Sinatura electrónica RH & RGPD : guía completa 2026

A dixitalización dos recursos humanos acelerou-se considerablemente desde 2020 : contratos de traballo, avenidas, follas de pagamento, cartas informáticas, acordos de teletraballo — practicamente todos estes documentos transitan agora en forma dixital. Malia todo, desmaterializar non significa eludir as obrigacións legais. Ao contrario : a sinatura electrónica documento RH RGPD constitúe un tema con dupla entrada regulatoria, xa que articula o marco eIDAS sobre o valor probatorio da sinatura e o regulamento europeo sobre protección de datos persoais. Se non se domina ben, esta dupla restrición expón a empresa a riscos xurídicos e sancións da CNIL. Esta guía presenta as regras esenciais, as boas prácticas e os puntos de vixilancia que debes coñecer absolutamente en 2026.

Por que se aplica o RGPD á sinatura electrónica RH ?

A sinatura electrónica trata necesariamente datos persoais

Asinar un contrato de traballo en liña implica recopilar, transmitir e almacenar datos de carácter persoal no sentido do artigo 4 do RGPD nº2016/679 : nome, apelido, enderezo de correo electrónico profesional, ás veces número de teléfono móbil, marca de tempo e enderezo IP de sinatura. Nun contexto RH, estes datos son particularmente sensibles xa que identifican directamente ao traballador e están vinculados á súa relación contractual coa empresa.

O prestador de servizos de confianza (PSC) que fornece a solución de sinatura cualifícase como encargado do tratamento no sentido do artigo 28 do RGPD. A empresa segue sendo a responsable do tratamento. Esta distinción é fundamental : é a empresa quen responde ante a CNIL en caso de incumprimento, non o provedor de software.

As bases legais mobilizables en contexto RH

Para cada categoría de documentos RH desmaterializados, a empresa debe identificar a base legal de tratamento máis apropiada :

• Execución do contrato (art. 6.1.b RGPD) : sinatura do contrato de traballo, avenida salarial, convención de forfait-días. É a base legal máis robusta para documentos contractuais.

• Obrigación legal (art. 6.1.c RGPD) : entrega desmaterializada da folla de pagamento (autorizada desde a lei Macron de 2015 baixo condicións), rexistros de persoal.

• Interese lexítimo (art. 6.1.f RGPD) : cartas informáticas, regulamentos internos, documentos de política interna — baixo a condición de pasar a preba de equilibrio.

A base consentimento (art. 6.1.a) debe evitarse en contexto RH : a CNIL e o CEPD (Comité Europeo de Protección de Datos) consideran que a relación de subordinación entre empresa e traballador fai que o consentimento sexa raramente libre. Un traballador que rexeite asinar electronicamente podería temer consecuencias profesionais.

As obrigacións concretas do responsable do tratamento RH

Actualizar o rexistro de actividades de tratamento (RAT)

O artigo 30 do RGPD impón a todo organismo que empregue máis de 250 traballadores (e ás PEME que traten datos sensibles a gran escala) manter un rexistro de actividades de tratamento. A introdución dunha ferramenta de sinatura electrónica para documentos RH debe figurar nela con :

• A finalidade do tratamento (ex. : desmaterialización e arquivo de documentos contractuais RH)

• As categorías de datos tratados (identidade, datos de contacto, datos de autenticación)

• A duración da conservación (duración legal de conservación do contrato de traballo : 5 anos despois do fin do contrato segundo o Código do Traballo, art. L. 1234-20)

• Os coordenadas do encargado do tratamento (a plataforma de sinatura)

• As medidas de seguridade implementadas

Asinar un DPA (Data Processing Agreement) co prestador

De acordo co artigo 28 do RGPD, todo recurso a un encargado do tratamento para tratar datos persoais debe formalizarse cun contrato de tratamento de datos (DPA). Este contrato debe especificar :

• O obxeto e a duración do tratamento

• A natureza e a finalidade do tratamento

• O tipo de datos persoais e as categorías de persoas afectadas

• As obrigacións e dereitos do responsable do tratamento

• A localización dos datos (aloxamento na UE recomendado para evitar transferencias fora do EEE)

• As medidas de seguridade técnicas e organizacionais

Un prestador de sinatura electrónica serio ofrece sistematicamente un DPA conforme. A súa ausencia constitúe un incumprimento inmediatamente sancionable.

