Firma elektronikoa BZHGD eta RGPD: osoa gidak 2026

Baliabide gazteen digitalizazioak 2020tik aurrera azeleratu egin da nabarmen: laneko kontratuak, osagarriak, soldata-agirleak, informatikako kartak, telelaneko akordioak — ia dokumentu hauek guztiak forman numerikoaren bidez itzulia dute. Baina desmaterializatu esaten delarik ez du esan legezko betebeharretatik ihesak. Alderantziz: firma elektronikoa EL dokumento RGPD kontu bat bira erregulatiba bikoitza da, zeren eIDAS markoa firmen frogagarritasunean eta datu pertsonalen babesean Europar erregulazioak konbinatu ditu. Gaizki kudeatua, bikoitz mugak enpresari arriskua ilegala eta CNIL-en zigortza ukan ditzake. Gidak eskatzen dituzun erregela nagusiak, on praktikak eta atentziazko puntuak aurkezten ditu 2026an.

Zergatik RGPDa aplika dateke EL firma BZHGD-en?

Firma elektronikoak nahitaez datu pertsonalak prozesatzen ditu

Laneko kontratua sarean sinatzeak RGPD 4. artikuluaren arabera datu pertsonalez ez diren informazioa batzea, transmititzea eta biltegiratzea dakar n°2016/679: izena, abizena, posta elektronikoko helbidea profesionala, batzuetan telefono mugikorreko zenbakia, ordua eta sinatzeko IP helbidea. EL testuinguruan, datu hauek bereziki sentiberrak dira, zeren salaria zuzenean identifikatzen dute eta enpleguaren bere erlazioarekin erlazionaturik daude.

Konfiantza zerbitzuen hornitzailea (PSC) firma ematea ematen duena sub-traidoretzat kalifikatzen da RGPD 28. artikuluaren arabera. Enpresak datu-kudeatzaile ardura du. Desberdintasun hau funtsezko da: enpresa da RGPDaren lepora CNIL-en aurrean, ez software hornitzailea.

EL testuinguran mobildu daitezkeen oinarri legala

EL dokumentuen EL kategorientzat, enpleguak prozesamenduaren oinarri legala aproposa identifikatu behar du:

• Kontratua exekutatzea (6.1.b art RGPD): laneko kontratuaren sinadura, soldata osagarria, forfait-egunen hitzarmena. Dokumentu kontratualentzat oinarri legala lokarrenagoa da.

• Legezko betebehar (6.1.c art RGPD): soldata-agirlera desmaterializatua (2015eko Macron legean baimendua baldintzapean), pertsonaleko erregistroak.

• Kutsatzeko interesa (6.1.f art RGPD): informatikako kartak, barruko araudia, politika barne dokumentuak — atzetik orekatzearen probaren ordez.

Onibitasun oinarria (6.1.a art) EL testuinguran saihesteko: CNIL eta CEPD-a (Daten Babesean Europar Batzordea) uste dute enpleguaren eta salariaren subordinazio erlazioak bederen liburuaren onibitasun pixka gutxitan egiten duela. Enplegua firma elektronikoa sinatzea baztertzen duen salaria profesionala ondorioak izango ditu beldurra.

Datu-kudeatzaile EL arduraren betebeharak zehatza

Datu-prozesamenduaren jarduereen erregistroa (DPJ) eguneratzea

RGPD 30. artikuluak pertsonak asko (250 langileak baino gehiago) dute beharrezkoa (eta ETXak datu sentiberrak handian tratatzen dute) datu-prozesamenduaren jardueeren erregistro baten, EL firmen tresna bat sartzean EL dokumentuentzat, bera dauka:

• Prozesamenduaren helmugua (adib.: EL dokumentuen desmaterializazioa eta artxiboa BZHGD)

• Datu kategoria tratatua (identitatea, kontaktuen datuak, autentifikazio datuak)

• Gordetzeko iraupena (laneko kontratuaren legez gordetzeko iraupena: 5 urtea kontratuaren amaieratik ondoren Lanaren Kodearen arabera, L. 1234-20 art)

• Hornitzailearen koordenatuak (firma plataforma)

• Seguritate-neurriak ezarrita

DPA (Data Processing Agreement) sinatzea hornitzailearekin

RGPD 28. artikuluari atxikitzen, datu pertsonalak prozesatzen hornitzaile baten erabiltzeak kontratua formalizatua behar du datu-prozesamenduaren (DPA). Kontratu honek argitu behar du:

• Prozesamenduaren helburu eta iraupena

• Prozesamenduaren natura eta helmugua

• Datu pertsonalen mota eta pertsona kalibrea

• Datu-kudeatzaile arduraren betebeharrak eta eskubideak

• Daten kokalekua (UEn babesa hornitzea transferentziak kanpo EEa saihesteko)

• Teknika eta seguritate-neurriak antolaketa

Firma elektronikoa zerbitzua hornitazile serio bat sistematikoki DPA atxikitzen baten. Sua falta non-konpliantzia berehalako zintzo egina.

