Verificar a autenticidade dun documento asinado: o DUER

O Documento Único de Avaliación de Riscos (DUER) é unha peza clave da conformidade en saúde e seguridade no traballo en Francia. Instaurado polo decreto n°2001-1016 do 5 de novembro de 2001, é obrigatorio para toda empresa a partir do primeiro traballador. Así e todo, o seu valor xurídico en caso de control da Inspección do Traballo, accidente ou litigio repousa en gran parte na súa trazabilidade e na autenticidade das sinaturas que o validan. Como asegurarse de que un DUER asinado dixitalmente non foi alterado despois da sinatura? Que ferramentas e métodos permiten verificar esta autenticidade? Este artigo che guía paso a paso, desde os fundamentos técnicos ás boas prácticas organizacionais.

Por que a autenticidade da sinatura do DUER é crítica

Os desafíos xurídicos e regulamentarios

O DUER non é un documento administrativo ordinario. En caso de accidente de traballo, enfermidade profesional ou contenda laboral, pode ser presentado como proba da política de prevención do empresario. O Código do Traballo (artigos L.4121-1 e seguintes) impón ao empresario unha obrigación de seguridade de resultado, e o DUER é a traza formal da súa avaliación.

Unha sinatura electrónica non verificable ou alterada pode levar a:

• A nulidade do documento como medio de proba ante un tribunal;
• Sancións administrativas que poden alcanzar 3.750 € de multa por traballador non cubierto;
• Unha imputación de responsabilidade penal do xefe de empresa en caso de accidente grave.

Desde a lei n°2021-1018 do 2 de agosto de 2021 (lei Saúde no Traballo), a actualización do DUER debe ser máis frecuente nas empresas de 11 traballadores en adiante, e a súa conservación esténdese agora a 40 anos. Esta longa duración refuerza o imperativo dunha sinatura electrónica robusta e verificable no tempo.

A diferenza entre sinatura escaneada e sinatura electrónica cualificada

Moitos responsables de RH ou HSE pensan que apor unha sinatura manuscrita escaneada nun PDF é suficiente. Non é o caso. Unha sinatura imaxe (escaneo) non garante ningunha integridade do documento: o ficheiro pode ser modificado despois sen deixar traza detectable.

Unha sinatura electrónica conforme co regulamento eIDAS, polo contrario, repousa nun mecanismo criptográfico que une irrevocablemente a identidade do signatario ao contido do documento nun instante preciso. Calquera modificación posterior, aínda que mínima — un espazo engadido, un díxito cambiado — invalida a sinatura e desencadea unha alerta na verificación.

O glosario da sinatura electrónica distingue tres niveis recoñecidos por eIDAS: a sinatura electrónica simple (SES), avanzada (SEA) e cualificada (SEQ). Para un documento tan sensible como o DUER, o nivel avanzado é recomendable como mínimo, sendo o nivel cualificado preferible para as empresas sometidas a controles frecuentes.

Os métodos concretos para verificar a autenticidade dun DUER asinado

Verificación a través do lector PDF nativo

O método máis accesible consiste en abrir o documento en Adobe Acrobat Reader (versión gratuíta) ou un lector PDF compatible. Cando unha sinatura electrónica conforme está presente, un panel de sinatura se mostra automaticamente. Indica:

1. A identidade do signatario: nome, apelido, organización e certificado utilizado;
2. A data e hora de sinatura, marcadas cunha marca de tempo criptográfica;
3. O estado de integridade: «A sinatura é válida» ou «O documento foi modificado despois da sinatura»;
4. A cadea de confianza do certificado: validada por unha autoridade de certificación recoñecida.

Esta verificación é inmediata e non require ningunha subscrición. É limitada, porén: se o certificado da autoridade emisora non está na lista de confianza do software (como a lista EUTL — European Union Trusted Lists), a sinatura pode aparecer como «non verificada» aínda que sexa tecnicamente válida.

