Sceau electrónico eIDAS: rol clave para as organizacións

O sceau electrónico cualificado é un dos mecanismos máis potentes —e menos coñecidos— introducidos polo regulamento eIDAS. Deseñado exclusivamente para persoas xurídicas (empresas, organismos públicos, establecementos sanitarios), garante a autenticidade e integridade dun documento emitido en nome dunha organización, mentres que a sinatura electrónica compromete a responsabilidade dunha persoa física. Esta distinción fundamental adoita ignorarse na implantación de procesos documentarios dixitais, o que expón as empresas a riscos xurídicos e operacionais evitables. Neste artigo, detallamos a definición regulatoria do sceau electrónico, os seus tres niveis de confianza, as súas diferenzas estruturais coa sinatura e os contextos concretos nos que se torna imprescindible.

Definición regulatoria do sceau electrónico eIDAS

Que di o regulamento eIDAS

O regulamento europeo nº 910/2014 (eIDAS) define o sceau electrónico no seu artigo 3(25) como « datos en forma electrónica, que están unidos ou asociados loxicamente a outros datos en forma electrónica para garantir a orixe e integridade destes ». A diferenza coa sinatura electrónica —definida no artigo 3(10)— é estrutural: o sceau está vinculado a unha persoa xurídica, a sinatura a unha persoa física.

Concretamente, un sceau electrónico aposto nunha factura ou contrato marco proba que ese documento foi producido pola propia organización, sen alteracións desde a súa emisión. Non proba que un individuo específico o aprobara, senón que a entidade xurídica é a súa autora.

Os tres niveis de sceaus eIDAS

Igual que as sinaturas, eIDAS distingue tres niveis de sceaus electrónicos:

• Sceau electrónico simple: sen ningún mecanismo de identificación reforzada; valor probatorio limitado.
• Sceau electrónico avanzado: vinculado de forma univoca á persoa xurídica creadora, creado a partir de datos que esa persoa xurídica pode usar baixo seu único control (art. 36 eIDAS). Permite detectar calquera modificación posterior dos datos.
• Sceau electrónico cualificado: creado por un dispositivo cualificado de creación de sceau electrónico (QESCD) e baseado nun certificado cualificado de sceau electrónico emitido por un prestador de servizos de confianza cualificado (QTSP) inscrito nunha lista de confianza nacional (Trusted List). É o nivel máis elevado, beneficiándose dunha presunción legal de integridade en todos os Estados membros.

Para profundizar máis na xerarquía dos niveis de confianza e a súa articulación coa sinatura, consulta o guía completa da sinatura electrónica.

Sceau cualificado fronte a sinatura cualificada: as diferenzas esenciais

Suxeito signatario: persoa xurídica fronte a persoa física

Esta é a distinción cardinal. A sinatura electrónica cualificada (QES) só pode aporse por unha persoa física identificada, cuxa identidade foi verificada segundo procedementos estritos (presencial ou videoidentificación conforme PVID en Francia). O sceau electrónico cualificado, en cambio, está vínculado ao certificado da persoa xurídica: atesta que a organización é a orixe do documento.

Esta distinción ten implicacións prácticas maiores:

| Criterio | Sinatura cualificada | Sceau cualificado | |---|---|---| | Titular | Persoa física | Persoa xurídica | | Finalidade | Consentimento, compromiso | Autenticidade, integridade | | Valor probatorio | Equivalente á sinatura manuscrita | Presunción de integridade | | Uso típico | Contratos, RRHH, actos xurídicos | Facturas, atestacións, exportacións de datos | | Certificado requirido | Cualificado persoa física | Cualificado persoa xurídica (QTSP) |

Casos onde a sinatura segue sendo obrigatoria

O sceau non substitúe á sinatura en todos os contextos. Para os actos xurídicos que requiren o consentimento explícito dunha persoa —contrato de traballo, acto de cesión, compromiso de venda— a sinatura electrónica (simple, avanzada ou cualificada segundo o valor do acto) segue sendo o mecanismo apropiado. Para profundizar nos casos de uso en contexto de RRHH ou xurídico, podes consultar as nosas páxinas dedicadas á sinatura electrónica para RRHH e á sinatura electrónica para bufetes xurídicos.

Interoperabilidade e recoñecemento transfronteirizo

Un dos principais activos do sceau cualificado eIDAS é o seu recoñecemento automático nos 27 Estados membros da UE (artigo 35 eIDAS). Un sceau emitido por un QTSP francés inscrito na Trusted List nacional é recoñecido sen formalidades suplementarias en Alemaña, España ou Polonia. Esta portabilidade é estratéxica para grupos industriais, bufetes de auditoría ou mercados B2B de dimensión europea.

