Regolamento eIDAS è tecnologicamente neutro e riconosce tre tipi di firma. Smart OSH implementa la firma elettronica avanzata (FEA), che è quella adatta per i processi abituali di PRL e RR. HH.
Firma semplice
Sezione intitolata “Firma semplice”Un check o casella di accettazione. Permette di esprimere conformità, ma non identifica in modo affidabile il firmatario. In caso di contenzioso è molto difficile dimostrare chi ha accettato il documento.
Firma avanzata (FEA) — quella usata da Smart OSH
Sezione intitolata “Firma avanzata (FEA) — quella usata da Smart OSH”Soddisfa quattro requisiti cumulativi:
- È univocamente collegata al firmatario.
- Permette di identificare il firmatario.
- È creata con mezzi che il firmatario mantiene sotto il suo controllo esclusivo.
- È collegata ai dati firmati in modo che qualsiasi modifica successiva sia rilevabile.
Firma qualificata
Sezione intitolata “Firma qualificata”Variante della FEA con dispositivo di creazione sicura certificato da un organismo governativo. Offre le massime garanzie legali (equivalente piena alla firma autografa) ma non è necessaria per i casi d’uso abituali di Smart OSH.
Fonte: «Firma elettronica avanzata nella distribuzione di documenti», rapporto elaborato da Toni Martín Ávila (IT Government Assessor & DPO, IT360.es) per PrevenControl, 22 aprile 2019.