Informar aos traballadores antes da primeira sinatura

O artigo 13 do RGPD impón información previa das persoas cuxos datos se recopilan. Antes de desplegar a sinatura electrónica para documentos RH, a empresa debe informar aos traballadores :

• Da identidade do responsable do tratamento

• Da finalidade e da base legal

• Da duración da conservación dos datos

• Dos seus dereitos (acceso, rectificación, supresión dentro dos límites das obrigacións legais de conservación, portabilidade)

• Dos coordenadas do DPO (Delegado de Protección de Datos) se foi designado

Esta información pode ser integrada no proceso de sinatura en si mesmo (bandela de información antes de asinar), no regulamento interno actualizado, ou mediante una nota de servicio distribuída durante o despregamento.

Nivel de sinatura requirido para documentos RH : SES, AES ou QES ?

A xerarquía dos niveis eIDAS

O regulamento eIDAS nº910/2014 define tres niveis de sinatura electrónica, cada un ofrecendo un valor probatorio crecente :

• SES (Simple Electronic Signature / Sinatura electrónica simple) : escaso valor probatorio, axeitada para documentos con pouco éxito (acuses de recepción, formularios internos)

• AES (Advanced Electronic Signature / Sinatura electrónica avanzada) : vinculada de maneira única ao asinante, creada a partir de datos baixo o seu control exclusivo. Axeitada para a maioría dos documentos RH comúns.

• QES (Qualified Electronic Signature / Sinatura electrónica cualificada) : nivel máis elevado, equivalente á sinatura manuscrita segundo o art. 25.2 eIDAS. Require verificación de identidade reforzada (face-a-face ou videoidentificación).

Que nivel para que documentos RH ?

A cartografía recomendada en 2026, tendo en conta as posicións da xurisprudencia francesa e as recomendacións sectoriais :

| Documento RH | Nivel recomendado | Xustificación | |---|---|---| | Contrato de traballo CDI/CDD | AES mínimo, QES recomendado | Valor contractual forte, risco prud'homal | | Avenida contractual | AES mínimo, QES recomendado | Mesma lóxica que o contrato principal | | Período de proba (renovación) | AES | Prazo curto, formalismo limitado | | Carta teletraballo / BYOD | SES ou AES | Acordo colectivo ou regulamento interno | | Convención de forfait-días | QES fortemente aconsellado | Xurisprudencia social esixente | | Ruptura convencional | QES obrigatorio | Formulario Cerfa homologado, éxito elevado | | Recibo por saldo de toda conta | AES ou QES | Valor liberatorio, art. L. 1234-20 CT |

Para documentos con elevado éxito contencioso (convención de forfait, ruptura convencional), a QES impóñese de facto para garantir a oposabilidade ante as xurisdición prud'homales. A Corte de Casación endureceu progresivamente as súas esixencias sobre a proba do acordo do traballador.

Conservación, arquivo e dereitos das persoas : as trampas a evitar

Duracións de conservación legal dos documentos RH asinados

A conservación dos documentos RH asinados electronicamente obedece a duracións legais imperativas. Estas duracións priman sobre o dereito ao esquecemento do RGPD (art. 17.3.b) :

• Contrato de traballo : 5 anos despois do fin do contrato (prescrición prud'homal, art. L. 1471-1 Código do Traballo)

• Follas de pagamento : 5 anos (prescrición de salarios), pero conservación recomendada ata a liquidación dos dereitos á xubilación do traballador

• Documentos relativos a accidentes de traballo : 30 anos (risco contencioso longo)

• Formación profesional (plans, certificacións) : 3 anos

• Rexistros de persoal : 5 anos despois da data en que o traballador abandou o establecemento

O arquivo electrónico con valor probatorio debe atender ás exixencias da norma NF Z 42-013 e idealmente ao estándar ETSI EN 319 162 (arquivo a longo prazo de sinaturas electrónicas). Un simple almacenamento en servidor non é suficiente : hai que garantir a integridade, a lexibilidade e o horodatado cualificado dos documentos durante toda a duración da conservación.

Xestionar os dereitos dos traballadores sen comprometer o valor probatorio

Un traballador pode lexitimamente exercer o seu dereito de acceso (art. 15 RGPD) para obter copia dos datos de sinatura que lle conciernen. Pode tamén solicitar a rectificación de datos inexactos.

Pola contra, o dereito ao esquecemento (art. 17 RGPD) non pode exercerse sobre documentos RH suxeitos a obrigacións legais de conservación. A empresa debe estar en condicións de explicar claramente esta negativa, citando a base legal aplicable. Documentar estes intercambios no rexistro de solicitudes de dereitos é unha boa práctica recomendada pola CNIL.

A portabilidade (art. 20 RGPD) aplícase aos datos fornecidos polo traballador sobre a base do consentimento ou da execución do contrato. Concretamente, un traballador pode solicitar os seus datos de sinatura nun formato estruturado — obrigación a anticipar ao escoller a solución de sinatura.

