Asegurar documentos asinados electronicamente: guía 2026

Introdución

A sinatura electrónica convertíuse na norma nos intercambios B2B europeos. Pero asinar un documento non é suficiente: aínda é preciso asegurar, arquivar e conservar eses documentos asinados electronicamente respeitando o marco legal vixente. En Francia e en Europa, as obrigas derivadas do regulamento eIDAS, do RGPD e do Código Civil imponen exixencias precisas en materia de integridade, trazabilidade e duración de conservación. Esta guía explícalle, paso a paso, como implementar unha estratexia de arquivo robusta para os seus documentos electrónicos asinados — e por que esta aproximación é inseparable dunha política seria de sinatura electrónica.

---

Por que a aseguración de documentos asinados é unha prioridade absoluta

Os riscos vinculados a unha mala conservación

Un documento asinado electronicamente perde toda a súa valor probatoria se é alterado, corrompido ou inaccesible no momento en que é requirida a súa produción — durante un litixio, unha auditoría ou un control fiscal. Os riscos concretos inclúen:

• A perda de integridade: calquera modificación post-sinatura, aínda que sexa mínima, invalida a sinatura e, polo tanto, o valor xurídico do documento.
• A expiración dos certificados: un certificado cualificado ten unha vida útil limitada (xeralmente de 1 a 3 anos). Se o documento non está ahorizado ou arquivado correctamente antes da expiración, a súa verificabilidade futura está comprometida.
• A obsolescencia tecnolóxica: os formatos de ficheiros evolucionan. Un documento PDF asinado en 2018 con un algoritmo SHA-1, agora considerado como vulnerable, pode causar problemas de validación a longo prazo.
• As violacións de RGPD: os documentos asinados conteñen con frecuencia datos persoais (nome, apelido, enderezo IP, correo electrónico). Unha mala xestión destes datos expón a empresa a sancións da CNIL que poden chegar ao 4% da facturación mundial.

Segundo un estudo de KPMG publicado en 2024, o 34% das empresas francesas non teñen unha política formalizada de arquivo electrónico, expóñense a riscos xurídicos significativos en caso de contenda.

O valor probatorio: un tema central

O valor probatorio dun documento asinado electronicamente repousa en tres pilares fundamentais:

1. A autenticidade: o sinatario é quen pretende ser (verificación de identidade, certificado cualificado).
2. A integridade: o contido non foi modificado desde a sinatura (pegada criptográfica, hash SHA-256 ou superior).
3. A non-repudiación: o sinatario non pode negar ter asinado (ahorización cualificado, rexistro de auditoría).

Estes tres pilares deben ser mantibles no tempo, o que implica unha estratexia de arquivo activa e non pasiva.

---

As normas técnicas para asegurar os seus documentos asinados

Os formatos de sinatura a longo prazo: PAdES, XAdES, CAdES

Para garantir a perennidade dun documento asinado, as normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) e ETSI EN 319 142 (PAdES) definen formatos de sinatura adaptados á conservación de longo prazo. O máis utilizado na práctica B2B é o formato PAdES (PDF Advanced Electronic Signatures), cos seus niveis:

• PAdES-B: nivel básico, adaptado a duraciones curtas.
• PAdES-T: engade un ahorización cualificado para probar a existencia do documento nun instante T.
• PAdES-LT: integra os datos de revogación dos certificados, permitindo a validación sen acceso aos servizos en liña.
• PAdES-LTA: nivel máis robusto, engade un ahorización de arquivo permitindo renovacións periódicas. Recomendado para calquera conservación que supera 3 anos.

Para o arquivo a longo prazo, o nivel PAdES-LTA é a referencia recomendada pola ANSSI e os prestadores de servizos de confianza cualificados (QTSP).

O ahorización cualificado: a clave de bóveda do arquivo

O ahorización cualificado, definido no artigo 42 do regulamento eIDAS, constitúe unha proba legal da existencia dun documento nun momento preciso. É emitido por unha Autoridade de Ahorización cualificado (TSA - Time Stamping Authority) inscrita na lista de confianza europea (EU Trust List).

En concreto, o ahorización:

• Vincula criptográficamente a pegada do documento a unha data e hora certificadas.
• Permite probar que a sinatura era válida no momento da súa creación, aínda que o certificado teña expirado dende entón.
• É indispensable para asegurar a admisibilidade do documento en xustiza anos después da súa sinatura.

