Obligaciones del proveedor de firma electrónica en Argentina

Introducción

Desplegar una solución de firma electrónica en Argentina no es algo que se improvise. Detrás de cada firma calificada o avanzada se esconden decenas de obligaciones legales que corresponden al proveedor de servicios de confianza (PSCo). Reglamento eIDAS, RGPD, referencial general de seguridad, normas ETSI… el marco regulatorio es tanto denso como evolutivo. Para las empresas usuarias, comprender estas obligaciones legales del proveedor de firma electrónica Argentina eIDAS RGPD es indispensable para elegir un socio conforme y evitar cualquier riesgo jurídico. Este artículo detalla, sección por sección, el conjunto de exigencias aplicables a los PSCo operando en territorio argentino.

---

El estatuto de proveedor de servicios de confianza calificado

¿Qué es un PSCo según eIDAS?

El reglamento eIDAS nº 910/2014 distingue dos categorías de proveedores: los proveedores de servicios de confianza no calificados y los proveedores calificados (PSCQ). Los primeros pueden ofrecer servicios de firma electrónica simple o avanzada sin auditoría de terceros obligatoria. Los segundos —únicamente autorizados a emitir firmas calificadas según el artículo 3(15) de eIDAS— deben satisfacer exigencias considerablemente más estrictas.

En Argentina, es la Agencia Nacional de Seguridad de Sistemas de Información (ANSSI) quien cumple el rol de autoridad de supervisión (« Supervisory Body ») previsto por el artículo 17 de eIDAS. Publica y mantiene la lista de confianza argentina (TSL — Trust Service List), accesible en su sitio oficial, listando los proveedores calificados y sus servicios.

El procedimiento de calificación: auditoría y conformidad

Para obtener el estatuto calificado, un PSCo debe obligatoriamente:

• Hacer auditar sus servicios por un organismo de evaluación de la conformidad (CAB — Conformity Assessment Body) acreditado por el COFRAC según la norma EN ISO/IEC 17065.

• Presentar el informe de auditoría a ANSSI, quien decide sobre la concesión del estatuto calificado. Este estatuto se reevalúa al menos cada 24 meses (artículo 20 §1 eIDAS).

• Notificar a ANSSI cualquier cambio sustancial en sus servicios dentro de 3 meses antes de la modificación prevista (artículo 21 eIDAS).

El incumplimiento de estos pasos expone al proveedor a cancelación de la TSL y pérdida de las presunciones jurídicas asociadas a la firma calificada. Para las empresas clientes, recurrir a un PSCo no listado en la TSL equivale a no beneficiarse de ninguna presunción legal de confiabilidad.

> Para profundizar en los diferentes niveles de firma y sus efectos jurídicos, consulta nuestro artículo.

---

Obligaciones técnicas y de seguridad impuestas a los PSCo

Cumplimiento de normas ETSI

Los proveedores calificados deben conformarse a un conjunto de normas europeas publicadas por el Instituto Europeo de Normas de Telecomunicaciones (ETSI). Las principales son:

• ETSI EN 319 401: exigencias generales de seguridad aplicables a todos los PSCo.

• ETSI EN 319 411-1 y 411-2: políticas y prácticas de las autoridades de certificación emitiendo certificados de firma calificada.

• ETSI EN 319 132: formatos de firma electrónica avanzada (XAdES para XML, PAdES para PDF, CAdES para CMS).

• ETSI EN 319 122: formato CAdES para firmas calificadas.

• ETSI TS 119 431: exigencias para servicios de creación de firma remota (QSCD remoto).

Estas normas no son opcionales: el reglamento eIDAS (Anexos II, III y IV) las referencia explícitamente para definir las exigencias mínimas de certificados calificados y dispositivos de creación de firma.

Gestión de dispositivos seguros de creación de firma (QSCD)

Uno de los pilares de la firma calificada es el uso de un dispositivo seguro de creación de firma (QSCD — Qualified Signature Creation Device) conforme al Anexo II de eIDAS. El proveedor debe garantizar que:

• La clave privada del firmante no puede ser generada, almacenada o copiada fuera del QSCD.