Enplegua saletu aurretik informazioa

RGPD 13. artikuluak datu batua direnen aurreko informazioa inpositzen du. EL dokumentuentzat firma elektronikoa desplega aurretik, enpleguak saletu behar du:

• Datu-kudeatzaile arduraren identitatea

• Helmugua eta oinarri legala

• Daten gordetzeko iraupena

• Beraien eskubideak (sarbidea, zuzendaria, ezabaketa legezko gordetzeko mugapean, portabiliatea)

• DPO (Daten Babesean Ordezkaria) koordenatuak, sinatua bada

Informazio honek firma prozesuaren berean integrazioa (informazio banda aurretik sinatzea), barruko araudian eguneratua, edo zerbitzu notan zabaldua proposizioaren ordez.

Sinadura maila EL dokumentuentzat eskatua: SES, AES edo QES?

eIDAS mailak-en foku

eIDAS n°910/2014 erregelamendua firma elektronikoen hiru mailak definitzen ditu, bakoitza frogagarritasun maila gorakor eskaini:

• SES (Sinadura elektroniko simple): behe frogagarritasun maila, dokumentuentzat behe apuska (hartzeko onarpenak, barruko formularioak)

• AES (Sinadura elektroniko aurreratua): sinatzailearekin bakarrean lodia, sinatzailearen kontrola bakarreko daturetatik sortu. EL dokumentu ohiko gehiegentzat aproposa.

• QES (Sinadura elektroniko kalifikatua): maila altzenagoa, sinadura eskuzkoarekin lege berdina eIDAS 25.2 art. Indarrean identifikazioa indartuaren verifikazioa eskatzen du (aurpegia aurpegia edo bideo-identifikazioa).

Zein maila zein EL dokumentuentzat?

Kartografia osatu 2026an, Frantziako jurisprudentziaren posizioak eta sektore gomendiuak kontuan:

| EL dokumentua | Gomendatutako maila | Justifikazioa | |---|---|---| | CDI/CDD laneko kontratua | AES gutxienagoa, QES gomendatua | Kontratual balio altua, prud'homal arriskua | | Kontratual osagarria | AES gutxienagoa, QES gomendatua | Kontratual nagusiaren logika bera | | Froga aldia (birgabea) | AES | Denbora laburra, formalismo mugatua | | Telek/BYOD karta | SES edo AES | Kolektiba akordioa edo barruko araudia | | Forfait-egunen hitzarmena | QES loturan osoa | Sozial jurisprudentzia exigenak | | Arbitratzea ezarria | QES nahitaez | Cerfa formulario homologatua, maila altua | | Soldata saldu osoari laguntza | AES edo QES | Liberto balioa, Lanaren Kodea L. 1234-20 art |

Edukazion arriskua (forfait, arbitratzea) zertifikatua, QES inposatzen du inposatzen du ju aurposatzeko prud'homaletan. Auzitegi Gorenak progresiboki gogorduak exigentziak sinatzailearen onibitasunarenean.

Gordetzea, artxibatea eta pertsona eskubideak: arrastoak saihestea

EL datu sinatu dokumentuak gordetzeko legez iraupena

EL signed dokumentuen gordetzea RGPD betebeharrei atxikitzen da. Iraupena RGPDaren ezabaketa eskubidea gainetik (17.3.b art):

• Laneko kontratua: 5 urtea kontratuaren amaieratik (prud'homal preskripzioa, Lanaren Kodea L. 1471-1 art)

• Soldata-agileak: 5 urtea (soldata preskripzioa), baina gordetzeak gomendatua pentsioaren liquia eskubideetara

• Laneko istripuekin loturiko dokumentuak: 30 urtea (arriskua luzearen kontentzia)

• Profesional garapena (plaoak, ziurtagriak): 3 urtea

• Pertsonaleko erregistroak: 5 urtea salaria enpresatik utzi ondoren dataren

EL artxibatea frogagarritasun balioak ETSI EN 319 162 EGO-n (firma elektronikoen artxibaketa luzea) eta normatiba NF Z 42-013 betetzeak. Zerbitzaria biltegian batean bakarrik ez da aski: integritate, irakurgarritasuna eta ordua-sinadura kalifikatua duten dokumentuak gordetzeak daude.

Saletu eskubideak kudeatzea frogagarritasun balioa kalteturik gabe

Salariaketa legez sarbidea (15 art RGPD) jaso ahal dute bere firma datuen kopia lortzeko. Zuzendaria datu gaiztu ezartzea eskatua ere.