Como obter e despregar un sceau electrónico cualificado

O certificado cualificado de sceau: requisito técnico

A obtención dun sceau cualificado pasa pola solicitude dun certificado cualificado de sceau electrónico a un QTSP (Prestador de Servizos de Confianza Cualificado). En Francia, a ANSSI publica a lista de prestadores cualificados. O proceso comprende:

1. Verificación da identidade legal da persoa xurídica (extracto Kbis, acto constitutivo, identificación do mandatario).
2. Xeración das chaves criptográficas nun dispositivo de hardware seguro (HSM — Hardware Security Module).
3. Emisión do certificado conforme á norma ETSI EN 319 412-3 (certificados para persoas xurídicas).
4. Integración na solución documentaria mediante API ou módulo dedicado.

A duración de validez dun certificado cualificado de sceau é xeralmente de 1 a 3 anos, renovable. O custo varía entre 300 € e 2 000 € segundo o nivel de servizo e o volume de sceaus previsto.

Integración nun fluxo documentario automatizado

A diferenza da sinatura que require a acción dun individuo, o sceau pode aplicarse automaticamente a gran escala mediante workflows batch. Un ERP que xera 500 facturas por noite pode chamar á API da plataforma de sceau para apoñer un sceau cualificado en cada PDF antes do envío —sen intervención humana. Esta automatización é un dos principais factores de adopción nos sectores con alto volume documentario (seguros, facturación electrónica, reporting regulatorio).

Se estás avaliando varias solucións, o noso comparativo de solucións de sinatura electrónica permitirache identificar as plataformas que soportan nativamente os sceaus cualificados.

A facturación electrónica obrigatoria: un acelerador de adopción

A reforma francesa da facturación electrónica B2B (despliegue progresivo a partir de 2026 segundo os últimos textos) impón que as facturas emitidas sexan autenticadas e íntegras. O sceau electrónico cualificado é un dos mecanismos recoñecidos para satisfacer este requisito no marco da Directiva 2014/55/UE. As empresas que anticipan esta obriga integrando xa agora un fluxo de sceau cualificado dótanse dunha vantaxe operacional e regulatoria duradera.

Seguridade, trazabilidade e arquivo dos sceaus

Horodataxe cualificada e conservación da proba

Un sceau electrónico cualificado gana significativamente en valor probatorio cando está asociado a un horodataxe electrónico cualificado (art. 41 eIDAS). Este último atesta a existencia do documento nun instante preciso, o que é crucial para contratos marco, informes de auditoría ou entregables de proxecto suxeitos a prazos contractuais estritos.

Para una conservación a longo prazo (10 a 30 anos segundo os sectores), convén establecer unha política de arquivo a valor probatorio segundo a norma NF Z 42-013, integrando mecanismos de re-scellado periódico para contrarrestar a obsolescencia dos algoritmos criptográficos.

Rexistro de auditoría e conformidade RGPD

Cada apposición de sceau debe trazarse nun rexistro de auditoría infalsificable: identidade do certificado, horodataxe, pegada criptográfica do documento, resultado da verificación. Este rexistro constitúe o colunela vertical da proba en caso de litigio. Desde o punto de vista RGPD, se o documento scellado contén datos persoais (ex.: folla de soldo, contrato cliente), a organización debe asegurar que o tratamento está cuberto por unha base legal apropiada e que os datos non se conservan máis aló da duración necesaria.

Para estimar o retorno da inversión dunha tal infraestrutura documentaria, o noso calculador ROI sinatura electrónica che dá unha proxección cifrada adaptada ao teu volume.

Marco legal aplicable ao sceau electrónico cualificado

Regulamento eIDAS nº 910/2014 e eIDAS 2.0

O regulamento (UE) nº 910/2014 do Parlamento Europeo e do Consello (chamado « eIDAS ») constitúe o texto fundador. Os seus artigos 35 a 40 enmarcan especificamente os sceaus electrónicos: presunción de integridade para os sceaus cualificados (art. 35), requisitos relativos aos sceaus avanzados (art. 36) e pliego de condicións dos dispositivos cualificados de creación de sceau (Anexo II). O regulamento eIDAS 2.0 (regulamento (UE) 2024/1183, publicado no DOUE o 30 de abril de 2024) reforza o marco integrando a carteira de identidade dixital europea (EUDIW) e consolida as obrigacións dos QTSP.

Código Civil francés: artigos 1366 e 1367

En dereito interno, o artigo 1366 do Código Civil establece o principio de equivalencia entre o escrito electrónico e o escrito en papel, baixo a condición de que « a persoa de quen emana poida ser debidamente identificada e que sexa establecido e conservado en condicións de natureza a garantir a súa integridade ». O artigo 1367 precisa as condicións da sinatura electrónica fiable. O sceau, que non compromete unha persoa física, atopa a súa forza probatoria na combinación destas disposicións co regulamento eIDAS, aplicándose a presunción do artigo 35 eIDAS directamente en dereito francés por efecto do regulamento europeo de aplicación directa.