• La generación de clave se realiza exclusivamente en un entorno certificado (certificación Common Criteria EAL 4+ o equivalente).

• La autenticación del firmante precediendo todo acto de firma se basa en al menos dos factores de autenticación.

En un contexto de firma remota —cada vez más frecuente en entornos SaaS— estas exigencias se aplican al servidor HSM (Hardware Security Module) alojando las claves. ANSSI ha publicado perfiles de protección específicos (PP-0075, PP-0076) definiendo los criterios de seguridad a alcanzar.

Política de continuidad y notificación de incidentes

El artículo 19 de eIDAS impone a todo proveedor de servicios de confianza (calificado o no):

• Notificar a la autoridad de supervisión (ANSSI) y, en su caso, a la autoridad de protección de datos (CNIL), dentro de 24 horas tras detectar una violación de seguridad susceptible de afectar la confiabilidad del servicio.

• Mantener un plan de continuidad de actividad documentado y probado regularmente.

• Contar con una política de seguridad de la información formalizada, cubriendo principalmente la gestión de riesgos, gestión de incidentes y política de respaldo.

Estas exigencias se solapan parcialmente con aquellas de la directiva NIS2 (2022/2555/UE), transpuesta al derecho francés por la ley nº 2023-703 del 1º de agosto de 2023, que clasifica a los PSCo de tamaño significativo entre entidades importantes o esenciales sujetas a obligaciones reforzadas de ciberseguridad.

> Descubre cómo la firma electrónica debe integrar estas restricciones en sus flujos documentarios.

---

Obligaciones RGPD específicas a los PSCo

¿Es el PSCo responsable del tratamiento o encargado?

La clasificación RGPD del proveedor depende de la naturaleza del servicio prestado:

• Cuando el PSCo emite directamente certificados calificados a nombre del firmante y determina las finalidades del tratamiento de datos personales (identidad, datos biométricos de autenticación), actúa como responsable del tratamiento según el artículo 4(7) RGPD.

• Cuando integra su API en la plataforma de un cliente B2B y trata datos personales según las únicas instrucciones de ese cliente, reviste la calidad de encargado (artículo 4(8) RGPD) y debe obligatoriamente celebrar un DPA (Acuerdo de Tratamiento de Datos) conforme al artículo 28 RGPD.

En la práctica, la mayoría de PSCo SaaS cumulan ambas calidades: responsables para la gestión de su propia infraestructura de certificación, encargados para el tratamiento de documentos y metadatos de los firmantes.

Obligaciones específicas vinculadas a datos biométricos y de identidad

La identificación y autenticación del firmante —paso obligatorio para emitir un certificado calificado— frecuentemente implica el tratamiento de datos sensibles: escaneo de documento de identidad, selfie de video, datos biométricos de reconocimiento facial. Estos datos constituyen datos personales sujetos al RGPD, incluso datos biométricos comprendidos en el artículo 9 RGPD (categorías especiales).

Las obligaciones del PSCo incluyen:

• Base legal: consentimiento explícito (artículo 9§2a) o, en ciertos casos, obligación legal (artículo 9§2b) para el tratamiento de datos biométricos.

• Duración de conservación limitada: según las directrices CNIL, los datos de identificación deben conservarse el tiempo estrictamente necesario, generalmente alineado con la duración de validez del certificado + duración legal de prueba (frecuentemente 10 años para actos bajo firma privada, artículo 2224 del Código Civil).

• Análisis de impacto (AIPD) obligatorio (artículo 35 RGPD) cuando el tratamiento es susceptible de generar un riesgo elevado —lo que es sistemáticamente el caso para biometría.

• Registro de tratamientos (artículo 30 RGPD) actualizado y documentando cada categoría de tratamiento.

Transferencias internacionales de datos

Numerosos PSCo alojan toda o parte de su infraestructura fuera del Espacio Económico Europeo (EEE). En tal caso, las garantías apropiadas exigidas por el capítulo V RGPD se imponen: decisión de adecuación, cláusulas contractuales normalizadas (SCCs) de la Comisión Europea o reglas corporativas vinculantes (BCR). La sentencia Schrems II (TJUE, C-311/18, 16 julio 2020) recordó que las transferencias hacia Estados Unidos requieren un análisis previo de riesgo país.