Seguridade técnica e organizacional : as medidas indispensables

Exixencias técnicas da plataforma de sinatura

De acordo co artigo 32 do RGPD, as medidas de seguridade deben ser apropiadas ao risco. Para una solución de sinatura electrónica RH, isto tradúcese notabelmente en :

• Cifrado dos datos en tránsito (TLS 1.3 mínimo) e en repouso (AES-256)

• Autenticación multifactor (MFA) para o acceso á plataforma

• Xornais de auditoría (logs) horodatados e infalsificables, rastreando cada acción sobre o documento

• Aloxamento na UE (ou EEE) para evitar transferencias fora do EEE sen garantías adecuadas (decisión de adecuación ou cláusulas contractuais tipo)

• Probas de intrusión anuais e certificación ISO 27001 do prestador

• Plan de continuidade garantindo a dispoñibilidade do servizo e a recuperación dos arquivos en caso de incidente

Análise de impacto (AIPD) : cando é obrigatoria ?

O artigo 35 do RGPD impón una Análise de Impacto relativa á Protección de Datos (AIPD) cando o tratamento sexa susceptible de xerar un risco elevado. A CNIL publicou una lista de tipos de tratamentos que requiren unha AIPD : o tratamento a gran escala de datos relativos á vida profesional figura mencioado.

Concretamente, una AIPD é recomendada (ou incluso obrigatoria para as grandes empresas) ao desplegar una solución de sinatura electrónica RH que afecte á totalidade dos colaboradores. Debe identificar os riscos (perda de confidencialidade, usurpación de identidade, alteración dos documentos), avaliar a súa gravidade e probabilidade, e propoñer medidas de mitigación. Esta análise debe estar documentada e revisada en caso de evolución do tratamento.

Marco legal aplicable á sinatura electrónica RH e ao RGPD

Textos fundadores europeos

Regulamento eIDAS nº910/2014 (e a súa revisión eIDAS 2.0 en curso de despregamento) : este texto define os tres niveis de sinatura electrónica (SES, AES, QES) e o seu valor xurídico en todos os Estados membros. O artigo 25 dispón que a QES ten un efecto xurídico equivalente a una sinatura manuscrita. O artigo 26 enumera as exixencias técnicas da sinatura avanzada. Os prestadores de servizos de confianza cualificados están inscritos nas listas de confianza nacionais (en Francia, a lista é xestionada pola ANSSI).

RGPD nº2016/679 : aplicable desde o 25 de maio de 2018, este regulamento rexe todo tratamento de datos persoais dentro da UE. Os artigos 5 (principios), 6 (bases legais), 13-14 (información), 28 (encargados do tratamento), 30 (rexistro), 32 (seguridade), 35 (AIPD) e 37-39 (DPO) son directamente pertinentes para a sinatura electrónica RH.

Dereito francés aplicable

Código Civil, artigos 1366-1367 : o artigo 1366 establece o principio de equivalencia funcional entre escrito electrónico e escrito papel. O artigo 1367 recoñece a sinatura electrónica como modo de proba, sempre que consista nun procedemento fiable de identificación garantindo a conexión co acto ao que se adxunta. A fiabilidade presuponse para a QES, pero pode demostrarse para a AES.

Código do Traballo : o artigo L. 1221-1 non impón forma particular para o contrato de traballo (agás excepcións : CDD art. L. 1242-12, contrato de aprendizaxe, etc.). A lei Macron de 2015 (lei nº2015-990) abriu a vía á folla de pagamento electrónica. O artigo L. 3243-2 regula as súas modalidades.

Lei de Informática e Libertades modificada (lei nº78-17 do 6 de xaneiro de 1978) : transposición francesa do RGPD, confíre á CNIL os seus poderes de investigación e sanción. As multas poden alcanzar 20 millóns de euros ou 4% da facturación anual mundial para as violacións máis graves.

Normas técnicas de referencia

• ETSI EN 319 132 : formato de sinatura electrónica avanzada XAdES, aplicable a documentos XML

• ETSI EN 319 122 : formato CAdES para sinaturas electrónicas de documentos CMS

• ETSI EN 319 162 : arquivo a longo prazo de sinaturas electrónicas (ASiC)

• NF Z 42-013 (AFNOR) : especificacións funcionais dun sistema de arquivo electrónico probatorio

• ISO/IEC 27001 : xestión da seguridade da información, referencial de certificación esperado dos prestadores

Riscos xurídicos en caso de non conformidade

A acumulación de riscos é significativa : un contrato de traballo asinado cun nivel de sinatura insuficiente pode ser contestado ante o Consello Prud'homal, exponiendo a empresa á reificación ou á nulidade. Na vertente RGPD, a ausencia de DPA co prestador, a omisión de información aos traballadores ou un aloxamento fora da UE sen garantías adecuadas poden conducir a una interpelación da CNIL, ou incluso a una sanción administrativa pública.

