Verificar la autenticidad de un documento firmado: el DUER

El Documento Único de Evaluación de Riesgos (DUER) es una pieza maestra del cumplimiento en salud y seguridad en el trabajo en Francia. Establecido por el decreto nº2001-1016 del 5 de noviembre de 2001, es obligatorio para toda empresa desde el primer empleado. Sin embargo, su valor jurídico en caso de control de la Inspección de Trabajo, accidente o litigio descansa en gran medida en su trazabilidad y la autenticidad de las firmas que lo validan. ¿Cómo asegurarse de que un DUER firmado digitalmente no ha sido alterado después de la firma? ¿Qué herramientas y métodos permiten verificar esta autenticidad? Este artículo le guía paso a paso, desde los fundamentos técnicos hasta las buenas prácticas organizacionales.

Por qué la autenticidad de la firma del DUER es crítica

Los retos jurídicos y regulatorios

El DUER no es un documento administrativo ordinario. En caso de accidente laboral, enfermedad profesional o litigio laboral, puede ser presentado como prueba de la política de prevención del empleador. El Código de Trabajo (artículos L.4121-1 y siguientes) impone al empleador una obligación de seguridad de resultado, y el DUER es el rastro formal de su evaluación.

Una firma electrónica no verificable o alterada puede conducir a:

• La nulidad del documento como medio de prueba ante un tribunal;
• Sanciones administrativas que pueden alcanzar 3.750 € de multa por empleado no cubierto;
• Una cuestionamiento de la responsabilidad penal del jefe de empresa en caso de accidente grave.

Desde la ley nº2021-1018 del 2 de agosto de 2021 (Ley de Salud en el Trabajo), la actualización del DUER debe ser más frecuente en empresas de 11 empleados o más, y su conservación se extiende ahora a 40 años. Esta larga duración refuerza la necesidad imperativa de una firma electrónica robusta y verificable en el tiempo.

La diferencia entre firma escaneada y firma electrónica cualificada

Muchos responsables de RRHH o HSE creen que poner una firma manuscrita escaneada en un PDF es suficiente. No es el caso. Una firma de imagen (escaneo) no garantiza ninguna integridad del documento: el archivo puede ser modificado posteriormente sin dejar rastro detectable.

Una firma electrónica conforme al Reglamento eIDAS, por el contrario, se basa en un mecanismo criptográfico que vincula irreversiblemente la identidad del firmante al contenido del documento en un momento preciso. Cualquier modificación posterior, aunque sea mínima — un espacio agregado, una cifra cambiada — invalida la firma y activa una alerta durante la verificación.

El glosario de la firma electrónica distingue tres niveles reconocidos por eIDAS: la firma electrónica simple (SES), avanzada (SEA) y cualificada (SEQ). Para un documento tan sensible como el DUER, el nivel avanzado se recomienda como mínimo, siendo el nivel cualificado preferible para las empresas sometidas a controles frecuentes.

Los métodos concretos para verificar la autenticidad de un DUER firmado

Verificación a través del lector PDF nativo

El método más accesible consiste en abrir el documento en Adobe Acrobat Reader (versión gratuita) o un lector PDF compatible. Cuando una firma electrónica conforme está presente, se muestra automáticamente un panel de firma. Indica:

1. La identidad del firmante: nombre, apellido, organización y certificado utilizado;
2. La fecha y hora de firma, selladas por un sellado de tiempo criptográfico;
3. El estado de integridad: «La firma es válida» o «El documento ha sido modificado después de la firma»;
4. La cadena de confianza del certificado: validada por una autoridad de certificación reconocida.

Esta verificación es inmediata y no requiere ninguna suscripción. Sin embargo, es limitada: si el certificado de la autoridad emisora no está en la lista de confianza del software (como la lista EUTL — European Union Trusted Lists), la firma puede aparecer como «no verificada» aunque sea técnicamente válida.

Verificación a través de servicios en línea de validación

La Comisión Europea pone a disposición el servicio DSS Demo Tools (accesible en ec.europa.eu), que permite cargar un documento firmado y obtener un informe de validación conforme a la norma ETSI EN 319 102. Este servicio:

• Verifica la conformidad con los formatos XAdES, CAdES, PAdES y JAdES;
• Controla la validez del certificado en el momento de la firma a través de protocolos OCSP u CRL;
• Genera un informe JSON o PDF detallando cada paso de la validación.

También existen servicios privados como los ofrecidos por proveedores de servicios de confianza cualificados (QTSP) referenciados en las listas de confianza nacionales. En Francia, la ANSSI publica la lista de QTSP acreditados. Recurrir a uno de estos servicios para validar un DUER controvertido en un litigio proporciona una fuerza probatoria significativamente superior.

Verificación a través de la plataforma de firma de origen

Si el DUER fue firmado a través de una solución SaaS como Certyneo, la verificación es aún más directa. Cada documento firmado genera un certificado de firma (también llamado informe de auditoría o rastro de firma) que archiva:

• La dirección IP e identificador de sesión del firmante;
• El hash criptográfico SHA-256 del documento original;
• El sellado de tiempo cualificado RFC 3161;
• Las pruebas de identidad utilizadas (correo electrónico, SMS OTP, o incluso autenticación fuerte eIDAS).

