Sinatura electrónica RH & RGPD: guía completa 2026

A dixitalización das recursos humanas acelerou considerablemente desde 2020: contratos de traballo, adendas, recibos de nómina, cartillas informáticas, acordos de teletraballo — practicamente todos estes documentos transitan agora en forma dixital. Non obstante, desmaterializar non significa eximirse das obrigacións legais. Ao contrario: a sinatura electrónica documento RH RGPD constitúe un tema de entrada regulatoria dupla, xa que articula o marco eIDAS sobre o valor probatorio da sinatura e o regulamento europeo sobre protección de datos personais. Se non se domina adecuadamente, esta dupla restrición expón a empresa a riscos xurídicos e a sancións da CNIL. Esta guía presenta as normas esenciais, as boas prácticas e os puntos de vixilancia a coñecer absolutamente en 2026.

Por que se aplica o RGPD á sinatura electrónica RH?

A sinatura electrónica trata necesariamente datos personais

Asinar un contrato de traballo en liña implica recopilar, transmitir e almacenar datos de carácter persoal no sentido do artigo 4 do RGPD nº2016/679: nome, apelido, enderezo de correo electrónico profesional, ás veces número de teléfono móbil, marcatempo e enderezo IP de sinatura. Nun contexto RH, estes datos son particularmente sensibles porque identifican directamente ao empregado e están ligados á súa relación contractual coa empresa.

O provedor de servizos de confianza (PSC) que subministra a solución de sinatura cualifícase como subcontratista no sentido do artigo 28 do RGPD. O empregador segue sendo o responsable do tratamento. Esta distinción é fundamental: é a empresa a que responde ante a CNIL en caso de incumprimento, non o provedor de software.

As bases legais mobilizables en contexto RH

Para cada categoría de documentos RH desmaterializados, o empregador debe identificar a base legal de tratamento máis apropriada:

• Execución do contrato (art. 6.1.b RGPD): sinatura do contrato de traballo, avenda salarial, convenio de forfait-días. É a base legal máis sólida para os documentos contractuais.

• Obrigación legal (art. 6.1.c RGPD): entrega desmaterializada do recibo de nómina (autorizada dende a lei Macron de 2015 baixo condicións), rexistros do persoal.

• Interese lexítimo (art. 6.1.f RGPD): cartillas informáticas, regulamentos interiores, documentos de política interna — baixo a reserva de pasar a proba de equilibrio.

A base de consentimento (art. 6.1.a) é a evitar en contexto RH: a CNIL e o CEPD (Comité Europeo de Protección de Datos) estiman que a relación de subordinación entre empregador e empregado torna o consentimento raramente libre. Un empregado que se negue a asinar electronicamente podería temer as consecuencias profesionais.

As obrigacións concretas do responsable do tratamento RH

Actualizar o rexistro de actividades de tratamento (RAT)

O artigo 30 do RGPD impón a todo organismo que emprega máis de 250 empregados (e ás PEMES que tratan datos sensibles a gran escala) de mantener un rexistro de actividades de tratamento. A introdución dunha ferramenta de sinatura electrónica para documentos RH debe aparecer con:

• A finalidade do tratamento (ex.: desmaterialización e arquivo dos documentos contractuais RH)

• As categorías de datos tratados (identidade, datos de contacto, datos de autenticación)

• A duración da conservación (duración legal de conservación do contrato de traballo: 5 anos após o final do contrato segundo o Código do Traballo, art. L. 1234-20)

• As coordenadas do subcontratista (a plataforma de sinatura)

• As medidas de seguridade implementadas

Asinar un DPA (Data Processing Agreement) co prestador

Conforme ao artigo 28 do RGPD, todo recurso a un subcontratista para tratar datos personais debe formalizarse por un contrato de tratamento de datos (DPA). Este contrato debe precisar:

• O obxecto e a duración do tratamento

• A natureza e a finalidade do tratamento

• O tipo de datos personais e as categorías de persoas afectadas

• As obrigacións e dereitos do responsable do tratamento

• A localización dos datos (aloxamento na UE recomendado para evitar transferencias fora da EEE)

• As medidas de seguridade técnicas e organizativas

Un prestador de sinatura electrónica sério ofrece sistematicamente un DPA conforme. A súa ausencia constitúe unha non conformidade inmediatamente sancionable.

