Reglamento eIDAS: comprenda todo sobre la firma electrónica en Europa
Actualizado el
El reglamento eIDAS es el texto fundamental de la firma electrónica en Europa. Define tres niveles de firma (simple, avanzada, calificada), establece el valor jurídico de los actos electrónicos y regula a los proveedores de servicios de confianza. Esta guía le explica todo lo que debe saber para estar en conformidad en 2026.
¿Qué es eIDAS y por qué fue creado?
Antes de eIDAS, cada Estado miembro de la Unión Europea tenía su propia normativa sobre firmas electrónicas, lo que creaba una fragmentación jurídica que obstaculizaba los intercambios transfronterizos. Una firma electrónica válida en Francia no era necesariamente reconocida en Alemania o España.
El reglamento (UE) n.º 910/2014, denominado eIDAS (Identificación electrónica, autenticación y servicios de confianza), fue adoptado el 23 de julio de 2014 y entró en vigor el 1 de julio de 2016. Como reglamento (y no directiva), se aplica directa y uniformemente en los 27 Estados miembros, sin necesidad de transposición nacional.
eIDAS persigue tres objetivos principales: crear un mercado digital único en Europa mediante el reconocimiento mutuo de identidades electrónicas, garantizar la seguridad jurídica de las transacciones electrónicas transfronterizas e instituir un marco de confianza para los servicios digitales a través de los proveedores de servicios de confianza cualificados (QTSP — Qualified Trust Service Provider).
Los 3 niveles de firma definidos por eIDAS
eIDAS establece una pirámide de tres niveles de firma electrónica, cada uno con sus propios requisitos técnicos y valor probatorio.
Firma Electrónica Simple
Requisitos eIDAS
- Datos en forma electrónica vinculados a otros datos
- Utilizada para firmar (sin requisitos técnicos específicos)
- Puede ser un simple clic, una casilla marcada o un nombre ingresado
Ejemplos de uso
- Aceptación de términos y condiciones
- Formulario en línea
- Correo electrónico de confirmación
Valor jurídico
Valor contractual básico, sin presunción legal
Firma Electrónica Avanzada
Requisitos eIDAS
- Vinculada de manera única al firmante
- Permite identificar al firmante
- Creada con datos bajo el control exclusivo del firmante
- Cualquier modificación posterior del documento es detectable
Ejemplos de uso
- Contratos laborales
- NDA
- Contratos comerciales
- Poderes
Valor jurídico
Valor probatorio fuerte — recomendada para contratos importantes
Firma Electrónica Calificada
Requisitos eIDAS
- Cumple todos los requisitos de la AES
- Creada por un dispositivo calificado de creación de firma (QSCD)
- Basada en un certificado calificado emitido por un QTSP (lista de confianza UE)
Ejemplos de uso
- Actos auténticos digitales
- Contratos públicos exigentes
- Actos regulados
Valor jurídico
Presunción legal equivalente a la firma manuscrita (art. 25 eIDAS)
eIDAS 2.0: novedades de 2024
El Reglamento eIDAS fue revisado por el Reglamento (UE) 2024/1183, publicado en el Diario Oficial de la UE el 30 de abril de 2024 y en vigor desde el 20 de mayo de 2024. Esta revisión moderniza el marco inicial para responder a los desafíos del entorno digital contemporáneo: identidad digital de los ciudadanos, soberanía en la nube y resiliencia de los prestadores de servicios de confianza.
La medida estrella de eIDAS 2.0 es la Cartera Europea de Identidad Digital (EUDIW). Antes de finales de 2026, cada Estado miembro deberá ofrecer a sus ciudadanos y residentes una aplicación que permita almacenar y presentar certificaciones de identidad verificadas — equivalente digital del documento de identidad, licencia de conducción y diplomas. Esta evolución tendrá un impacto directo en los procesos de firma calificada.
Cartera de Identidad Digital (EUDIW)
eIDAS 2.0 introduce la Cartera Europea de Identidad Digital: cada ciudadano europeo podrá almacenar sus certificaciones de identidad verificadas (documento de identidad, licencia de conducción, diplomas) en una aplicación móvil interoperable en toda la UE.
Refuerzo de los QTSP
Los requisitos aplicables a los prestadores de servicios de confianza calificados (QTSP) se refuerzan, especialmente en ciberseguridad, auditorías y continuidad del servicio.
Nuevos servicios de confianza
eIDAS 2.0 añade nuevos servicios calificados: archivo electrónico calificado, gestión de datos de atribución calificada, registro electrónico calificado (blockchain certificado).
