Verificar a autenticidade de um documento assinado: o DUER

O Documento Único de Avaliação de Riscos (DUER) é uma peça fundamental da conformidade em saúde e segurança do trabalho na França. Instituído pelo decreto nº 2001-1016 de 5 de novembro de 2001, é obrigatório para toda empresa a partir do primeiro funcionário. Porém, seu valor jurídico em caso de inspeção do Trabalho, acidente ou litígio repousa em grande parte sobre sua rastreabilidade e a autenticidade das assinaturas que o validam. Como garantir que um DUER assinado digitalmente não foi alterado após a assinatura? Quais ferramentas e métodos permitem verificar essa autenticidade? Este artigo orienta você passo a passo, dos fundamentos técnicos às boas práticas organizacionais.

Por que a autenticidade da assinatura do DUER é crítica

Os desafios jurídicos e regulatórios

O DUER não é um documento administrativo ordinário. Em caso de acidente do trabalho, doença ocupacional ou disputa trabalhista, pode ser apresentado como prova da política de prevenção do empregador. O Código do Trabalho (artigos L.4121-1 e seguintes) impõe ao empregador uma obrigação de segurança com resultado, e o DUER é o registro formal de sua avaliação.

Uma assinatura eletrônica não verificável ou alterada pode levar a:

• A nulidade do documento como meio de prova perante um tribunal;
• Sanções administrativas que podem chegar a 3.750 € de multa por funcionário não coberto;
• O questionamento da responsabilidade penal do chefe da empresa em caso de acidente grave.

Desde a lei nº 2021-1018 de 2 de agosto de 2021 (Lei de Saúde do Trabalho), a atualização do DUER deve ser mais frequente em empresas com 11 ou mais funcionários, e sua conservação agora se estende a 40 anos. Essa longa duração reforça o imperativo de uma assinatura eletrônica robusta e verificável ao longo do tempo.

A diferença entre assinatura digitalizada e assinatura eletrônica qualificada

Muitos responsáveis de RH ou HSE pensam que anexar uma assinatura manuscrita digitalizada em um PDF é suficiente. Não é o caso. Uma assinatura em imagem (scan) não garante nenhuma integridade do documento: o arquivo pode ser modificado posteriormente sem deixar rastro detectável.

Uma assinatura eletrônica conforme ao regulamento eIDAS, por outro lado, repousa em um mecanismo criptográfico que vincula irreversivelmente a identidade do signatário ao conteúdo do documento em um momento específico. Qualquer modificação posterior, por menor que seja — um espaço adicionado, um dígito alterado — invalida a assinatura e dispara um alerta durante a verificação.

O glossário da assinatura eletrônica distingue três níveis reconhecidos por eIDAS: assinatura eletrônica simples (SES), avançada (SEA) e qualificada (SEQ). Para um documento tão sensível quanto o DUER, o nível avançado é recomendado no mínimo, sendo o nível qualificado preferível para empresas submetidas a controles frequentes.

Os métodos concretos para verificar a autenticidade de um DUER assinado

Verificação através do leitor PDF nativo

O método mais acessível é abrir o documento no Adobe Acrobat Reader (versão gratuita) ou um leitor PDF compatível. Quando uma assinatura eletrônica conforme está presente, um painel de assinatura é exibido automaticamente. Ele indica:

1. A identidade do signatário: nome, sobrenome, organização e certificado utilizado;
2. A data e hora da assinatura, marcadas por um carimbo de tempo criptográfico;
3. O status de integridade: "A assinatura é válida" ou "O documento foi modificado após a assinatura";
4. A cadeia de confiança do certificado: validada por uma autoridade de certificação reconhecida.

Essa verificação é imediata e não requer nenhuma assinatura. Porém, é limitada: se o certificado da autoridade emissora não estiver na lista de confiança do software (como a lista EUTL — European Union Trusted Lists), a assinatura pode aparecer como "não verificada" mesmo se for tecnicamente válida.

Verificação através de serviços online de validação

A Comissão Europeia disponibiliza o serviço DSS Demo Tools (acessível em ec.europa.eu), que permite enviar um documento assinado e obter um relatório de validação conforme à norma ETSI EN 319 102. Este serviço:

• Verifica a conformidade aos formatos XAdES, CAdES, PAdES e JAdES;
• Controla a validade do certificado no momento da assinatura através dos protocolos OCSP ou CRL;
• Gera um relatório JSON ou PDF detalhando cada etapa da validação.

Existem também serviços privados como os oferecidos por prestadores de serviços de confiança qualificados (QTSP) referenciados nas listas de confiança nacionais. Na França, a ANSSI publica a lista de QTSP acreditados. Recorrer a um desses serviços para validar um DUER contestado em um litígio fornece uma força probatória significativamente superior.

Verificação através da plataforma de assinatura de origem

Se o DUER foi assinado através de uma solução SaaS como Certyneo, a verificação é ainda mais direta. Cada documento assinado gera um certificado de assinatura (também chamado de relatório de auditoria ou registro de assinatura) que registra:

• O endereço IP e o identificador de sessão do signatário;
• O hash criptográfico SHA-256 do documento original;
• O carimbo de tempo qualificado RFC 3161;
• As provas de identidade utilizadas (email, SMS OTP, ou até autenticação forte eIDAS).

Este relatório é ele próprio assinado eletronicamente pelo prestador, tornando-o infalsificável e diretamente utilizável como prova em justiça. A solução de assinatura eletrônica para empresas Certyneo integra este mecanismo nativamente para todos os documentos, incluindo DUERs.