Este informe está firmado electrónicamente por el proveedor, lo que lo hace infalificable y directamente explotable como prueba en justicia. La solución de firma electrónica para empresas Certyneo integra este mecanismo nativamente para todos los documentos, incluyendo los DUER.

Buenas prácticas para asegurar la firma y conservación del DUER

Elegir el nivel de firma correcto según el perfil de riesgo

La selección del nivel de firma no debe dejarse al azar. Para un DUER, aquí está el razonamiento recomendado:

| Contexto | Nivel recomendado | Justificación | |---|---|---| | PYME < 10 empleados, actividad bajo riesgo | Firma avanzada (SEA) | Equilibrio coste/valor probatorio | | PME, sector industrial o construcción | Firma avanzada con certificado QSCD | Conformidad eIDAS nivel alto | | Gran empresa, sector sanitario o químico | Firma cualificada (SEQ) | Valor equivalente a firma manuscrita |

Para empresas del sector sanitario, la firma electrónica en sanidad responde a restricciones regulatorias adicionales (HDS, RGPD médico) que justifican sistemáticamente el recurso a la firma cualificada.

Sellado de tiempo y archivado a largo plazo

La Ley de Salud en el Trabajo imponiendo una conservación del DUER durante 40 años, la cuestión de la duración de vida de las firmas se plantea concretamente. Un certificado de firma tiene una duración de validez limitada (generalmente 1 a 3 años). Después de este plazo, la cadena de confianza puede romperse.

La solución es el servicio de archivado con valor probatorio (servicio de archivado electrónico o SAE), asociado a un sellado de tiempo a largo plazo conforme a la norma ETSI EN 319 122. Este mecanismo, a veces llamado LTV (Long Term Validation), re-sella periódicamente el documento añadiéndole pruebas de integridad adicionales, garantizando su verificabilidad durante toda la duración legal.

No confunda archivado y almacenamiento: un simple servidor de archivos o un drive en la nube no constituye un archivado con valor probatorio. Solo un sistema que garantice la integridad, legibilidad y trazabilidad de accesos satisface los requisitos legales.

Proceso de verificación durante actualizaciones

El DUER debe actualizarse como mínimo una vez al año, y en cada modificación significativa de las condiciones de trabajo. Cada nueva versión debe distinguirse de la anterior y ser objeto de una nueva firma. Un proceso riguroso comprende:

1. Versionado explícito: número de versión, fecha de entrada en vigor, lista de modificaciones realizadas;
2. Firma de la nueva versión por el responsable de HSE y, según los casos, por el representante del personal (CSE);
3. Conservación de todas las versiones anteriores en el SAE, accesibles en solo lectura;
4. Verificación sistemática de la integridad de la versión actual antes de cualquier intercambio con la Inspección de Trabajo o servicios de salud laboral.

La automatización de estos pasos a través de una plataforma como Certyneo reduce significativamente el riesgo de error humano y garantiza el cumplimiento continuo del proceso. Para evaluar el retorno sobre la inversión de una solución así, el calculador ROI firma electrónica permite estimar ganancias según el tamaño de su organización.

Marco legal aplicable a la firma y verificación del DUER

Textos fundamentales en derecho laboral

La obligación de establecer un Documento Único de Evaluación de Riesgos Profesionales (DUERP) surge del artículo L.4121-1 del Código de Trabajo, que impone al empleador transcribir y actualizar los resultados de la evaluación de riesgos. El decreto nº2001-1016 del 5 de noviembre de 2001 instituyó esta obligación formal. La ley nº2021-1018 del 2 de agosto de 2021 para reforzar la prevención en salud laboral ha extendido las obligaciones de conservación a 40 años e introducido requisitos de depósito desmaterializado ante los servicios de salud laboral para empresas de al menos 150 empleados.

Valor jurídico de la firma electrónica

El artículo 1366 del Código Civil establece el principio: «El escrito electrónico tiene la misma fuerza probatoria que el escrito en soporte papel, siempre que pueda ser debidamente identificada la persona de quien emana y que sea establecido y conservado en condiciones tales que garanticen su integridad.» El artículo 1367 precisa que la firma electrónica «consiste en el uso de un procedimiento fiable de identificación que garantiza su vinculación con el acto al que se adjunta».

El Reglamento eIDAS nº910/2014 del Parlamento Europeo y del Consejo establece el marco europeo de confianza para transacciones electrónicas. Define tres niveles de firmas (simple, avanzada, cualificada) y establece la equivalencia entre la firma electrónica cualificada y la firma manuscrita en el artículo 25§2. La firma avanzada, sin beneficiarse de esta presunción legal, sigue siendo admisible como modo de prueba conforme al principio de no discriminación del artículo 25§1.

Normas técnicas de referencia

Los formatos de firma electrónica reconocidos para documentos PDF se definen en las normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) y ETSI EN 319 142 (PAdES). Para validación a largo plazo, la norma ETSI EN 319 102 define los procedimientos de algoritmo de validación conforme a eIDAS.