> Para comprender el impacto de estas reglas en tu organización, consulta nuestro artículo.

---

Obligaciones de transparencia e información hacia los usuarios

Política de certificación (PC) y declaración de prácticas de certificación (DPC)

Todo PSCo emitiendo certificados está obligado a publicar una Política de Certificación (PC) y una Declaración de Prácticas de Certificación (DPC), conforme a la norma ETSI EN 319 411. Estos documentos, libremente accesibles, detallan:

• Los procedimientos de identificación e inscripción de firmantes.

• Las medidas de seguridad física y lógica desplegadas.

• Las condiciones de revocación de certificados y los plazos asociados.

• Las responsabilidades y limitaciones de garantía del PSCo.

La ausencia o incompletitud de estos documentos constituye un incumplimiento susceptible de ser relevado durante la auditoría de recalificación por el organismo acreditado.

Información precontractual y contractual de los clientes

Más allá de obligaciones puramente técnicas, el artículo 13 RGPD impone al PSCo proporcionar a cada persona cuyos datos son recopilados información clara y accesible sobre:

• La identidad del responsable del tratamiento y coordenadas del DPO (obligatorio para PSCo que tratan a gran escala datos sensibles, artículo 37 RGPD).

• Las finalidades y bases legales de cada tratamiento.

• Los derechos de las personas (acceso, rectificación, supresión, portabilidad, oposición).

• Eventuales destinatarios de los datos (encargados, autoridades).

Esta información debe figurar en la política de privacidad del servicio, en los Términos de Uso y, en su caso, en el DPA celebrado con clientes profesionales.

Sellado de tiempo calificado y pista de auditoría

Para garantizar el valor probatorio a largo plazo de las firmas, los PSCo serios asocian sistemáticamente un sello de tiempo electrónico calificado (artículo 42 eIDAS) a cada acto firmado. Este sello constituye una prueba legalmente presumida de la existencia del dato en la fecha indicada. La conservación de la pista de auditoría (registros de identificación, huella del documento, datos de la firma) es una obligación de facto para permitir cualquier verificación judicial ulterior.

> Compara las soluciones del mercado según estos criterios en nuestro análisis comparativo.

---

eIDAS 2.0: las nuevas obligaciones en el horizonte 2026-2027

El reglamento eIDAS 2.0 (UE) 2024/1183

Publicado en el Diario Oficial de la UE el 30 de abril de 2024, el reglamento (UE) 2024/1183 denominado «eIDAS 2.0» refuerza significativamente las obligaciones de los PSCo alrededor de tres ejes:

• La Cartera Europea de Identidad Digital (EUDI Wallet): los Estados miembros deben poner a disposición una cartera de identidad digital certificada antes del 2 de noviembre de 2026. Los PSCo deberán integrar su servicio con esta cartera para proporcionar firmas calificadas vía identidad eIDAS 2.0.

• La gestión de certificaciones de atributos: eIDAS 2.0 introduce las certificaciones de atributos calificadas (QEAAs), emitidas por proveedores calificados de certificación. Nuevos procedimientos de auditoría y calificación se aplicarán.

• El refuerzo de la supervisión: las autoridades nacionales de supervisión (ANSSI para Argentina) ven ampliados sus poderes, particularmente la capacidad de realizar auditorías sorpresa e imponer medidas correctivas vinculantes en plazos acortados.

Implicaciones prácticas para los proveedores actuales

Los PSCo ya calificados bajo eIDAS 1.0 deberán proceder a una adecuación progresiva antes de los plazos fijados por los actos de ejecución de la Comisión (publicados o en curso de publicación). Las principales adaptaciones conciernen:

• La refundición de la infraestructura de identificación para soportar la EUDI Wallet como medio de autenticación.

• La actualización de PC/DPC para integrar las nuevas tipologías de certificados y certificaciones.

• El refuerzo de exigencias de seguridad de QSCD remotos, con nuevos perfiles de protección por venir.