O cifrado e o control de acceso

Alén dos aspectos criptográficos vinculados á sinatura en si mesma, a aseguración física e lóxica dos documentos arquivados é igualmente crítica:

• Cifrado en repouso: os documentos deben ser cifrados nos servidores de aloxamento (AES-256 mínimo).
• Cifrado en tránsito: protocolos TLS 1.3 para todo transferencia.
• Control de acceso baseado en roles (RBAC): só as persoas autorizadas poden acceder aos documentos arquivados.
• Rexistro de accesos: todo acceso, consulta ou descarga debe ser trazado (rexistros immuables).
• Copias de seguridade xeo-redundantes: polo menos dúas copias en sitios xeograficamente distintos, con probas de restauración periódicas.

---

Estratexias de arquivo electrónico probatorio: SAE e caixa forte dixital

O Sistema de Arquivo Electrónico (SAE)

Un Sistema de Arquivo Electrónico (SAE) é unha infraestrutura dedicada á conservación a longo prazo dos documentos dixitais con garantía da súa integridade e accesibilidade. En Francia, o referencial aplicable é a norma NF Z42-013 (homologada ISO 14641), que define as exixencias para o deseño e a explotación dun SAE probatorio.

As características dun SAE conforme inclúen:

• Un plan de clasificación estruturado con normas de conservación por categoría documentaria.
• Unha pegada de integridade calculada na entrada e verificada periodicamente.
• Un rexistro immuable de todas as operacións.
• Procedementos de migración tecnolóxica para facer evolucionar os formatos sen perda de integridade.
• Un acceso seguro e auditable con autenticación forte.

O recurso a un SAE xestido por un prestador cualificado (tipo Arquivo Electrónico a Valor Probatorio - AEVP) permite ás empresas delegar esta complexidade mentres se benefician de garantías contractuais e regulatorias sólidas.

A caixa forte dixital: unha solución complementaria

A caixa forte dixital é unha variante simplificada do SAE, orientada ao usuario final. Permite a cada sinatario conservar unha copia persoal, segura e accesible, dos seus documentos asinados. Este enfoque é particularmente relevante para:

• Os contratos de traballo e avenidas (accesibles polo traballador).
• As condicións xerais de venda aceptadas electronicamente.
• Os documentos de onboarding de cliente (KYC, mandatos SEPA).

Duraciones de conservación legais: o que a lei impone

A duración de conservación dos documentos varía segundo a súa natureza xurídica. Aquí están os principais prazos a coñecer:

| Tipo de documento | Duración mínima legal | Base legal | |---|---|---| | Contratos comerciais | 5 anos | Art. L110-4 Código de Comercio | | Documentos fiscais | 6 anos | Art. L102 B LPF | | Contratos de traballo | 5 anos despois de ruptura | Código do Traballo | | Actos baixo sinatura privada | 5 anos (acción persoal) | Art. 2224 Código Civil | | Documentos contables | 10 anos | Art. L123-22 Código de Comercio | | Datos de saúde | 20 anos mínimo | Art. R1112-7 CSP |

Estes prazos deben ser integrados na política de arquivo e parametrizados nas ferramentas de xestión documentaria.

---

Integrar a aseguración no seu fluxo de traballo de sinatura electrónica

Elixir unha plataforma de sinatura con arquivo nativo

A mellor estratexia consiste en elixir unha solución de sinatura electrónica que integre nativamente o arquivo seguro, en lugar de xestionar dúas ferramentas distintas. Os criterios de selección esenciais son:

• Cualificación eIDAS: a plataforma debe ser ou apoiarse nun prestador de servizos de confianza cualificado (QTSP) inscrito na EU Trust List.
• Conformidade RGPD: aloxamento de datos en Unión Europea, DPA (Data Processing Agreement) dispoñible, posibilidade de exercer os dereitos das persoas.
• Formatos de arquivo certificados: soporte nativo de PAdES-LTA ou equivalente.
• Rexistro de auditoría completo: cada paso do proceso de sinatura debe ser trazado e exportable.
• API de integración: para conectar a plataforma ao seu GED (Xestión Electrónica de Documentos) ou ERP existente.

Para comparar as solucións dispoñibles no mercado, consulte o noso comparativo de solucións de sinatura electrónica.

