Verificar la autenticidad de un documento firmado: el DUER

El Documento Único de Evaluación de Riesgos (DUER) es una pieza maestra del cumplimiento en materia de salud y seguridad en el trabajo en Francia. Instaurado por el decreto n°2001-1016 del 5 de noviembre de 2001, es obligatorio para toda empresa a partir del primer empleado. Ahora bien, su valor jurídico en caso de control de la Inspección de Trabajo, accidente o litigio se basa en gran medida en su trazabilidad y la autenticidad de las firmas que lo validan. ¿Cómo asegurarse de que un DUER firmado digitalmente no ha sido alterado después de la firma? ¿Qué herramientas y métodos permiten verificar esta autenticidad? Este artículo lo guía paso a paso, desde los fundamentos técnicos hasta las mejores prácticas organizacionales.

Por qué la autenticidad de la firma del DUER es crítica

Los desafíos jurídicos y regulatorios

El DUER no es un documento administrativo ordinario. En caso de accidente laboral, enfermedad profesional o litigio laboral, puede ser presentado como prueba de la política de prevención del empleador. El Código del Trabajo (artículos L.4121-1 y siguientes) impone al empleador una obligación de seguridad de resultado, y el DUER es la prueba formal de su evaluación.

Una firma electrónica no verificable o alterada puede conducir a:

• La nulidad del documento como medio de prueba ante un tribunal;
• Sanciones administrativas que pueden alcanzar 3.750 € de multa por empleado no cubierto;
• Una imputación de responsabilidad penal del jefe de empresa en caso de accidente grave.

Desde la ley n°2021-1018 del 2 de agosto de 2021 (Ley de Salud en el Trabajo), la actualización del DUER debe ser más frecuente en empresas de 11 empleados o más, y su conservación se ha extendido ahora a 40 años. Esta larga duración refuerza el imperativo de una firma electrónica robusta y verificable en el tiempo.

La diferencia entre firma escaneada y firma electrónica cualificada

Muchos responsables de RR.HH. o HSE creen que aponer una firma manuscrita escaneada en un PDF es suficiente. No es así. Una firma de imagen (escaneo) no garantiza ninguna integridad del documento: el archivo puede ser modificado posteriormente sin dejar rastro detectable.

Una firma electrónica conforme al Reglamento eIDAS, en cambio, se basa en un mecanismo criptográfico que vincula irreversiblemente la identidad del firmante al contenido del documento en un momento preciso. Cualquier modificación posterior, incluso mínima —un espacio añadido, un dígito cambiado— invalida la firma y desencadena una alerta durante la verificación.

El glosario de la firma electrónica distingue tres niveles reconocidos por eIDAS: firma electrónica simple (FES), avanzada (FEA) y cualificada (FEQ). Para un documento tan sensible como el DUER, el nivel avanzado es recomendado como mínimo, siendo el nivel cualificado preferible para empresas sometidas a controles frecuentes.

Los métodos concretos para verificar la autenticidad de un DUER firmado

Verificación a través del lector PDF nativo

El método más accesible consiste en abrir el documento en Adobe Acrobat Reader (versión gratuita) o un lector PDF compatible. Cuando hay una firma electrónica conforme presente, un panel de firma se muestra automáticamente. Indica:

1. La identidad del firmante: nombre, apellido, organización y certificado utilizado;
2. La fecha y hora de firma, marcadas con una marca de tiempo criptográfica;
3. El estado de integridad: "La firma es válida" o "El documento ha sido modificado después de la firma";
4. La cadena de confianza del certificado: validada por una autoridad de certificación reconocida.

Esta verificación es inmediata y no requiere ninguna suscripción. Sin embargo, es limitada: si el certificado de la autoridad emisora no está en la lista de confianza del software (como la lista EUTL — European Union Trusted Lists), la firma puede aparecer como "no verificada" aunque sea técnicamente válida.

Verificación a través de servicios en línea de validación

La Comisión Europea pone a disposición el servicio DSS Demo Tools (accesible en ec.europa.eu), que permite cargar un documento firmado y obtener un informe de validación conforme a la norma ETSI EN 319 102. Este servicio:

• Verifica la conformidad con los formatos XAdES, CAdES, PAdES y JAdES;
• Controla la validez del certificado en el momento de la firma a través de protocolos OCSP o CRL;
• Genera un informe JSON o PDF detallando cada paso de la validación.

También existen servicios privados como los ofrecidos por proveedores de servicios de confianza cualificados (PSCQ) referenciados en las listas de confianza nacionales. En Francia, la ANSSI publica la lista de PSCQ acreditados. Recurrir a uno de estos servicios para validar un DUER cuestionado en un litigio proporciona una fuerza probatoria considerablemente superior.

Verificación a través de la plataforma de firma de origen

Si el DUER fue firmado a través de una solución SaaS como Certyneo, la verificación es aún más directa. Cada documento firmado genera un certificado de firma (también llamado informe de auditoría o rastro de firma) que archiva:

• La dirección IP e identificador de sesión del firmante;
• El hash criptográfico SHA-256 del documento original;
• La marca de tiempo cualificada RFC 3161;
• Las pruebas de identidad utilizadas (correo electrónico, OTP por SMS, e incluso autenticación fuerte eIDAS).