Escenarios de uso : sinatura electrónica RH conforme ao RGPD

Escenario 1 : una ETI industrial de 600 traballadores dixitaliza os seus contratos de traballo

Uma empresa industrial de tamaño intermedio, distribuída en catro sitios en Francia, trataba cada ano aproximadamente 180 contratacións CDI/CDD, xerando tantos dosiers papel a imprimir, asinar en duplo exemplar, escanear e arquivar. Os prazos entre a promesa de emprego e a sinatura efectiva do contrato alcanzaban unha media de 8 días laborais.

Despois do despregamento dunha solución de sinatura electrónica avanzada (AES) integrada no seu SIRH, cun DPA conforme ao RGPD asinado co prestador e una AIPD documentada, a empresa reduciu este prazo a menos de 24 horas. A taxa de dosiers incompletos caíu un 34 % (fontes : benchmarks sectoriais ANDRH 2024). O aloxamento dos datos en Francia foi retido como criterio contractual, eliminando todo risco de transferencia fora do EEE. Os traballadores son informados do tratamento mediante un encarte de información integrado no percorrido de sinatura, garantindo a conformidade co artigo 13 do RGPD.

Escenario 2 : una rede de franchise retail desprega a sinatura QES para convencións de forfait-días

Una rede de distribución especializada contando con sesenta puntos de venta aproximadamente e cen cadros ao forfait-días enfrontouse a un risco prud'homal identificado polos seus xuristas : varias convencións de forfait-días non podían probarse máis que mediante copias papel de mediocre calidade. A Corte de Casación endureceu as súas esixencias de proba sobre este tipo de convención, estimándose o risco de litigio en varios centos de millares de euros.

A rede despregou una solución de sinatura cualificada (QES) para todas as novas convencións e ofreceu aos cadros en servizo resignar as súas convencións existentes. A verificación de identidade por videoidentificación foi retida. O rexistro de actividades de tratamento foi actualizado, e un DPO externo validou a conformidade RGPD do percorrido. En 6 meses, a totalidade do parque de convencións de forfait-días foi asegurada. O custo da iniciativa (aproximadamente 15 a 25 € por sinatura QES segundo os prestadores do mercado) foi considerado amplamente inferior ao risco contencioso cubierto.

Escenario 3 : una colectividade territorial desmaterializa as súas avenidas e cartas teletraballo

Una colectividade territorial de aproximadamente 1 200 axentes permanentes desexou desmaterializar a xestión das súas avenidas de teletraballo despois do acordo-marco nacional de 2021 sobre teletraballo na administración pública. O volume a tratar era de aproximadamente 400 documentos por ano, con restricións específicas : os axentes son persoas públicas cuxos datos están suxeitos a un tratamento particularmente encadrado.

A colectividade optou por sinaturas avanzadas (AES), con aloxamento soberano cun prestador cualificado SecNumCloud pola ANSSI. A AIPD foi sometida ao DPO da colectividad antes do despregamento. Os axentes foron informados mediante una nota de servizo publicada na intranet e un encarte de información no percorrido dixital. O servizo RH estimou una ganancia de 3 ETP-días por mes na xestión administrativa das avenidas, é dicir una economía anual equivalente a aproximadamente 35 000 € en custos diretos, coherente coas franxas publicadas polo Observatorio da transformación dixital das colectividades (2025).

Conclusión

A conformidade RGPD da sinatura electrónica para documentos RH non é opcional : condiciona tanto o valor xurídico dos teus actos como a protección dos dereitos dos teus traballadores. En 2026, as empresas que aínda non actualizaron o seu rexistro de tratamentos, non asiaron un DPA co seu prestador e non adaptaron o nivel de sinatura a cada tipo de documento expóñense a un duplo risco — prud'homal e administrativo — cuxas consecuencias financeiras pueden ser significativas.

A boa noticia : una solución ben escolida e ben configurada permite conciliar fluidez operacional, conformidade eIDAS e respecto ao RGPD sen fricción para os equipos RH nin para os traballadores.

Certyneo acompáñate nesta iniciativa : plataforma conforme eIDAS, DPA dispoñible, aloxamento europeo e percorridos de sinatura pensados para os RH. ou en poucos clics.