Conformidad eIDAS para PYME: la checklist completa 2026

La regulación europea eIDAS (UE nº 910/2014, próximamente enmendada por eIDAS 2.0) encuadra la firma electrónica en toda la Unión Europea. Para una PYME, estar en conformidad no es solo marcar una casilla: es la garantía de que sus contratos son oponibles, que sus datos de firma están protegidos, y que se protege contra riesgos legales que pueden resultar costosos. Aquí está la checklist 2026 en 12 puntos concretos para verificar que su PYME está perfectamente conforme a eIDAS.

Punto 1: elegir el nivel correcto de firma

Primer reflejo: cartografíe sus tipos de contratos y asocie un nivel objetivo. Contratos comerciales estándar (presupuestos, órdenes de compra, NDA simples): SES es suficiente. Contratos laborales, arrendamientos, NDA sensibles, acuerdos estratégicos: AES mínimo, preferentemente con OTP SMS. Actos regulados (abogado, notario, contrataciones públicas por encima de un umbral): QES obligatorio. Sin esta cartografía, corre el riesgo de infradimensionamiento (contrato rechazado) o sobredimensionamiento (costo excesivo).

Punto 2: verificar la calificación del prestador

Su prestador debe ser un prestador de servicios de confianza (QTSP) o apoyarse en un QTSP para los niveles AES/QES. Consulte la Trust Services List publicada por la ANSSI (eidas.ssi.gouv.fr) y la Trusted List europea (webgate.ec.europa.eu/tl-browser). Los QTSP franceses de referencia: Certigna, Docaposte, Certinomis, Universign. Para SES/AES mediante plataforma (Certyneo, Yousign, etc.), verifique su conformidad eIDAS explícitamente documentada.

Punto 3: probar la pista de auditoría

Firme un sobre de prueba y recupere la pista de auditoría (generalmente un PDF separado). Debe contener: identidad y correo electrónico del firmante, marca de tiempo de cada etapa (envío, apertura, validación, firma), dirección IP, user agent, hash del documento, validación OTP si AES. Si falta alguno de estos elementos, el valor probatorio se ve debilitado. Certyneo proporciona la pista de auditoría completa incluso en el plan gratuito.

Punto 4: controlar la marca de tiempo

La marca de tiempo debe ser emitida por una Autoridad de Marca de Tiempo (TSA) conforme a RFC 3161. Una marca de tiempo simplemente proveniente de un servidor NTP de la empresa no es suficiente. Abra el PDF firmado en Adobe Reader: pestaña Firmas → Detalles → Marca de tiempo. Debe ver un certificado TSA válido y un reloj certificado. Si el PDF no tiene una marca de tiempo certificada, reconsidere la elección del prestador.

Punto 5: archivar 10 años como mínimo

El Código de Comercio (artículo L. 123-22) impone una conservación de 10 años para los documentos comerciales. El Código del Trabajo impone 5 años para los contratos laborales después de la ruptura. El archivado debe preservar la integridad (hash, sellado) y el acceso. Ideal: formato PDF/A (ISO 19005), almacenamiento doble (primario + respaldo fuera del sitio), caja de seguridad electrónica calificada (CFE) para máxima prueba. Certyneo archiva 10 años por defecto y ofrece exportación a CFE asociados.

Punto 6: verificar la localización de los datos

¿Dónde están alojados sus datos de firma? Para una PYME francesa que maneja contratos sensibles, priorice el alojamiento en Francia o UE. Solicite a su prestador la lista de subcontratistas y su localización (artículo 28 RGPD). Evite soluciones sometidas a la Ley de Nube Americana para contratos estratégicos. Certyneo está alojado en Francia, sin dependencia de Cloud Act. Ver nuestro artículo sobre /blog/cloud-act-signature-electronique.

Punto 7: articular con el RGPD

Firma y RGPD están estrechamente vinculados: cada sobre contiene datos personales (nombre, correo, IP, teléfono). Asegúrese de que su registro de tratamientos (art. 30 RGPD) incluye la firma electrónica, que los períodos de conservación son coherentes (10 años), y que los derechos de las personas son implementables (acceso, rectificación, portabilidad). Si solicita muchas firmas, se recomienda un DPO. Ver nuestro artículo /blog/signature-electronique-rgpd.

Punto 8: identificar a los firmantes de antemano

Para una AES sólida, la identificación no comienza en la firma: comienza en la recopilación de datos. Verifique los correos electrónicos (sin alias, sin listas de distribución), los números de teléfono (sin líneas compartidas), y mantenga un registro de la fuente de identificación (documento de identidad para contratos pesados, KYC de cliente existente para contratos continuos). Esta debida diligencia hace la solidez de la prueba en caso de litigio.

Punto 9: formar a los equipos

Sus equipos comerciales, RH y legales deben entender las reglas: nunca forzar a un firmante a pasar por un dispositivo de terceros, nunca reenviar un PDF firmado modificado, nunca pegar una imagen de firma escaneada en lugar de una firma real. Una hora de capacitación por equipo es suficiente para anclar los buenos reflejos. Certyneo proporciona una guía completa para compartir internamente (/recursos).

Punto 10: verificar los contratos de los prestadores

Los Términos y Condiciones del prestador de firma deben: comprometer la conformidad eIDAS, especificar los períodos de archivado, incluir un acuerdo de subcontratación RGPD (art. 28), documentar a los subcontratistas, prever un plan de reversibilidad en caso de cese. Solicite también SOC 2 Type II o equivalente si maneja volúmenes significativos. Para Certyneo, estos documentos están disponibles en /legal y /security.

Punto 11: preparar eIDAS 2.0 y el EUDI Wallet

La regulación eIDAS 2.0 (UE 2024/1183) entra en vigor progresivamente e impone a los Estados miembros desplegar un EUDI Wallet antes de finales de 2026. Esta cartera de identidad digital permitirá acceder a QES a distancia sin oficina de registro física. Prepare su PYME: verifique que su prestador tiene una roadmap EUDI Wallet, siga las comunicaciones de la ANSSI y la Comisión Europea. Ver /blog/eidas-2-nouveau-reglement-2026.

Punto 12: auditar anualmente

La conformidad no es un estatus adquirido: es un enfoque continuo. Programe una auditoría anual (interna o externa) para verificar: cambios regulatorios, evoluciones del prestador, cartografía actualizada de tipos de contratos, conservación efectiva, capacitación de nuevas contrataciones. Una auditoría ligera toma media jornada para una PYME y evita sorpresas. Comience creando una cuenta Certyneo gratuita en certyneo.com/signup para probar la conformidad de manera práctica, luego consulte nuestra guía eIDAS para profundizar (/guide/eidas).