Para las empresas clientes, esto significa verificar desde hoy que su proveedor dispone de una hoja de ruta de conformidad eIDAS 2.0 documentada y verificable.

Marco legal aplicable a las obligaciones de los proveedores de firma electrónica

La cadena normativa aplicable a proveedores de firma electrónica operando en Argentina se articula en varios niveles jerárquicos complementarios.

Código Civil argentino — Artículos 1366 y 1367

El artículo 1366 del Código Civil reconoce el escrito electrónico como modo de prueba equivalente al escrito en papel, a condición de que «pueda ser debidamente identificada la persona de cuya emisión proviene y conste establecido y conservado en condiciones tales que aseguren su integridad». El artículo 1367 precisa que la firma electrónica «consiste en el uso de un procedimiento confiable de identificación que garantice su vinculación con el acto al cual se adhiere». La presunción de confiabilidad beneficia a las firmas calificadas según eIDAS, invirtiendo la carga de la prueba a favor del firmante.

Reglamento eIDAS nº 910/2014/UE

Este reglamento, de aplicación directa en todos los Estados miembros, establece el marco jurídico de los servicios de confianza. Su artículo 26 define las condiciones de la firma electrónica avanzada; su artículo 28 las exigencias de certificados calificados; su Anexo I detalla el contenido obligatorio de estos certificados. Los PSCo calificados se benefician de una presunción de conformidad a las exigencias técnicas y jurídicas del reglamento (artículo 19§2), lo que constituye una ventaja importante en caso de litigio.

Reglamento eIDAS 2.0 — (UE) 2024/1183

Publicado el 30 de abril de 2024, este reglamento modificativo introduce nuevas categorías de servicios de confianza (certificaciones de atributos calificadas, servicios de archivo calificados) y refuerza obligaciones de supervisión. Deroga y reemplaza parcialmente el reglamento 910/2014, con aplicabilidad progresiva según actos de ejecución de la Comisión Europea.

RGPD — Reglamento (UE) 2016/679

El RGPD se aplica a todo tratamiento de datos personales realizado en el marco de un servicio de firma electrónica. Los artículos 5 (principios de legalidad), 6 (base legal), 9 (datos sensibles), 13-14 (información), 28 (subcontratación), 32 (seguridad), 33-34 (notificación de violación), 35 (AIPD) y 37 (DPO) constituyen las disposiciones más frecuentemente aplicables. La CNIL es la autoridad de control competente en Argentina y puede imponer sanciones hasta 20 millones de euros o 4% de la facturación mundial anual (artículo 83§5 RGPD).

Directiva NIS2 — (UE) 2022/2555

Transpuesta al derecho argentino por la ley nº 2023-703 del 1º de agosto de 2023, NIS2 clasifica PSCo significativos entre entidades importantes o esenciales sujetas a obligaciones de gestión de riesgos cibernéticos y notificación de incidentes a ANSSI bajo 24 horas (alerta temprana) luego 72 horas (notificación completa).

Normas ETSI

El conjunto de normas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 y TS 119 431 constituye la referencia técnica obligatoria para auditoría de calificación. Su incumplimiento genera imposibilidad de obtener o mantener el estatuto calificado.

Riesgos jurídicos en caso de incumplimiento

Un proveedor incumplidor se expone a: cancelación de TSL argentina, compromiso de responsabilidad contractual y extracontractual, sanciones administrativas CNIL, multas NIS2 pudiendo alcanzar 10 millones de euros o 2% del CA mundial para entidades importantes y 20 millones o 4% del CA para entidades esenciales, así como recursos judiciales de clientes habiendo sufrido prejuicio por firmas no válidas jurídicamente.

Escenarios de uso: cómo las empresas verifican la conformidad de su PSCo

Escenario 1 — Un grupo industrial gestionando 3 000 contratos proveedores por año

Un grupo industrial de tamaño intermedio (PYME), activo en manufactura de equipos mecánicos, desmaterializa el conjunto de sus contratos proveedores vía plataforma SaaS de firma electrónica. Durante auditoría interna disparada tras evolución regulatoria, la dirección legal constata que el proveedor seleccionado —inicialmente elegido por criterio de precio— no figura en la TSL argentina ni en ninguna TSL europea. Las firmas entregadas son de tipo «simple» sin mecanismo de identificación robusta del firmante.