O rexistro de auditoría: a súa mellor protección en caso de litixio

O rexistro de auditoría (ou audit trail) é un diario cronolóxico e immuable que retrae todas as accións relacionadas cun documento: envío, apertura, sinatura, rexeitamento, lembranzas. Constitúe unha proba complementaria á sinatura en si mesma.

Un rexistro de auditoría probatorio debe conter:

• Os ahorizacións cualificados de cada acción.
• Os enderezos IP e axentes de usuario dos sinatarios.
• Os identificadores de verificación de identidade utilizados.
• Os metadatos do documento (pegada hash).

En caso de litixio, moitas veces é o rexistro de auditoría o que marca a diferenza ante un tribunal, particularmente cando a sinatura simple ou avanzada (e non cualificada) foi utilizada.

Automatizar os lembranzas de renovación e arquivo

Unha política de arquivo eficaz é ante todo unha política automatizada. As boas prácticas inclúen:

• Alertas automáticas antes de expiración dos certificados ou dos ahorizacións.
• Fluxo de traballo de renovación de ahorización (timestamp renewal) antes de que os algoritmos criptográficos se convir obsoletos.
• Revisións periódicas da lista de documentos arquivados, con verificación aleatoria de integridade.
• Taboleiro de control de conformidade permitindo identificar os documentos cuxa duración de conservación está próxima do prazo legal.

Estas automatizacións están dispoñibles nativamente nas plataformas de sinatura electrónica de nova xeración, como Certyneo para as empresas.

Marco legal aplicable á aseguración e arquivo dos documentos asinados

A conservación segura dos documentos asinados electronicamente intégrase nun marco regulatorio denso, cuxa mastery é indispensable para calquera organización que desexe opor estes documentos a terceiros ou producílos en xustiza.

Regulamento eIDAS nº910/2014 e as súas evolucións

O regulamento europeo eIDAS (Electronic IDentification, Authentication and trust Services), aplicable dende o 1 de xullo de 2016 e en revisión a través de eIDAS 2.0, establece o marco de confianza para os servizos de sinatura electrónica en Europa. Distingue tres niveis de sinatura (simple, avanzada, cualificada) e impón aos prestadores de servizos de confianza cualificados (QTSP) exixencias estritas de seguridade, auditoría e continuidade de servizo. O artigo 25 recoñece a presunción de non-repudiación para a sinatura cualificada. O artigo 42 encadra os servizos de ahorización cualificado.

Código Civil francés: artigos 1366 e 1367

O artigo 1366 do Código Civil establece que «o escrito electrónico ten a mesma forza probatoria que o escrito en soporte papel, baixo a reserva de que poida ser debidamente identificada a persoa da que emana e de que sexa establecido e conservado en condicións de natureza a garantir a súa integridade». O artigo 1367 precisa as condicións de validez da sinatura electrónica. A responsabilidade da conservación en condicións que garantan a integridade incumbe á organización que posúe o documento.

RGPD nº2016/679: protección de datos persoais nos arquivos

Os documentos asinados electronicamente conteñen sistematicamente datos persoais (identidade do sinatario, enderezo de correo electrónico, enderezo IP, ás veces datos biométricos comportamentais). O RGPD impón unha base legal para cada tratamento, a limitación da duración de conservación ao estritamente necesario, e a implementación de medidas técnicas e organizativas apropriadas (artigo 32). En caso de violación de datos que afecten os arquivos de documentos asinados, o artigo 33 impón unha notificación á CNIL en 72 horas.

Directiva NIS2 (2022/2555/UE)

Trasposta en dereito francés por ordenanza en 2024, a directiva NIS2 impón ás entidades esenciais e importantes obrigas reforzadas en materia de ciberseguridade, incluíndo a aseguración dos sistemas de información tratando datos sensibles. As plataformas de arquivo de documentos asinados das organizacións afectadas entran no perímetro de aplicación.

Normas ETSI e NF Z42-013

As normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) e ETSI EN 319 142 (PAdES) definen os formatos de sinatura electrónica avanzada e cualificada conforme a eIDAS. A norma NF Z42-013 / ISO 14641 constitúe o referencial francés para o deseño e a explotación dun sistema de arquivo electrónico a valor probatorio. O seu respecto é fortemente recomendado pola ANSSI e constitúe unha protección sólida en caso de contestación xudicial.