Informar aos empregados antes da primeira sinatura

O artigo 13 do RGPD impón unha información previa das persoas cuxos datos se recopilan. Antes de desplegar a sinatura electrónica para documentos RH, o empregador debe informar aos empregados:

• Da identidade do responsable do tratamento

• Da finalidade e da base legal

• Da duración de conservación dos datos

• Dos seus dereitos (acceso, rectificación, supresión dentro dos límites das obrigacións legais de conservación, portabilidade)

• Das coordenadas do DPO (Delegado de Protección de Datos) se foi designado

Esta información pode integrarse no proceso de sinatura en si (bandería de información antes de asinar), no regulamento interior actualizado, ou a través dunha nota de servizo difundida durante o despliegue.

Nivel de sinatura requirido para documentos RH: SES, AES ou QES?

A xerarquía dos niveis eIDAS

O regulamento eIDAS nº910/2014 define tres niveis de sinatura electrónica, cada un ofrecendo un valor probatorio crecente:

• SES (Simple Electronic Signature / Sinatura electrónica simple): escaso valor probatorio, adaptada a documentos con baixo desafío (confirmacións de recepción, formularios internos)

• AES (Advanced Electronic Signature / Sinatura electrónica avanzada): ligada de forma única ao signatario, creada a partir de datos baixo o seu control exclusivo. Adaptada á maioría dos documentos RH normais.

• QES (Qualified Electronic Signature / Sinatura electrónica cualificada): nivel máis alto, equivalente á sinatura manuscrita segundo o art. 25.2 eIDAS. Require verificación de identidade reforzada (cara a cara ou vídeo-identificación).

Que nivel para que documentos RH?

A cartografía recomendada en 2026, tendo en conta as posicións da xurisrudencia francesa e as recomendacións sectoriais:

| Documento RH | Nivel recomendado | Xustificación | |---|---|---| | Contrato de traballo CDI/CDD | AES mínimo, QES recomendado | Valor contractual forte, risco laboral | | Avenda contractual | AES mínimo, QES recomendado | Mesma lóxica que o contrato principal | | Período de proba (renovación) | AES | Plazo curto, formalismo limitado | | Cartilla teletraballo / BYOD | SES ou AES | Acordo colectivo ou regulamento interior | | Convenio de forfait-días | QES fortemente aconellado | Xurisrudencia social esixente | | Ruptura convencional | QES obrigatoria | Formulario Cerfa homologado, desafío elevado | | Recibo por saldo de todo conta | AES ou QES | Valor liberatorio, art. L. 1234-20 CT |

Para os documentos con desafío contencioso forte (convenio de forfait, ruptura convencional), a QES impónse de facto para garantir a opoñibilidade ante as xurisdicións laborais. A Corte de Casación endureceu progresivamente as súas esixencias sobre a proba do acordo do empregado.

Conservación, arquivo e dereitos das persoas: as trampa a evitar

Duracións de conservación legal dos documentos RH asados

A conservación dos documentos RH asinados electronicamente obedece a duracións legais imperativas. Estas duracións priman sobre o dereito ao borrado do RGPD (art. 17.3.b):

• Contrato de traballo: 5 anos após o final do contrato (prescripción laboral, art. L. 1471-1 Código do Traballo)

• Recibos de nómina: 5 anos (prescripción de salarios), pero conservación recomendada ata a liquidación dos dereitos á xubilación do empregado

• Documentos relativos aos accidentes do traballo: 30 anos (risco contencioso longo)

• Formación profesional (plans, certificados): 3 anos

• Rexistros do persoal: 5 anos após a data en que o empregado deixou o estabelecemento

O arquivo electrónico con valor probatorio debe responder ás esixencias da norma NF Z 42-013 e idealmente ao estándar ETSI EN 319 162 (arquivo a longo prazo de sinaturas electrónicas). Un simple almacenamento en servidor non é suficiente: hai que garantir a integridade, a lexibilidade e o marcatempo cualificado dos documentos durante toda a duración de conservación.

Xestionar os dereitos dos empregados sen comprometer o valor probatorio

Un empregado pode lexitimamente exercer o seu dereito de acceso (art. 15 RGPD) para obter copia dos datos de sinatura que o concirnen. Pode tamén solicitar a rectificación de datos inexactos.

Pola contra, o dereito ao borrado (art. 17 RGPD) non pode exercerse sobre os documentos RH sometidos a obrigacións legais de conservación. O empregador debe estar en posición de explicar claramente esta negativa, citando a base legal aplicable. Documentar estes intercambios no rexistro de solicitudes de dereitos é unha boa práctica recomendada pola CNIL.

A portabilidade (art. 20 RGPD) aplícase aos datos fornecidos polo empregado sobre a base do consentimento ou da execución do contrato. Concretamente, un empregado pode solicitar os seus datos de sinatura nun formato estruturado — obrigación a anticipar ao escoller a solución de sinatura.