Normas ETSI aplicables

Varias normas técnicas publicadas pola ETSI (European Telecommunications Standards Institute) son directamente pertinentes:

• ETSI EN 319 102-1: procedementos de creación e validación dos sceaus avanzados e cualificados.
• ETSI EN 319 132-1 / -2: formatos XAdES aplicables aos sceaus XML.
• ETSI EN 319 122: formato CAdES para os sceaus en documentos CMS.
• ETSI EN 319 412-3: perfil dos certificados cualificados para persoas xurídicas.
• ETSI TS 119 511: requisitos de política e seguridade para os QTSP xestionando certificados cualificados.

Responsabilidade xurídica e riscos en ausencia de sceau cualificado

O uso dun sceau simple ou avanzado en lugar dun sceau cualificado nun contexto requirindo o nivel máis elevado (mercados públicos europeos, intercambios EDI regulados, reporting financeiro) expón a organización a:

• Nulidade ou inoponiblidade do documento en caso de litigio transfronteirizo.
• Rexeitamentos automáticos polas plataformas de desmaterialización (ex.: Chorus Pro para facturación pública).
• Sancións RGPD se a ausencia de integridade documentaria leva a unha violación de datos (art. 83 RGPD, multa ata o 4 % da facturación mundial).
• Responsabilidade civil da dirección en caso de prexuízo causado a un terceiro por un documento alterado non detectado.

Escenarios de uso concretos do sceau electrónico cualificado

Escenario 1 — Emisor de facturas electrónicas a volume elevado

Unha PEME industrial xestionando aproximadamente 3 000 facturas de provedores e clientes por mes desexa anticipar a obriga de facturación electrónica B2B prevista para 2026. Ata agora, os PDFs de facturas eran enviados por correo electrónico sen ningún mecanismo de autenticidade garantida. Ao despregar un sceau electrónico cualificado mediante a API da súa plataforma documentaria, a empresa aplica automaticamente o sceau a cada PDF xerado polo seu ERP, antes da transmisión á plataforma de desmaterialización parceira (PDP). Resultado: cero rexeitamentos por defecto de autenticidade, redución de litigios de conformidade dun 70 % aprox. segundo benchmarks sectoriais e conformidade inmediata cos requisitos da Directiva 2014/55/UE. O sobrecusto operacional estímase en menos de 0,05 € por documento.

Escenario 2 — Grupo de seguros emitindo atestacións reguladas

Un grupo de seguros de tamaño intermedio (aproximadamente 400 000 asegurados) produce diariamente atestacións de seguro de automóbil, certificados de garantía e suplementos. Estes documentos deben ser opoñibles aos terceiros (forzas de orde, parceiros de garaxe, plataformas de corretaxe). A integración dun sceau cualificado —asociado a un horodataxe cualificado— permite a cada destinatario verificar en liña a autenticidade do documento mediante un código QR que remite ao servizo de validación ETSI. As reclamacións relacionadas con documentos fraudulentos ou falsificados caen case un 85 % nos 12 meses seguintes ao despliegue, segundo os retornos observados neste tipo de migración. A trazabilidade do rexistro de auditoría facilita tamén as respostas ás inxuncións da ACPR.

Escenario 3 — Establecemento público xestionando chamadas de licitacións europeas

Un establecemento público de investigación participando regularmente en consorcios de proxectos europeos (Horizon Europe) debe presentar entregables contractuais, informes de progresión e xustificantes financeiros á Comisión Europea mediante os portais EU Funding & Tenders. Estas plataformas recoñecen só os documentos scellados por QTSP inscritos na Trusted List europea. Ao adoptar un sceau cualificado, o establecemento elimina os prazos de re-presentación relacionados con rexeitamentos técnicos (estimados en 3 a 5 días hábiles por expediente) e reforza a súa credibilidade ante os coordinadores de proxectos parceiros noutros Estados membros. O recoñecemento transfronteirizo automático garantido polo artigo 35 eIDAS elimina calquera necesidade de apostila ou legalización suplementaria.

Conclusión

O sceau electrónico cualificado eIDAS é moito máis que unha ferramenta técnica: é un pilar da confianza dixital para as organizacións que xestionan fluxos documentarios sensibles a gran escala. A súa distinción estrutural coa sinatura electrónica —ancorada no regulamento eIDAS e no Código Civil— impón ás empresas identificar ben os casos onde un ou outro mecanismo é requirido. Na hora en que a facturación electrónica obrigatoria, as chamadas de licitacións europeas e os requisitos RGPD reforzados intensifican os imperativos de autenticidade documentaria, anticipar a adopción dun sceau cualificado é unha decisión estratéxica, non só regulatoria.

Certyneo te acompaña na implantación de workflows de sceau electrónico cualificado adaptados ao teu sector e aos teus volumes. Descubre as nosas ofertas e comeza gratuitamente ou contacta cos nosos expertos para unha auditoría documentaria personalizada.