Verificación a través dos servizos en liña de validación

A Comisión Europea pon a disposición o servizo DSS Demo Tools (accesible en ec.europa.eu), que permite cargar un documento asinado e obter un informe de validación conforme á norma ETSI EN 319 102. Este servizo:

• Verifica a conformidade cos formatos XAdES, CAdES, PAdES e JAdES;
• Controla a validez do certificado no momento da sinatura a través dos protocolos OCSP ou CRL;
• Xera un informe JSON ou PDF detallando cada paso da validación.

Existen tamén servizos privados como os ofrecidos polos prestadores de servizos de confianza cualificados (QTSP) referenciados nas listas de confianza nacionais. En Francia, o ANSSI publica a lista dos QTSP acreditados. Recorrer a un destes servizos para validar un DUER cuestionado nunha litigación proporciona unha forza probatoria moito maior.

Verificación a través da plataforma de sinatura de orixe

Se o DUER foi asinado a través dunha solución SaaS como Certyneo, a verificación é aínda máis directa. Cada documento asinado xera un certificado de sinatura (tamén chamado informe de auditoría ou pista de sinatura) que arquiva:

• O enderezo IP e o identificador de sesión do signatario;
• O hash criptográfico SHA-256 do documento orixinal;
• A marca de tempo cualificada RFC 3161;
• As probas de identidade utilizadas (correo electrónico, OTP por SMS, incluso autenticación forte eIDAS).

Este informe é el mesmo asinado electronicamente polo prestador, o que o fai infalsificable e directamente explotable como proba en xustiza. A solución de sinatura electrónica para as empresas Certyneo integra este mecanismo nativamente para todos os documentos, incluído os DUER.

Boas prácticas para asegurar a sinatura e conservación do DUER

Elixir o nivel correcto de sinatura segundo o perfil de risco

A selección do nivel de sinatura non debe deixarse ao acaso. Para un DUER, aquí está o razoamento recomendado:

| Contexto | Nivel recomendado | Xustificación | |---|---|---| | TPE < 10 traballadores, actividade baixo risco | Sinatura avanzada (SEA) | Equilibrio custo/valor probatorio | | PME, sector industrial ou construción | Sinatura avanzada con certificado QSCD | Conformidade eIDAS nivel alto | | Gran empresa, sector sanidade ou química | Sinatura cualificada (SEQ) | Valor equivalente á sinatura manuscrita |

Para as empresas do sector da sanidade, a sinatura electrónica na sanidade responde a restricións regulamentarias adicionais (HDS, RGPD médico) que xustifican sistematicamente o recurso á sinatura cualificada.

Marca de tempo e arquivo a longo prazo

A lei Saúde no Traballo impoñendo unha conservación do DUER durante 40 anos, a cuestión da durada de vida das sinaturas se presenta concretamente. Un certificado de sinatura ten unha durada de validez limitada (xeralmente 1 a 3 anos). Pasado este prazo, a cadea de confianza pode romperse.

A solución é o servizo de arquivo con valor probatorio (servizo de arquivo electrónico ou SAE), asociado a unha marca de tempo a longo prazo segundo a norma ETSI EN 319 122. Este mecanismo, ás veces chamado LTV (Long Term Validation), rerehorodata periodicamente o documento engadindo nele probas de integridade suplementarias, garantindo a súa verificabilidade durante toda a durada legal.

Non confundas arquivo con almacenamento: un simples servidor de ficheiros ou un drive en nube non constitúe un arquivo con valor probatorio. Só un sistema que garanta a integridade, a lexibilidade e a trazabilidade dos accesos satisfai as exigencias legais.