Seguridade técnica e organizativa: as medidas imprescindibles

Esixencias técnicas da plataforma de sinatura

Conforme ao artigo 32 do RGPD, as medidas de seguridade deben ser apropiadas ao risco. Para unha solución de sinatura electrónica RH, isto se traduce notablemente en:

• Cifrado de datos en tránsito (TLS 1.3 mínimo) e en repouso (AES-256)

• Autenticación multifactorial (MFA) para o acceso á plataforma

• Xornais de auditoría (logs) con marcatempo e infalsificables, rastreando cada acción sobre o documento

• Aloxamento na UE (ou EEE) para evitar transferencias fora da EEE sen garantías adecuadas (decisión de adecuación ou cláusulas contractuais tipo)

• Probas de intrusión anuais e certificación ISO 27001 do prestador

• Plan de continuidade garantindo a dispoñibilidade do servizo e a recuperación dos arquivos en caso de incidente

Análise de impacto (AIPD): cando é obrigatoria?

O artigo 35 do RGPD impón unha Análise de Impacto relativa á Protección de Datos (AIPD) cando o tratamento é susceptible de xenerar un risco elevado. A CNIL publicou unha lista de tipos de tratamentos que requiren unha AIPD: o tratamento a gran escala de datos relacionados coa vida profesional aparece nel.

Concretamente, unha AIPD é recomendada (ou mesmo obrigatoria para as grandes empresas) durante o despliegue dunha solución de sinatura electrónica RH tocando o conxunto dos colaboradores. Debe identificar os riscos (perda de confidencialidade, usurpación de identidade, alteración dos documentos), avaliar a súa gravidade e probabilidade, e propoñer medidas de mitigación. Esta análise debe documentarse e revisarse en caso de evolución do tratamento.

Marco legal aplicable á sinatura electrónica RH e ao RGPD

Textos fundadores europeos

Regulamento eIDAS nº910/2014 (e a súa revisión eIDAS 2.0 en curso de despliegue): este texto define os tres niveis de sinatura electrónica (SES, AES, QES) e o seu valor xurídico en todo os Estados membros. O artigo 25 establece que a QES ten un efecto xurídico equivalente a unha sinatura manuscrita. O artigo 26 enumera as esixencias técnicas da sinatura avanzada. Os prestadores de servizos de confianza cualificados aparecen inscritos nas listas de confianza nacionais (en Francia, a lista é xestionada pola ANSSI).

RGPD nº2016/679: aplicable dende o 25 de maio de 2018, este regulamento rexe todo tratamento de datos personais dentro da UE. Os artigos 5 (principios), 6 (bases legais), 13-14 (información), 28 (subcontratistas), 30 (rexistro), 32 (seguridade), 35 (AIPD) e 37-39 (DPO) son directamente pertinentes para a sinatura electrónica RH.

Dereito francés aplicable

Código civil, artigos 1366-1367: o artigo 1366 establece o principio de equivalencia funcional entre escrito electrónico e escrito papel. O artigo 1367 recoñece a sinatura electrónica como modo de proba, sempre que consista nun procedemento fiable de identificación garantindo o vínculo co acto ao que se une. A fiabilidade presuímese para a QES, pero pode demostrarse para a AES.

Código do Traballo: o artigo L. 1221-1 non impón forma particular para o contrato de traballo (agás excepcións: CDD art. L. 1242-12, contrato de aprendizaxe, etc.). A lei Macron de 2015 (lei nº2015-990) abriu o camiño ao recibo de nómina electrónico. O artigo L. 3243-2 regula as súas modalidades.

Lei Informática e Liberdades modificada (lei nº78-17 de 6 de xaneiro de 1978): transposición francesa do RGPD, confere á CNIL os seus poderes de investigación e sanción. As multas poden acadar 20 millóns de euros ou 4% da facturación anual mundial para as violacións máis graves.

Normas técnicas de referencia

• ETSI EN 319 132: formato de sinatura electrónica avanzada XAdES, aplicable a documentos XML

• ETSI EN 319 122: formato CAdES para sinaturas electrónicas de documentos CMS

• ETSI EN 319 162: arquivo a longo prazo de sinaturas electrónicas (ASiC)

• NF Z 42-013 (AFNOR): especificacións funcionais dun sistema de arquivo electrónico probatorio

• ISO/IEC 27001: xestión da seguridade da información, referencia de certificación esperada dos prestadores

Riscos xurídicos en caso de non conformidade

A acumulación dos riscos é significativa: un contrato de traballo asinado cun nivel de sinatura insuficiente pode ser contestado ante o Consello de Prud'hommes, exponendo o empregador á recualificación ou á nulidade. No aspecto RGPD, a ausencia de DPA co prestador, a omisión de información aos empregados ou un aloxamento fora da UE sen garantías adecuadas poden conducir a un requirimento de conformidade da CNIL, ou mesmo a unha sanción administrativa pública.