Este informe está firmado electrónicamente por el proveedor, lo que lo hace infalsificable y directamente explotable como prueba en justicia. La solución de firma electrónica para empresas Certyneo integra este mecanismo de forma nativa para todos los documentos, incluidos los DUER.

Mejores prácticas para asegurar la firma y conservación del DUER

Elegir el nivel correcto de firma según el perfil de riesgo

La selección del nivel de firma no debe dejarse al azar. Para un DUER, aquí está el razonamiento recomendado:

| Contexto | Nivel recomendado | Justificación | |---|---|---| | TPE < 10 empleados, actividad de bajo riesgo | Firma avanzada (FEA) | Equilibrio coste/valor probatorio | | PYME, sector industrial o construcción | Firma avanzada con certificado QSCD | Conformidad eIDAS nivel elevado | | Gran empresa, sector sanitario o químico | Firma cualificada (FEQ) | Valor equivalente a la firma manuscrita |

Para empresas del sector sanitario, la firma electrónica en la sanidad responde a restricciones regulatorias adicionales (HDS, RGPD médico) que justifican sistemáticamente el recurso a la firma cualificada.

Marca de tiempo y archivo a largo plazo

La Ley de Salud en el Trabajo imponiendo una conservación del DUER durante 40 años, la cuestión de la duración de vida de las firmas se plantea concretamente. Un certificado de firma tiene una duración de validez limitada (generalmente de 1 a 3 años). Pasado este plazo, la cadena de confianza puede romperse.

La solución es el servicio de archivo con valor probatorio (servicio de archivo electrónico o SAE), asociado a una marca de tiempo a largo plazo según la norma ETSI EN 319 122. Este mecanismo, a veces llamado LTV (Long Term Validation), remarca periódicamente el documento añadiéndole pruebas de integridad adicionales, garantizando su verificabilidad durante toda la duración legal.

No confunda archivo con almacenamiento: un simple servidor de archivos o una unidad cloud no constituye un archivo con valor probatorio. Solo un sistema que garantice la integridad, legibilidad y trazabilidad de los accesos satisface los requisitos legales.

Proceso de verificación durante las actualizaciones

El DUER debe actualizarse como mínimo una vez al año, y en cada modificación significativa de las condiciones de trabajo. Cada nueva versión debe distinguirse de la anterior y objeto de una nueva firma. Un proceso riguroso comprende:

1. Versionado explícito: número de versión, fecha de vigencia, lista de cambios realizados;
2. Firma de la nueva versión por el responsable HSE y, según los casos, por el representante del personal (CSE);
3. Conservación de todas las versiones anteriores en el SAE, accesibles en modo solo lectura;
4. Verificación sistemática de la integridad de la versión actual antes de cualquier compartición con la Inspección de Trabajo o los servicios de salud laboral.

La automatización de estos pasos a través de una plataforma como Certyneo reduce significativamente el riesgo de error humano y garantiza el cumplimiento continuo del proceso. Para medir el retorno sobre inversión de tal solución, la calculadora ROI firma electrónica permite estimar las ganancias según el tamaño de su organización.

Marco legal aplicable a la firma y verificación del DUER

Textos fundadores en derecho laboral

La obligación de establecer un Documento Único de Evaluación de Riesgos Profesionales (DUERP) emana del artículo L.4121-1 del Código del Trabajo, que impone al empleador transcribir y actualizar los resultados de la evaluación de riesgos. El decreto n°2001-1016 del 5 de noviembre de 2001 instituyó esta obligación formal. La ley n°2021-1018 del 2 de agosto de 2021 para reforzar la prevención en salud laboral extendió las obligaciones de conservación a 40 años e introdujo requisitos de depósito desmaterializado ante los servicios de salud laboral para empresas de al menos 150 empleados.

Valor jurídico de la firma electrónica

El artículo 1366 del Código Civil establece el principio: "El escrito electrónico tiene la misma fuerza probatoria que el escrito en soporte papel, bajo reserva de que pueda identificarse debidamente la persona de quien emana y que se establezca y conserve en condiciones de naturaleza a garantizar su integridad." El artículo 1367 precisa que la firma electrónica "consiste en el uso de un procedimiento confiable de identificación que garantiza su vínculo con el acto al que se adjunta".

El Reglamento eIDAS n°910/2014 del Parlamento Europeo y del Consejo establece el marco europeo de confianza para las transacciones electrónicas. Define tres niveles de firmas (simple, avanzada, cualificada) y establece la equivalencia entre la firma electrónica cualificada y la firma manuscrita en el artículo 25§2. La firma avanzada, sin beneficiarse de esta presunción legal, sigue siendo admisible como modo de prueba según el principio de no discriminación del artículo 25§1.

Normas técnicas de referencia

Los formatos de firma electrónica reconocidos para documentos PDF se definen mediante las normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) y ETSI EN 319 142 (PAdES). Para la validación a largo plazo, la norma ETSI EN 319 102 define los procedimientos de algoritmo de validación conforme a eIDAS.