Proceso de verificación nas actualizacións

O DUER debe ser actualizado como mínimo unha vez ao ano, e en cada modificación significativa das condicións de traballo. Cada nova versión debe ser distinguida da anterior e obxeto dunha nova sinatura. Un proceso rigoroso comprende:

1. Versionado explícito: número de versión, data de efecto, lista de modificacións realizadas;
2. Sinatura da nova versión polo responsable de HSE e, segundo os casos, polo representante do persoal (CSE);
3. Conservación de todas as versións anteriores no SAE, accesibles en lectura só;
4. Verificación sistemática da integridade da versión actual antes de calquera compartición coa Inspección do Traballo ou cos servizos de sanidade no traballo.

A automatización destas etapas a través dunha plataforma como Certyneo reduce significativamente o risco de erro humano e garante a conformidade continua do proceso. Para medir o retorno sobre inversión dunha solución así, a calculadora ROI sinatura electrónica permite estimar as ganancias segundo o tamaño da túa organización.

Marco legal aplicable á sinatura e verificación do DUER

Textos fundadores en dereito do traballo

A obrigación de establecer un Documento Único de Avaliación de Riscos Profesionais (DUERP) procede do artigo L.4121-1 do Código do Traballo, que impón ao empresario transcreber e actualizar os resultados da avaliación de riscos. O decreto n°2001-1016 do 5 de novembro de 2001 instaurou esta obrigación formal. A lei n°2021-1018 do 2 de agosto de 2021 para reforzar a prevención en saúde no traballo estendeu as obrigacións de conservación a 40 anos e introduciu exigencias de depósito desmaterializado ante os servizos de sanidade no traballo para as empresas de polo menos 150 traballadores.

Valor xurídico da sinatura electrónica

O artigo 1366 do Código Civil formula o principio: «O escrito electrónico ten a mesma forza probatoria que o escrito en soporte papel, baixo a condición de que poida ser debidamente identificada a persoa de quen emana e de que sexa establecido e conservado en condicións de natureza a garantir a súa integridade.» O artigo 1367 precisa que a sinatura electrónica «consiste no uso dun procedemento fiable de identificación que garanta a súa vinculación co acto ao que se adxunta».

O Regulamento eIDAS n°910/2014 do Parlamento Europeo e do Consello establece o marco europeo de confianza para as transaccións electrónicas. Define tres niveis de sinaturas (simple, avanzada, cualificada) e formula a equivalencia entre a sinatura electrónica cualificada e a sinatura manuscrita no artigo 25§2. A sinatura avanzada, sen beneficiarse desta presunción legal, segue sendo admisible como modo de proba segundo o principio de non discriminación do artigo 25§1.

Normas técnicas de referencia

Os formatos de sinatura electrónica recoñecidos para os documentos PDF están definidos polas normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) e ETSI EN 319 142 (PAdES). Para a validación a longo prazo, a norma ETSI EN 319 102 define os procedementos de algoritmo de validación conforme a eIDAS.

A marca de tempo electrónica cualificada está regulada polo artigo 41 do Regulamento eIDAS e a norma RFC 3161 do IETF, garantindo a data certa opoñible aos terceiros.

Protección de datos personais

O DUER contén datos de carácter persoal (identidades dos traballadores, informacións sobre a súa saúde e seguridade). O seu tratamento está sometido ao Regulamento RGPD n°2016/679. A sinatura electrónica implica en si un tratamento de datos de identidade dos signatarios. O empresario, como responsable do tratamento, debe asegurar que o prestador de sinatura é un subcontratista RGPD-conforme con un DPA (Data Processing Agreement) conforme ao artigo 28 do RGPD.

Riscos en caso de non conformidade

A ausencia de DUER ou un DUER cuxa sinatura non é opoñible expón o empresario a unha multa de 3.750 € (5ª clase de contravención) por infracción constatada. En caso de accidente de traballo grave, a non opoñibilidade do DUER pode levar ao recoñecemento da culpa inexcusable do empresario, provocando unha maioración das indemnizacións versadas á vítima e unha acción recursoria da CPAM.