Escenarios de uso: sinatura electrónica RH conforme ao RGPD

Escenario 1: unha ETI industrial de 600 empregados dixitaliza os seus contratos de traballo

Unha empresa industrial de tamaño intermedio, distribuída en catro sedes en Francia, trataba cada ano aproximadamente 180 contratacións CDI/CDD, xerando moitos dousures de traballo para imprimir, asinar en duplo exemplar, dixitalizar e arquivar. Os prazos entre a promesa de contratación e a sinatura efectiva do contrato acadaban en media 8 días laborais.

Após o despliegue dunha solución de sinatura electrónica avanzada (AES) integrada no seu SIRH, cun DPA conforme ao RGPD asinado co prestador e unha AIPD documentada, a empresa reduciu este prazo a menos de 24 horas. A taxa de expedientes incompletos caeu un 34% (fontes: benchmarks sectoriais ANDRH 2024). O aloxamento dos datos en Francia foi retido como criterio contractual, eliminando todo risco de transferencia fora da EEE. Os empregados son informados do tratamento a través dun encarte de información integrado no percurso de sinatura, garantindo a conformidade ao artigo 13 do RGPD.

Escenario 2: unha rede de franquicia retail desprega a sinatura QES para as convencións de forfait-días

Unha rede de distribución especializada con unha sesenta de puntos de venda e un centenar de cadres ao forfait-días enfrontábase a un risco laboral identificado polos seus xuristas: varias convencións de forfait-días non podían ser probadas máis que por medio de copias papel de mediocre calidade. A Corte de Casación endureceu as súas esixencias de proba sobre este tipo de convención, o risco de contenda era estimado en varios centos de miles de euros.

A rede despregou unha solución de sinatura cualificada (QES) para todas as novas convencións e ofrecia aos cadres en posto de re-asinar as súas convencións existentes. A verificación de identidade por vídeo-identificación foi retida. O rexistro de actividades de tratamento foi actualizado, e un DPO externo validou a conformidade RGPD do percurso. En 6 meses, a totalidade do parque de convencións de forfait-días foi asegurada. O custo da iniciativa (aproximadamente 15 a 25 € por sinatura QES segundo os prestadores do mercado) foi xulgado amplamente inferior ao risco contencioso cuberto.

Escenario 3: unha colectividade territorial desmaterializa as súas adendas e cartillas teletraballo

Unha colectividade territorial de aproximadamente 1 200 axentes permanentes desexaba desmaterializar a xestión das súas adendas de teletraballo após o acordo-marco nacional de 2021 sobre teletraballo na función pública. O volume a tratar era aproximadamente 400 documentos por ano, con restricións específicas: os axentes son persoas públicas cuxos datos están sometidos a un tratamento particularmente encadrado.

A colectividade optou por sinaturas avanzadas (AES), con aloxamento soberano nun prestador cualificado SecNumCloud pola ANSSI. A AIPD foi sometida ao DPO da colectividade antes do despliegue. Os axentes foron informados a través duna nota de servizo publicada na intranet e un encarte de información no percurso dixital. O servizo RH estimou unha ganancia de 3 ETP-días por mes na xestión administrativa das adendas, é dicir, un aforro anual equivalente a aproximadamente 35 000 € en custos diretos, coherente coas franxas publicadas polo Observatorio da transformación dixital das colectividades (2025).

Conclusión

A conformidade RGPD da sinatura electrónica para os documentos RH non é unha opción: condiciona tanto o valor xurídico dos vosos actos coma a protección dos dereitos dos vosos empregados. En 2026, as empresas que aínda non actualizaron o seu rexistro de tratamentos, asinaron un DPA co seu prestador e adaptaron o nivel de sinatura a cada tipo de documento exponse a un duplo risco — laboral e administrativo — cuxas consecuencias financeiras poden ser significativas.

A boa noticia: unha solución ben elixida e ben configurada permite conciliar fluidez operacional, conformidade eIDAS e respecto do RGPD sen fricción para os equipos RH nin para os empregados.

Certyneo che acompaña nesta iniciativa: plataforma conforme eIDAS, DPA dispoñible, aloxamento europeo e percursos de sinatura pensados para as RH. Descubre a nosa solución dedicada ás recursos humanas ou calcula o ROI do teu paso ao todo-dixital en poucos clics.