La marca de tiempo electrónica cualificada se rige por el artículo 41 del Reglamento eIDAS y la norma RFC 3161 de la IETF, garantizando la fecha cierta oponible a terceros.

Protección de datos personales

El DUER contiene datos de carácter personal (identidades de empleados, información sobre su salud y seguridad). Su tratamiento está sujeto al Reglamento RGPD n°2016/679. La firma electrónica implica en sí misma un tratamiento de datos de identidad de los firmantes. El empleador, como responsable del tratamiento, debe asegurarse de que el proveedor de firma es un encargado del tratamiento conforme a RGPD y dispone de un DPA (Acuerdo de Tratamiento de Datos) conforme al artículo 28 del RGPD.

Riesgos en caso de incumplimiento

La ausencia de DUER o un DUER cuya firma no es oponible expone al empleador a una multa de 3.750 € (5ª clase de contravención) por infracción constatada. En caso de accidente laboral grave, la no oponibilidad del DUER puede conducir al reconocimiento de culpa inexcusable del empleador, implicando una majora de las indemnizaciones pagadas a la víctima y una acción regresiva de la CPAM.

Escenarios de uso concretos

Un proveedor industrial ante un control de la Inspección de Trabajo

Una PYME industrial de 85 empleados, que opera en la fabricación de piezas metálicas, es objeto de una visita sorpresiva de la Inspección de Trabajo tras un accidente de máquina. La inspectora solicita consultar el DUER vigente en la fecha del accidente. El responsable HSE presenta un archivo PDF firmado electrónicamente a través de la plataforma de firma de la empresa.

Gracias al certificado de auditoría adjunto al documento, la inspectora puede verificar en tiempo real: la fecha y hora de firma (anterior al accidente), la identidad del firmante (el director de producción autorizado), la integridad del documento (hash SHA-256 intacto), y la conformidad del nivel de firma (avanzada con certificado cualificado). La empresa puede demostrar que el riesgo era identificado y que se habían planificado medidas correctivas. Este expediente evita la calificación de culpa inexcusable. Según los datos del informe anual de la CNAM sobre siniestralidad, las empresas con una trazabilidad documental robusta reducen su exposición a acciones regresivas entre 30 y 45 %.

Un despacho de consultoría de RR.HH. gestionando DUER multiples clientes

Un despacho de consultoría en recursos humanos de 18 colaboradores acompaña a unos cuarenta clientes TPE y PYME en la redacción y actualización anual de sus DUER. Hasta ahora, los documentos se enviaban por correo electrónico en PDF sin firmar, luego se firmaban manualmente y se devolvían escaneados.

Tras la migración a una solución de firma electrónica SaaS, cada DUER se firma en línea por el director del cliente en menos de 3 minutos. El despacho dispone de un panel centralizado permitiendo verificar en todo momento el estado de cada documento: firmado, marcado con hora, archivado. En caso de pregunta de un cliente sobre la validez de una versión anterior, la verificación de autenticidad toma menos de 30 segundos. El tiempo dedicado a recordatorios y gestión de documentos en papel ha disminuido aproximadamente un 60 %, según benchmarks sectoriales comparables publicados por asociaciones de consultoría de RR.HH.

Un grupo de establecimientos de atención médica gestionando DUER plurianuales

Un grupo hospitalario privado de aproximadamente 600 camas, que agrupa varios establecimientos de atención sanitaria y residencias geriátricas, debe gestionar DUER específicos para cada uno de sus sitios, incluyendo riesgos químicos, biológicos y psicosociales. La duración de conservación legal de 40 años y la multiplicidad de firmantes (directores de sitios, médicos laborales, representantes del CSE) hacen el seguimiento particularmente complejo.

El grupo despliega una solución de firma electrónica cualificada con archivo de valor probatorio y marca de tiempo a largo plazo. Cada versión del DUER se sella criptográficamente y se remarca automáticamente cada 3 años para mantener la cadena de confianza. En caso de auditoría de la ARS o litigio, cualquier versión histórica puede extraerse con su informe de validación completo. Esta organización permitió reducir en casi el 70 % el tiempo de preparación de expedientes durante inspecciones externas, comparado con el anterior sistema de archivo híbrido papel-digital.

Conclusión

Verificar la autenticidad de un documento firmado para un Documento Único de Evaluación de Riesgos no es una formalidad opcional: es una necesidad jurídica y organizacional. Entre las obligaciones derivadas del Código del Trabajo, la duración de conservación de 40 años impuesta desde 2021 y los desafíos de responsabilidad en caso de accidente, solo una firma electrónica robusta —acompañada de herramientas de verificación confiables— garantiza el pleno valor probatorio de su DUER.

Ya sea a través de un lector PDF, un servicio de validación europeo o directamente a través de su plataforma de firma, lo esencial es integrar esta verificación en un proceso documentado y reproducible.

Certyneo le permite firmar, verificar y archivar sus DUER en total conformidad eIDAS, con un rastro de auditoría completo y archivo de valor probatorio integrado. Cree su cuenta gratis en Certyneo y asegure hoy la validez jurídica de sus documentos de prevención.