Conformidade eIDAS para pemes: a lista de verificación completa de 2026

O regulamento europeo eIDAS (UE n°910/2014, proximamente modificado por eIDAS 2.0) regula a sinatura electrónica en toda a Unión Europea. Para unha peme, cumprir non é só un cadro para comprobar: é a garantía de que os seus contratos son executivos, de que os seus datos de sinatura están protexidos e de que se protexe de riscos legais que poden ser custosos. Aquí tes a lista de verificación de 2026 en 12 puntos concretos para comprobar que a túa peme cumpre totalmente con eIDAS.

Punto 1: elixe o nivel de sinatura correcto

Primeiro reflexo: mapea os teus tipos de contrato e asocia un nivel obxectivo. Contratos comerciais estándar (presupostos, ordes de compra, NDA simples): SES é suficiente. Contratos laborais, arrendamentos, NDA sensibles, acordos estratéxicos: AES mínimo, preferentemente con SMS OTP. Actos regulados (avogado, notario, contratos públicos superiores a un limiar): QES obrigatoria. Sen este mapeamento, corre o risco de subdimensionar (contrato rexeitado) ou sobredimensionar (custo excesivo).

Punto 2: verifique a cualificación do provedor de servizos

O seu provedor de servizos debe ser un provedor de servizos de confianza (QTSP) ou depender dun QTSP para os niveis AES/QES. Consulte a Lista de servizos de confianza publicada pola ANSSI (eidas.ssi.gouv.fr) e a Lista de confianza europea (webgate.ec.europa.eu/tl-browser). Os QTSP de referencia franceses: Certigna, Docaposte, Certinomis, Universign. Para SES/AES a través da plataforma (Certyneo, Yousign, etc.), verifique o seu cumprimento explícitamente documentado eIDAS.

Punto 3: proba a pista de auditoría

Asina un sobre de proba e recolle a pista de auditoría (normalmente un PDF separado). Debe conter: identidade e correo electrónico do asinante, marca de tempo de cada paso (envío, apertura, validación, sinatura), enderezo IP, axente de usuario, hash do documento, validación OTP se AES. Se falta algún destes elementos, debilitase o valor probatorio. Certyneo ofrece a pista de auditoría completa incluso nun plan gratuíto.

Punto 4: controla a marca de tempo

A marca de tempo debe ser emitida por unha autoridade de selo de tempo (TSA) conforme a RFC 3161. Unha marca de tempo simplemente dun servidor NTP da empresa non é suficiente. Abra o PDF asinado en Adobe Reader: pestana Sinaturas → Detalles → Marca de tempo. Deberías ver un certificado TSA válido e un reloxo certificado alí. Se o PDF non ten unha marca de tempo certificada, retroceda na elección do fornecedor de servizos.

Punto 5: arquivo durante, polo menos, 10 anos

O Código de Comercio (artigo L. 123-22) esixe 10 anos de almacenamento dos documentos comerciais. O Código do Traballo impón 5 anos para os contratos de traballo posteriores á extinción. O arquivo debe preservar a integridade (hash, selado) e o acceso. Ideal: formato PDF/A (ISO 19005), almacenamento dual (copia de seguridade principal + fóra do sitio), caixa forte electrónica (CFE) para a máxima proba. Certyneo arquiva 10 anos por defecto e ofrece exportación aos socios de CFE.

Punto 6: comproba a localización dos datos

Onde están aloxados os teus datos de sinatura? Para unha peme francesa que se ocupa de contratos sensibles, elixe aloxamento francés ou da UE. Solicite ao seu provedor de servizos a lista de subcontratistas e a súa localización (artigo 28 GDPR). Evite solucións suxeitas á Lei de nube dos EUA para contratos estratéxicos. Certyneo está aloxado en Francia, sen dependencia da Cloud Act. Consulta o noso artigo en /blog/cloud-act-signature-electronique.

Punto 7: articular co GDPR

A sinatura e o GDPR están intimamente ligados: cada sobre contén datos persoais (nome, correo electrónico, IP, teléfono). Asegúrese de que o seu rexistro de tratamento (art. 30 GDPR) inclúa a sinatura electrónica, que os prazos de conservación sexan consistentes (10 anos) e que se poidan implantar os dereitos das persoas físicas (acceso, rectificación, portabilidade). Se estás solicitando moitas sinaturas, recoméndase un DPO. Consulta o noso artigo /blog/signature-electronique-rgpd.

Punto 8: identificar os asinantes río arriba

Para un AES sólido, a identificación non comeza coa sinatura: comeza coa recollida de datos. Comprobe os correos electrónicos (sen alias, sen lista de correo), números de teléfono (sen liña compartida) e faga un seguimento da fonte de identificación (ID para contratos pesados, KYC de clientes existentes para contratos en curso). Esta dilixencia debida fai que as probas sexan sólidas en caso de disputa.

Punto 9: adestrar aos equipos

Os teus equipos de vendas, recursos humanos e legais deben comprender as regras: nunca forzar a un asinante a usar un dispositivo de terceiros, nunca devolver un PDF asinado modificado, nunca pegar unha imaxe de sinatura dixitalizada en lugar dunha sinatura real. Unha hora de adestramento por equipo é suficiente para inculcar bos reflexos. Certyneo ofrece unha guía completa para compartir internamente (/resources).

Punto 10: comprobar os contratos dos prestadores de servizos

O CGU/CGV do prestador do servizo de sinatura deberá: iniciar o cumprimento de eIDAS, especificar os prazos de arquivo, incluír un acordo de subcontratación do GDPR (art. 28), documentar os subcontratistas, achegar un plan de reversibilidade no caso de cesamento. Solicita tamén SOC 2 Tipo II ou equivalente se procesas grandes volumes. Para Certyneo, estes documentos están dispoñibles en /legal e /security.

Punto 11: preparar eIDAS 2.0 e a carteira EUDI

O regulamento eIDAS 2.0 (UE 2024/1183) entra en vigor de forma paulatina e obriga aos Estados membros a implantar unha carteira EUDI antes de finais de 2026. Esta oficina de identidade dixital non permitirá o acceso remoto de QES sen rexistro físico á carteira. Prepara a túa peme: comproba que o teu provedor de servizos ten unha folla de ruta EUDI Wallet, segue as comunicacións da ANSSI e da Comisión Europea. Ver /blog/eidas-2-nouveau-reglement-2026.

Punto 12: auditoría anual

O cumprimento non é un estado adquirido: é un proceso en curso. Programar unha auditoría anual (interna ou externa) para comprobar: cambios normativos, evolución do provedor de servizos, mapeamento actualizado dos tipos de contrato, retención efectiva, formación de novos recrutados. Unha auditoría lixeira leva medio día a unha peme e evita moitas sorpresas. Comeza por crear unha conta de Certyneo gratuíta en certyneo.com/signup para probar o cumprimento do mundo real e despois consulta a nosa guía eIDAS para afondar (/guide/eidas).