Interoperabilidad reforzada
Mejor reconocimiento mutuo de identidades digitales entre Estados miembros. Las firmas calificadas emitidas en cualquier país de la UE se reconocen en todas partes.
¿Cómo cumplir con eIDAS en la práctica?
El cumplimiento de eIDAS no se reduce a elegir un nivel de firma. Implica reflexionar sobre todo el proceso: identificación de riesgos, selección de herramientas, conservación de evidencia y gobernanza documental.
Aquí está una lista de verificación práctica para las empresas que deseen asegurar sus procesos de firma electrónica en conformidad con eIDAS:
El enfoque de conformidad eIDAS de Certyneo
Certyneo implementa los niveles SES (Firma Electrónica Simple) y AES (Firma Electrónica Avanzada) de la regulación eIDAS. La firma avanzada se basa en autenticación de doble factor: un enlace de uso único enviado por correo electrónico y un código OTP enviado por SMS a través de nuestro proveedor OTP SMS. Este mecanismo cumple con los cuatro criterios del artículo 26 de eIDAS para la firma avanzada.
Cada sobre genera un registro de auditoría completo: fecha y hora de cada acción (envío, apertura del enlace, validación del OTP, aprobación de la firma, rechazo eventual), dirección IP del firmante, user-agent del navegador. Este registro de auditoría se integra en la parte inferior de cada página del PDF final (pie de auditoría) y se conserva durante 10 años.
Los datos se alojan en Alemania (UE) (infraestructura IONOS), dentro de la Unión Europea, en conformidad con los requisitos de soberanía digital y el RGPD. Consulte nuestra página de seguridad y conformidad para todos los detalles técnicos.
Preguntas frecuentes sobre eIDAS
¿Qué es el Reglamento eIDAS?
eIDAS (Electronic Identification, Authentication and Trust Services) es el Reglamento europeo (UE) n.° 910/2014 que establece un marco legal común para firmas electrónicas, sellos electrónicos, sellos de tiempo, servicios de envío certificado electrónico y servicios de autenticación de sitios web en la Unión Europea. Entró en vigor el 1 de julio de 2016 y se aplica directamente en los 27 Estados miembros.
¿Cuál es la diferencia entre eIDAS y eIDAS 2.0?
eIDAS 2.0 (regulación (UE) 2024/1183, que entró en vigor el 20 de mayo de 2024) moderniza eIDAS 1.0 al introducir, entre otros, la Cartera Europea de Identidad Digital (EUDIW — European Digital Identity Wallet), que permitirá a los ciudadanos europeos almacenar atestaciones de identidad digital certificadas. Para las empresas, eIDAS 2.0 refuerza los requisitos de los proveedores de servicios de confianza cualificados (QTSP) y mejora la interoperabilidad transfronteriza.
¿Tiene valor legal una firma electrónica simple según eIDAS?
Sí. El artículo 25 de eIDAS prohíbe explícitamente negar efectos jurídicos a una firma electrónica solo porque esté en forma electrónica. Una firma simple (SES) tiene por tanto valor legal, pero no se beneficia de la presunción legal reservada a las firmas cualificadas (QES). En caso de disputa, corresponde a quien invoca la firma probar su autenticidad.
¿Cómo sé qué nivel eIDAS elegir para mis contratos?
La regla general es calibrar el nivel al riesgo legal y comercial del documento. Para documentos corrientes de bajo riesgo (presupuestos, pedidos internos), la firma simple es suficiente. Para contratos comerciales importantes, contratos de trabajo, NDA o mandatos, se recomienda la firma avanzada (AES). La firma cualificada (QES) está reservada para situaciones donde la ley la exige explícitamente (ciertos actos administrativos, licitaciones públicas de gran envergadura) o cuando el riesgo de impugnación es máximo.
¿Cómo cumple Certyneo con eIDAS?
Certyneo implementa la firma simple (SES) y la firma avanzada (AES) conforme con eIDAS. La firma avanzada se basa en un doble OTP correo electrónico + SMS (nuestro proveedor OTP SMS) que vincula al firmante con su acto. Cada sobre genera un registro de auditoría con marca de tiempo integrado en el PDF final. Los datos se alojan en Alemania (UE), conforme a los requisitos de soberanía digital.
¿Se aplica eIDAS a empresas fuera de la Unión Europea?
eIDAS se aplica a los servicios de confianza proporcionados en la UE. Una empresa establecida fuera de la UE que desee que sus firmas sean reconocidas en la UE debe utilizar una solución conforme con eIDAS o un proveedor de confianza cualificado (QTSP) reconocido en la lista de confianza de un Estado miembro. Para intercambios B2B internacionales, existen acuerdos de reconocimiento mutuo con ciertos países terceros.