Escenarios de uso concretos

Un prestador industrial enfrontándose a un control da Inspección do Traballo

Unha PME industrial de 85 traballadores, que opera na fabricación de pezas metálicas, é obxeto dunha visita inopinada da Inspección do Traballo a raíz dun accidente de máquina. A inspectora solicita consultar o DUER en vigor na data do accidente. O responsable de HSE presenta un ficheiro PDF asinado electronicamente a través da plataforma de sinatura da empresa.

Grazas ao certificado de auditoría anexado ao documento, a inspectora pode verificar en tempo real: a data e hora de sinatura (anterior ao accidente), a identidade do signatario (o director de produción autorizado), a integridade do documento (hash SHA-256 intacto), e a conformidade do nivel de sinatura (avanzada con certificado cualificado). A empresa é capaz de demostrar que o risco foi identificado e que as medidas correctivas foron planificadas. Este dossier evita a cualificación de culpa inexcusable. Segundo os datos do informe anual da CNAM sobre sinistralidade, as empresas que dispoñen dunha trazabilidade documentaria robusta reducen a súa exposición ás accións recursoras de 30 a 45%.

Unha oficina de asesoría en RH xestionando DUER multi-cliente

Unha oficina de asesoría en recursos humanos de 18 colaboradores acompaña a corenta TPE e PME clientes na redacción e actualización anual dos seus DUER. Até agora, os documentos eran enviados por correo electrónico en PDF non asinados, e logo asinados manualmente e devolvidos escaneados.

Despois da migración a unha solución de sinatura electrónica SaaS, cada DUER é asinado en liña polo director cliente en menos de 3 minutos. A oficina dispón dun panel de control centralizado que permite verificar en calquera momento o estado de cada documento: asinado, horodatado, arquivado. En caso de pregunta dun cliente sobre a validez dunha versión anterior, a verificación de autenticidade leva menos de 30 segundos. O tempo dedicado ás chamadas e á xestión de documentos papel diminuíu aproximadamente un 60%, segundo benchmarks sectoriais comparables publicados por asociacións de asesoría en RH.

Un agrupamento de establecementos de cuidados xestionando DUER plurianuais

Un agrupamento hospitalario privado de aproximadamente 600 camas, que agrupa varios establecementos de cuidados e residencias de anciáns, debe xestionar DUER específicos para cada un dos seus sitios, incluíndo riscos químicos, biolóxicos e psicolóxicos. A durada de conservación legal de 40 anos e a multiplicidade de signatarios (directores de sitios, médicos do traballo, representantes do CSE) fan o seguemento particularmente complexo.

O agrupamento desprega unha solución de sinatura electrónica cualificada con arquivo con valor probatorio e marca de tempo a longo prazo. Cada versión do DUER é selada criptograficamente e rerehorodatada automaticamente cada 3 anos para manter a cadea de confianza. En caso de auditoría da ARS ou de contenda, calquera versión histórica pode ser extraída co seu informe de validación completo. Esta organización permitiu reducir aproximadamente un 70% o tempo de preparación dos dossiers durante as inspeccións externas, comparado co antigo sistema de arquivo papel-dixital híbrido.

Conclusión

Verificar a autenticidade dun documento asinado para un Documento Único de Avaliación de Riscos non é unha formalidade opcional: é unha necesidade xurídica e organizacional. Entre as obrigacións derivadas do Código do Traballo, a durada de conservación de 40 anos imposta desde 2021 e os desafíos de responsabilidade en caso de accidente, só unha sinatura electrónica robusta — acompañada de ferramentas de verificación fiables — garante a plena forza probatoria do teu DUER.

Que pasaes por un lector PDF, un servizo de validación europeo ou directamente pola túa plataforma de sinatura, o esencial é integrar esta verificación nun proceso documentado e reproducible.

Certyneo che permite asinar, verificar e arquivar os túos DUER en total conformidade eIDAS, cun pista de auditoría completa e un arquivo con valor probatorio integrado. Crea a túa conta gratuitamente en Certyneo e asegura desde hoxe a forza xurídica dos teus documentos de prevención.