Conformidad eIDAS para PyMES: la checklist completa 2026

El reglamento europeo eIDAS (UE n°910/2014, próximamente modificado por eIDAS 2.0) regula la firma electrónica en toda la Unión Europea. Para una PyME, estar en conformidad no es solo una casilla a marcar: es la garantía de que sus contratos son oponibles, que sus datos de firma están protegidos, y que se protege contra riesgos jurídicos que pueden resultar costosos. Aquí está la checklist 2026 en 12 puntos concretos para verificar que su PyME es perfectamente conforme a eIDAS.

Punto 1: elegir el nivel de firma correcto

Primer reflejo: cartografíe sus tipos de contratos y asocie un nivel objetivo. Contratos comerciales estándar (presupuestos, órdenes de compra, NDA simples): SES es suficiente. Contratos de trabajo, arrendamientos, NDA sensibles, acuerdos estratégicos: AES mínimo, preferiblemente con OTP SMS. Actos regulados (abogado, notario, mercados públicos por encima de un umbral): QES obligatorio. Sin este mapeo, corre el riesgo de subdimensionamiento (contrato rechazado) o sobredimensionamiento (costo excesivo).

Punto 2: verificar la calificación del prestador

Su prestador debe ser un prestador de servicios de confianza (QTSP) o apoyarse en un QTSP para los niveles AES/QES. Consulte la Trust Services List publicada por la ANSSI (eidas.ssi.gouv.fr) y la Trusted List europea (webgate.ec.europa.eu/tl-browser). Los QTSP franceses de referencia: Certigna, Docaposte, Certinomis, Universign. Para SES/AES a través de plataforma (Certyneo, Yousign, etc.), verifique su conformidad eIDAS explícitamente documentada.

Punto 3: probar el rastro de auditoría

Firme una envoltura de prueba y recupere el rastro de auditoría (generalmente un PDF separado). Debe contener: identidad y correo electrónico del firmante, marca de tiempo de cada etapa (envío, apertura, validación, firma), dirección IP, agente de usuario, hash del documento, validación OTP si AES. Si falta alguno de estos elementos, el valor probatorio se debilita. Certyneo proporciona el rastro de auditoría completo incluso en plan gratuito.

Punto 4: controlar la marca de tiempo

La marca de tiempo debe ser emitida por una Time Stamp Authority (TSA) conforme a RFC 3161. Una marca de tiempo simplemente emitida por un servidor NTP de la empresa no es suficiente. Abra el PDF firmado en Adobe Reader: pestaña Firmas → Detalles → Marca de tiempo. Debe ver un certificado TSA válido y un reloj certificado. Si el PDF no tiene marca de tiempo certificada, reconsidere la elección del prestador.

Punto 5: archivar 10 años mínimo

El Código de Comercio (artículo L. 123-22) impone una conservación de 10 años para documentos comerciales. El Código del Trabajo impone 5 años para contratos de trabajo posterior a la ruptura. El archivo debe preservar la integridad (hash, sellado) y el acceso. Ideal: formato PDF/A (ISO 19005), almacenamiento dual (primario + copia de seguridad fuera del sitio), cofre-fuerte electrónico calificado (CFE) para máxima prueba. Certyneo archiva 10 años por defecto y ofrece exportación a CFE asociados.

Punto 6: verificar la localización de datos

¿Dónde están alojados sus datos de firma? Para una PyME francesa que maneja contratos sensibles, privilegie un alojamiento en Francia o UE. Solicite a su prestador la lista de subcontratistas y su localización (artículo 28 RGPD). Evite soluciones sujetas a la Cloud Act estadounidense para contratos estratégicos. Certyneo está alojado en Francia, sin dependencia de Cloud Act. Ver nuestro artículo en /blog/cloud-act-signature-electronique.

Punto 7: articular con el RGPD

Firma y RGPD están estrechamente vinculadas: cada sobre contiene datos personales (nombre, correo, IP, teléfono). Asegúrese de que su registro de tratamientos (art. 30 RGPD) incluya firma electrónica, que los plazos de conservación sean coherentes (10 años), y que los derechos de las personas sean implementables (acceso, rectificación, portabilidad). Si solicita muchas firmas, se recomienda un DPO. Ver nuestro artículo /blog/signature-electronique-rgpd.

Punto 8: identificar a los firmantes por adelantado

Para un AES sólido, la identificación no comienza en la firma: comienza en la recopilación de datos. Verifique los correos electrónicos (sin alias, sin listas de correo), los números de teléfono (sin línea compartida), y mantenga registro de la fuente de identificación (documento de identidad para contratos importantes, KYC cliente existente para contratos continuos). Esta debida diligencia fortalece la prueba en caso de litigio.

Punto 9: capacitar a los equipos

Sus equipos comerciales, RH, jurídicos deben comprender las reglas: nunca forzar a un firmante a usar un dispositivo de terceros, nunca devolver un PDF firmado modificado, nunca pegar una imagen de firma escaneada en lugar de una firma real. Una hora de capacitación por equipo es suficiente para anclar los buenos hábitos. Certyneo proporciona una guía completa para compartir internamente (/recursos).

Punto 10: verificar los contratos de los prestadores

Los Términos y Condiciones del prestador de firma deben: comprometer la conformidad eIDAS, precisar duraciones de archivo, incluir acuerdo de subcontratación RGPD (art. 28), documentar subcontratistas, prever plan de reversibilidad en caso de cese. Solicite también SOC 2 Type II o equivalente si maneja volúmenes importantes. Para Certyneo, estos documentos están disponibles en /legal y /security.

Punto 11: prepararse para eIDAS 2.0 y EUDI Wallet

El reglamento eIDAS 2.0 (UE 2024/1183) entra en vigor progresivamente e impone a los Estados miembros desplegar un EUDI Wallet antes de finales de 2026. Esta cartera de identidad digital permitirá acceder a QES a distancia sin oficina de registro física. Prepare su PyME: verifique que su prestador tenga roadmap EUDI Wallet, siga las comunicaciones de la ANSSI y de la Comisión Europea. Ver /blog/eidas-2-nuevo-reglement-2026.

Punto 12: auditar anualmente

La conformidad no es un estado adquirido: es un enfoque continuo. Programe una auditoría anual (interna o externa) para verificar: cambios regulatorios, evoluciones del prestador, mapeo actualizado de tipos de contrato, conservación efectiva, capacitación de nuevos empleados. Una auditoría ligera toma media jornada para una PyME y evita muchas sorpresas. Comience creando una cuenta gratuita de Certyneo en certyneo.com/signup para probar la conformidad concreta, luego consulte nuestra guía eIDAS para profundizar (/guide/eidas).