Sancións e riscos en caso de non-conformidade

Os riscos son múltiples: inadmisibilidade do documento en xustiza, sancións de CNIL (ata 20 millóns de euros ou 4% do CA mundial para as violacións maiores de RGPD), compromiso da responsabilidade contractual ou delitual da organización, e perda das garantías ofrecidas polo prestador de sinatura se as obrigas de conservación non foron respectadas.

Escenarios de uso: como as organizacións aseguran os seus documentos asinados

Escenario 1 — Un despacho de avogados xestionando millares de actos anuais

Un despacho de avogados de negocios de 25 colaboradores trata en media 3.000 actos e contratos asinados electronicamente por ano (protocolos transaccionais, mandatos, actos de cesión). Enfrontado á necesidade de producir documentos vello de 7 anos durante un control fiscal dun cliente, o despacho constata que varias sinaturas xa non son verificables: os certificados expiraron e ningún ahorización de arquivo (nivel PAdES-LTA) fora aplicado.

Despois de ter integrado unha solución de sinatura con arquivo nativo en SAE conforme NF Z42-013, o despacho benefíciase dunha verificabilidade garantida en 30 anos. O tempo de busca e produción dun documento durante unha contenda pasa de 4 horas a menos de 15 minutos. Os asociados estiman unha redución de 60% do risco xurídico vinculado á conservación documentaria. Para coñecer máis sobre as necesidades específicas dos despachos xurídicos, consulte a nosa páxina dedicada á sinatura electrónica para despachos xurídicos.

Escenario 2 — Unha PEME industrial xestionando contratos de provedores e clientes

Unha PEME industrial de 180 traballadores xera ao redor de 400 contratos de provedores e 250 contratos de clientes asinados electronicamente por ano. Os seus documentos eran ata agora almacenados nun cartafol compartido non cifrado nun servidor interno, sen rexistro de auditoría, sen control de acceso granular.

Despois dun incidente de ciberseguridade (ransomware) que cifraron parte do servidor, varios contratos en curso tiveron que ser re-asinados, xerando atrasos e custos estimados en 40.000 €. Despois da migración cara a unha plataforma SaaS de sinatura con caixa forte dixital integrada, aloxamento soberano en Francia e copias de seguridade xeo-redondantes, a PEME elimina este risco. Tamén se beneficia de alertas automáticas en máis de vencementos contractuais. Para estimar o retorno de investimento dunha tal aproximación, use o noso calculador ROI sinatura electrónica.

Escenario 3 — Un agrupamento hospitalario xestionando consentementos de pacientes e contratos RH

Un agrupamento hospitalario de aproximadamente 1.200 camas debe conservar os consentementos informados dos pacientes asinados electronicamente durante 20 anos mínimo (artigo R1112-7 do Código de Saúde Pública), así como os contratos de traballo dos seus 2.500 axentes. A multiplicidade de documentos e dos prazos de conservación diferentes facía a xestión manual imposible e arriscada.

Ao implementar unha solución de sinatura electrónica con módulo de arquivo parametrizables por categoría documentaria, o servizo xurídico do agrupamento automatiza as normas de retención: 20 anos para os consentementos, 5 anos post-ruptura para os contratos RH, 10 anos para os mercados públicos. As auditorías internas de conformidade RGPD revelan un taxa de conformidade documentaria pasando de 67% a 96% en menos dun ano. Para as especificidades do sector, a nosa guía sobre sinatura electrónica na saúde detalla as constriunhas regulatorias aplicables.

Conclusión

Asegurar e conservar os seus documentos asinados electronicamente non é unha opción técnica accesoria: é unha obriga legal e un imperativo estratéxico para calquera organización que se apoia na sinatura electrónica nos seus procesos de negocio. Entre a conformidade eIDAS, as exixencias do RGPD, as normas ETSI e os prazos de conservación impostos polo Código de Comercio, a complexidade é real — pero perfectamente controíble cos bos ferramentas.

As claves dunha estratexia de arquivo exitosa son claras: formatos de sinatura a longo prazo (PAdES-LTA), un ahorización cualificado sistemático, un aloxamento seguro e soberano, normas de conservación automatizadas e un rexistro de auditoría completo.

Certyneo integra nativamente o conxunto destas funcionalidades nunha plataforma SaaS pensada para os equipos B2B. Descubra como protexer duradoiramente os seus documentos asinados ao probar Certyneo gratuitamente ou ao explorar os nosos prezos.