Baina, ezabaketa eskubidea (17 art RGPD) ez dute gauzatua EL dokumentuetan gordetzeko legezko betebeharrei atxikitzen. Enpleguak egon gauza gorbeera argibidea ordua legezko oinarri zehaztuz. Eskaera hauek prozesua duten ditugala dokumentatzea RGPDak gomendatua on praktika.

Portabilitak (20 art RGPD) aplika onibitasunean datu emandakoari kontratu exekutazioa. Konkretuetan, salariakak bere firma datuak formatuan egituradunan eskatua — obligazioa firma soluzioa aukeran aurreikustea.

Seguritate teknika eta antolaketa: neurri ezinbestezko

Firma plataformarako exigentzia teknika

RGPD 32. artikulua seguritate neurrie egokiak arriskuari daude. Firma elektronikoa EL zerbitzuentzat, nahitaez honela:

• Daten itxurra transitoan (TLS 1.3 gutxienagoa) eta ordea (AES-256)

• Autentifikazio multi-faktor (MFA) plataformarako sarbidea

• Erregistro-agirleak (logs) ordua eta galantzirik gabekoak, dokumentuan akzioa bakoitza trazearekin

• Daten UEn babesa (edo EEa) kanpo transferentziak ihes saihesteko EEa (adekuazioaren erabakia edo kontratuzko klausulak tipoak)

• Intrusioen proabak urtean eta ISO 27001 ziurtagria hornitzailea

• Jardun plano etengabea zerbitzua eta artxibaketa berreskura kasuetan istripuak

Impaktuaren analisia (AIPD): noiz beharrezkoa?

RGPD 35. artikuluak Analisia Impaktua Daten Babesean (AIPD) fikoa trakmenta arriskua altua. CNILak argitaraturik lista arrakastak trakmenta motarik AIPD beharrezko: profesional bizitzan datu baten trakmenta handian dagokionean.

Konkretuetan, AIPD gomendatua (bai obligatoria entrepresentak) despleguetan firma elektronikoa EL zerbitzuentzat osoaren enplegua. Identifikatu behar riskua (konfidentzialaren galera, identitatearen usurpazioa, dokumentuen aldaketa), ebaluatu gravitate eta probabilidate, eta neurriak proposatu mitigazioa. Analisia honek dokumentu eta errebestatua egon prozesuaren aldaketa.

Lege-markoa aplikagarria firma elektronikoa EL eta RGPDra

Europako oinarri testua

eIDAS n°910/2014 erregela (eta bere eIDAS 2.0 biraren despleguean): testua honek hiru firma elektronikoen mailaak (SES, AES, QES) eta bere balio iruditua estatu guztienean. 25. artikuluak QESa lege berdina firmarena eskuz esaten. 26. artikuluak exigentzia teknikoa firma aurreratua zerrenda. Konfiantza zerbitzuen hornitzaile kalifikatuak zintzo-listetan (Frantzian, lista ANSSIk kudeatu).

RGPD n°2016/679: 25 maiatzean 2018etik aplikagarria, erregelamendua honek edozein datu pertsonala prozesatzea EEn. 5 artikuluak (printzipiak), 6 (oinarri legala), 13-14 (informazioa), 28 (sub-traidoreak), 30 (erregistro), 32 (seguritate), 35 (AIPD) eta 37-39 (DPO) zuzenean pertsonaitzera firma elektronikoa EL.

Frantziako legea aplikagarria

Zibil kodea, 1366-1367 artikuluak: 1366. artikuluak jartzen baliokidetasun funtzionala idatzita elektronikoa eta papera artean. 1367. artikuluak aitormen firma elektronikoa frogabehar, baldintzan bada prozedu fideitzatoa garantia esteken dokumentuarekiko. Fideitza presuntzioa QESekoa, baina deman ahal AESekoa.

Lanaren kodea: L. 1221-1 artikuluak ez du forma berezia inposatzen laneko kontratuarentzat (salbuespenak: CDD L. 1242-12, kontratua-apprentissagea, etxea). Macron legia 2015 (legia n°2015-990) zabaldu egina soldata-agirlea elektronikoa. L. 3243-2 artikuluak arautzen ditu.

Informatikak eta Askapena legia aldatua (legia n°78-17 1978ko urtarrilak 6ko): Frantziako estalki RGPDa, ematen du CNILari suitapena eta zigortza ahaleak. Alertak 20 milioi euro edo 4% munduko urteko soldata hanbilketa zehatzean urraketentzat.