El sellado de tiempo electrónico cualificado se rige por el artículo 41 del Reglamento eIDAS y la norma RFC 3161 del IETF, garantizando la fecha cierta oponible a terceros.

Protección de datos personales

El DUER contiene datos de carácter personal (identidades de empleados, información sobre su salud y seguridad). Su tratamiento está sujeto al Reglamento RGPD nº2016/679. La firma electrónica en sí implica un tratamiento de datos de identidad de los firmantes. El empleador, como responsable del tratamiento, debe asegurar que el proveedor de firma es un encargado RGPD-compatible con un DPA (Data Processing Agreement) conforme al artículo 28 del RGPD.

Riesgos en caso de incumplimiento

La ausencia de DUER o un DUER cuya firma no sea oponible expone al empleador a una multa de 3.750 € (5ª clase de contravención) por infracción constatada. En caso de accidente laboral grave, la no-oponibilidad del DUER puede conducir al reconocimiento de culpa inexcusable del empleador, implicando una majoración de indemnizaciones pagadas a la víctima y una acción recursiva de la CPAM.

Escenarios de uso concretos

Un proveedor industrial enfrentado a un control de la Inspección de Trabajo

Una PYME industrial de 85 empleados, que opera en fabricación de piezas metálicas, es objeto de una visita sorpresiva de la Inspección de Trabajo tras un accidente de máquina. La inspectora solicita consultar el DUER en vigor en la fecha del accidente. El responsable de HSE presenta un archivo PDF firmado electrónicamente a través de la plataforma de firma de la empresa.

Gracias al certificado de auditoría adjunto al documento, la inspectora puede verificar en tiempo real: la fecha y hora de firma (anterior al accidente), la identidad del firmante (el director de producción autorizado), la integridad del documento (hash SHA-256 intacto), y la conformidad del nivel de firma (avanzada con certificado cualificado). La empresa puede demostrar que el riesgo estaba identificado y que se habían planificado medidas correctivas. Este expediente evita la calificación de culpa inexcusable. Según datos del informe anual de la CNAM sobre siniestralidad, las empresas con trazabilidad documental robusta reducen su exposición a acciones recursivas de la CPAM entre 30 y 45%.

Un despacho de consultoría RRHH gestionando DUER multi-cliente

Un despacho de consultoría en recursos humanos de 18 colaboradores acompaña a unos 40 PYMES clientes en la redacción y actualización anual de sus DUER. Hasta entonces, los documentos se enviaban por correo electrónico en PDF sin firmar, se firmaban manualmente y se devolvían escaneados.

Tras migración a una solución de firma electrónica SaaS, cada DUER es firmado en línea por el dirigente cliente en menos de 3 minutos. El despacho dispone de un panel de control centralizado permitiendo verificar en cualquier momento el estado de cada documento: firmado, sellado, archivado. En caso de pregunta de un cliente sobre la validez de una versión anterior, la verificación de autenticidad toma menos de 30 segundos. El tiempo dedicado a recordatorios y gestión de documentos en papel ha disminuido aproximadamente un 60%, conforme a benchmarks sectoriales comparables publicados por asociaciones de consultoría RRHH.

Un agrupamiento de establecimientos sanitarios gestionando DUER plurianuales

Un agrupamiento hospitalario privado de aproximadamente 600 camas, agrupando varios establecimientos de cuidados y residencias de ancianos, debe gestionar DUER específicos para cada uno de sus sitios, incluyendo riesgos químicos, biológicos y psicosociales. La duración legal de conservación de 40 años y la multiplicidad de firmantes (directores de sitios, médicos del trabajo, representantes del CSE) hacen el seguimiento particularmente complejo.

El agrupamiento despliega una solución de firma electrónica cualificada con archivado con valor probatorio y sellado de tiempo a largo plazo. Cada versión del DUER está sellada criptográficamente y re-sellada automáticamente cada 3 años para mantener la cadena de confianza. En caso de auditoría de la ARS o litigio, cualquier versión histórica puede extraerse con su informe de validación completo. Esta organización permitió reducir casi un 70% el tiempo de preparación de expedientes durante inspecciones externas, comparado con el antiguo sistema de archivado híbrido papel-digital.

Conclusión

Verificar la autenticidad de un documento firmado para un Documento Único de Evaluación de Riesgos no es una formalidad opcional: es una necesidad jurídica y organizacional. Entre las obligaciones derivadas del Código de Trabajo, la duración de conservación de 40 años impuesta desde 2021 y los riesgos de responsabilidad en caso de accidente, solo una firma electrónica robusta — acompañada de herramientas de verificación fiables — garantiza el pleno valor probatorio de su DUER.

Ya sea a través de un lector PDF, un servicio de validación europeo o directamente a través de su plataforma de firma, lo esencial es integrar esta verificación en un proceso documentado y reproducible.

Certyneo le permite firmar, verificar y archivar sus DUER en plena conformidad eIDAS, con un rastro de auditoría completo y archivado con valor probatorio integrado. Cree su cuenta gratuitamente en Certyneo y asegure hoy mismo el valor jurídico de sus documentos de prevención.