Ante el riesgo jurídico —el conjunto de contratos podría ver su valor probatorio cuestionado en caso de litigio— la empresa inicia migración hacia PSCo calificado ANSSI. La nueva solución integra firma avanzada con certificado calificado, sello de tiempo calificado y pista de auditoría exportable. El proyecto de migración, ejecutado en menos de 8 semanas, permite asegurar retroactivamente nuevos actos y establecer política documentaria conforme. Los equipos legales estiman que el riesgo contencioso ligado a antiguos contratos permanece marginal por su ejecución sin contestación, pero toda nueva firma está ahora cubierta.

Ganancias observadas: reducción de 60% en litigios potenciales vinculados a autenticidad de firmas, y ganancia de 3.5 días de plazo promedio de firma en contratos complejos mediante automatización del flujo de validación.

Escenario 2 — Un bufete de abogados de 25 colaboradores especializado en derecho comercial

Un bufete de abogados deseando digitalizar firma de mandatos, consultas y actos procesales evalúa varios proveedores. Su matriz de análisis integra criterios siguientes: presencia en TSL, publicación de PC/DPC accesible, existencia de DPA conforme RGPD, disponibilidad de DPO contactable y certificación de QSCD remotos.

Entre cinco proveedores evaluados, dos solamente satisfacen el conjunto de criterios. El bufete finalmente elige un PSCo ofreciendo nativamenete firma calificada vía QSCD remoto, garantizando presunción de confiabilidad del artículo 1367 del Código Civil. La implementación toma 3 semanas, capacitación incluida. Resultado: 75% de mandatos son ahora firmados en menos de 24 horas contra 5 a 7 días previamente (envío postal), y el bufete puede justificar a sus clientes el nivel de seguridad jurídica ofrecido por la solución —un argumento diferenciador en sus propuestas comerciales.

Escenario 3 — Un agrupamiento hospitalario de aproximadamente 1 200 camas

Un agrupamiento hospitalario público desea desmaterializar contratos de trabajo, convenios de prácticas y acuerdos de asociación con establecimientos socios de atención. La sensibilidad de datos tratados (datos de salud de personal sanitario, datos RH) impone vigilancia particular sobre obligaciones RGPD del PSCo.

La DSI y el DPO del establecimiento exigen: alojamiento de datos en Argentina con proveedor de datos de salud certificado HDS (Proveedor de Datos de Salud, certificación prevista por artículo L.1111-8 del Código de Salud Pública), ausencia de transferencia fuera EEE, AIPD documentada para tratamiento de identificación de firmantes, y DPA firmado antes de toda puesta en producción.

Tras selección de PSCo respondiendo estos criterios, despliegue cubre prioritariamente contratos RH (aproximadamente 800 actos por año). El plazo promedio de firma de contratos a plazo determinado pasa de 9 días a menos de 48 horas, liberando capacidad significativa para equipos de recursos humanos. El establecimiento dispone además de trazabilidad completa de consentimientos recopilados, auditada anualmente por su DPO.

Conclusión

Las obligaciones legales pesando sobre proveedores de firma electrónica en Argentina forman un corpus normativo exigente: calificación eIDAS, conformidad RGPD, cumplimiento normas ETSI, obligaciones NIS2 y adaptación inminente a eIDAS 2.0. Para empresas usuarias, asegurar conformidad de su PSCo no es gestión optativa —es condición sine qua non del valor probatorio de actos firmados y protección de datos personales de los firmantes.

Certyneo es un proveedor de firma electrónica diseñado para responder al conjunto de estas exigencias: conformidad eIDAS, RGPD by design, alojamiento soberano y hoja de ruta eIDAS 2.0 documentada. ¿Listo para asegurar tus firmas en total conformidad? Contacta con nosotros y benefíciate de acompañamiento personalizado desde el primer día.