Erreferentzia normatiba teknika

• ETSI EN 319 132: firma elektronikoa aurreratua XAdES formatua, XML dokumentuentzat aplikagarri

• ETSI EN 319 122: formatua CAdES firma elektronikoa CMS dokumentuentzat

• ETSI EN 319 162: artxibaketa firma elektronikoa luzea (ASiC)

• NF Z 42-013 (AFNOR): funktionala zehaztapena sistema artxibaketa elektroniko frogagarria

• ISO/IEC 27001: informazioaren seguritate kudeaketa, errefentzia bertifikazio aurten hornitzailea

Arriskua ilegala non-konpliantzia kasuetan

Arriskuen baturak handia: laneko kontratua sinatura maila asko az argi prud'homaletan jotzea ahal, enpleguari rekalifikazioa edo ezeza. RGPDaren aldean, DPA falta hornitzailearekina, salariaren informazioa alde utzia edo kanpo babesa EEetik garantia gabekoa ahal ditzake CNILa indartzea, bai eta zigortza administratiboa.

Erabili segidak: firma elektronikoa EL RGPDri atxikitzen

Segida 1: ETI industriala 600 enpleguekin laneko kontratuak digitalizatu

Enpresa industriala tamaina bitartera, lurraldean lau gunetan Frantzian, datu urtean 180 CDI/CDD enpleguak, dossier papera generatu inprimituta, sinadura ez zikloan, eskaneatuta eta artxibatuta. Promesa enpleguaren eta sinadura efektiboen artean epeak neurtu 8 lan egunak.

Firma elektronikoa aurreratua zerbitzua (AES) bera bere SIRHean despleguaren ondoren, DPA atxikitzen RGPDa hornitzailearekina sinadura eta AIPD dokumentu, enpresak murriztu epea ez 24 orduak. Dossier osatu gabearen tasa jausi 34% (iturburuak: benchmark sektorialak ANDRH 2024). Daten babesa Frantzian bidea kontratu aukeran, transferentzia arriskua kanpo EEa ezabatu. Enplegua informatzeak prozesua bere sina agirleak integrazioa, garantia 13. artikulua RGPDaren.

Segida 2: hornaketa sarea zeinu QES despleguak forfait-egunen hitzarmena

Banatze sarea espezialista 60 benta puntuak eta 100 kadroa forfait-egunen enplegua arrisku prud'homal identifikatuarekin aurpegia: batzuk forfait-egunen hitzarmena ezin froga papera kopiaen bakarrik kalitate mehatxua. Auzitegi Gorenakak gogorduak exigentzia frogabehar mota honen, arriskua kontentzia gautzat milioi ehunketara eurora.

Sarea despleguak firma kalifikatua (QES) guztiak kontratu berriak eta kadroak bera ordain berriro kontratua existitua. Identifikazio baliozko bideo-identifikazioa eta aukeran. Prozesamendu jardueeren erregistro eginen DPO kanpoan garantia RGPD kalea. 6 hilabetetan, guztiak forfait-egunen hitzarmena parc asegurutuak. Kostu ikuspuntua (15 eta 25 € firma QES bakoitza hornitzaileen merkatu arabera) handia arriskua kontentzia azkointzat.

Segida 3: lurralde gobernua osagarria desmaterializatu karta telek

Lurralde gobernua 1200 agente iraunkorren inguruan telek kudeaketan desmaterializatu nahi osaguak telek akordioa 2021ko telek funtzio publikoan. Bolumena prozesatzea 400 dokumentua urtean, konstrainteen espezifikoarekin: agenteek pertsona publikoak uste duten datu partziala trakmenta bereziki.

Gobernua aukeran firma aurreratua (AES), babesa zerbitzua hornitzaile kalifikatua SecNumCloud ANSSIk. AIPD enpleguaren DPOra inbiatu despleguaren aurretik. Agenteek informaturik zerbitzu notan argitaratua intranetean eta banda informazioa ibiltzean. EL zerbitzua estimatu irabazia 3 ETP-egunak astean EL dokumentuen kudeaketa, ekonomia urtearen 1 35000 € dirutan zuzenean, zuzena publikaturik lurralde gobernua aldaketaren behakuntzan (2025).

Ondorengo

RGPDaren konpliantzia firma elektronikoa EL dokumentuentzat ez du aukera: baldintzatzen aktoan balioa iruditua eta saleriaren eskubide babesa. 2026an, enpresak ez dituzte oraindik eguneratua bere prozesamendu erregistro, sinatura DPA hornitzailearekina eta bera firma maila bakoitza dokumentu moata ez dira jota bikoitz arriskuarekin — prud'homal eta administratiboarekina — zeinen ondorioak finantza handia izango.

On noizean: soluzio ondo aukeratua eta ondo konfiguratua ahal ditzake bikeratzea fluidgabea operazional, RGPDaren atxikitzen eIDAS eta enpleguarentzat ez eta saleriaren ez bateran.

Certyneo laguntzen honetara: plataforma RGPDaren atxikitzen, DPA disponible, babesa europara eta firma kalea ELrentzat pentsaturik. edo klik batzuetan.