Boas práticas para garantir a assinatura e conservação do DUER

Escolher o nível certo de assinatura conforme o perfil de risco

A seleção do nível de assinatura não deve ser deixada ao acaso. Para um DUER, aqui está o raciocínio recomendado:

| Contexto | Nível recomendado | Justificativa | |---|---|---| | MPE < 10 funcionários, atividade baixo risco | Assinatura avançada (SEA) | Equilíbrio custo/valor probatório | | PME, setor industrial ou construção | Assinatura avançada com certificado QSCD | Conformidade eIDAS nível elevado | | Grande empresa, setor saúde ou químico | Assinatura qualificada (SEQ) | Valor equivalente à assinatura manuscrita |

Para empresas do setor de saúde, a assinatura eletrônica na saúde responde a restrições regulatórias adicionais (HDS, RGPD médico) que justificam sistematicamente o recurso à assinatura qualificada.

Carimbo de tempo e arquivamento a longo prazo

Como a Lei de Saúde do Trabalho impõe uma conservação do DUER durante 40 anos, a questão da duração útil das assinaturas se coloca concretamente. Um certificado de assinatura tem uma duração de validade limitada (geralmente 1 a 3 anos). Após esse prazo, a cadeia de confiança pode ser quebrada.

A solução é o serviço de arquivamento com valor probatório (serviço de arquivamento eletrônico ou SAE), associado a um carimbo de tempo longo prazo conforme a norma ETSI EN 319 122. Este mecanismo, às vezes chamado LTV (Long Term Validation), recertifica periodicamente o documento adicionando-lhe provas de integridade suplementares, garantindo sua verificabilidade durante toda a duração legal.

Não confunda arquivamento e armazenamento: um simples servidor de arquivos ou um drive na nuvem não constitui um arquivamento com valor probatório. Apenas um sistema que garanta a integridade, a legibilidade e a rastreabilidade dos acessos satisfaz os requisitos legais.

Processo de verificação durante as atualizações

O DUER deve ser atualizado no mínimo uma vez por ano, e a cada modificação significativa das condições de trabalho. Cada nova versão deve ser diferenciada da anterior e ser objeto de uma nova assinatura. Um processo rigoroso inclui:

1. Versionamento explícito: número de versão, data de efeito, lista das modificações realizadas;
2. Assinatura da nova versão pelo responsável de HSE e, conforme o caso, pelo representante do pessoal (CSE);
3. Conservação de todas as versões anteriores no SAE, acessíveis em modo leitura apenas;
4. Verificação sistemática da integridade da versão atual antes de qualquer compartilhamento com a Inspeção do Trabalho ou serviços de saúde ocupacional.

A automatização dessas etapas através de uma plataforma como Certyneo reduz significativamente o risco de erro humano e garante a conformidade contínua do processo. Para medir o retorno sobre investimento de tal solução, a calculadora ROI assinatura eletrônica permite estimar os ganhos conforme o tamanho de sua organização.

Estrutura legal aplicável à assinatura e verificação do DUER

Textos fundamentais em direito do trabalho

A obrigação de estabelecer um Documento Único de Avaliação de Riscos Profissionais (DUERP) decorre do artigo L.4121-1 do Código do Trabalho, que impõe ao empregador transcrever e atualizar os resultados da avaliação de riscos. O decreto nº 2001-1016 de 5 de novembro de 2001 instituiu essa obrigação formal. A lei nº 2021-1018 de 2 de agosto de 2021 para fortalecer a prevenção em saúde do trabalho estendeu as obrigações de conservação a 40 anos e introduziu exigências de depósito desmaterializado junto aos serviços de saúde ocupacional para empresas com pelo menos 150 funcionários.

Valor jurídico da assinatura eletrônica

O artigo 1366 do Código Civil estabelece o princípio: "O escrito eletrônico tem a mesma força probatória que o escrito em suporte papel, sob reserva de que possa ser devidamente identificada a pessoa de que emana e que seja estabelecido e conservado em condições que garantam sua integridade." O artigo 1367 precisa que a assinatura eletrônica "consiste no uso de um procedimento confiável de identificação que garanta sua ligação com o ato ao qual se liga".

O Regulamento eIDAS nº 910/2014 do Parlamento Europeu e do Conselho estabelece o marco europeu de confiança para transações eletrônicas. Define três níveis de assinaturas (simples, avançada, qualificada) e estabelece a equivalência entre a assinatura eletrônica qualificada e a assinatura manuscrita no artigo 25§2. A assinatura avançada, sem se beneficiar dessa presunção legal, permanece admissível como modo de prova conforme o princípio de não-discriminação do artigo 25§1.

Normas técnicas de referência

Os formatos de assinatura eletrônica reconhecidos para documentos PDF são definidos pelas normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) e ETSI EN 319 142 (PAdES). Para validação a longo prazo, a norma ETSI EN 319 102 define os procedimentos de algoritmo de validação conforme eIDAS.

O carimbo de tempo eletrônico qualificado é enquadrado pelo artigo 41 do Regulamento eIDAS e pela norma RFC 3161 da IETF, garantindo a data certa oponível a terceiros.

Proteção de dados pessoais

O DUER contém dados pessoais (identidades dos funcionários, informações sobre sua saúde e segurança). Seu tratamento está sujeito ao Regulamento RGPD nº 2016/679. A assinatura eletrônica envolve ela própria um tratamento de dados de identidade dos signatários. O empregador, como responsável pelo tratamento, deve garantir que o prestador de assinatura é um subcontratante compatível com RGPD dispondo de um DPA (Data Processing Agreement) conforme ao artigo 28 do RGPD.

Riscos em caso de não-conformidade

A ausência de DUER ou um DUER cuja assinatura não é oponível expõe o empregador a uma multa de 3.750 € (5ª classe de contravention) por infração constatada. Em caso de acidente do trabalho grave, a não-oponibilidade do DUER pode levar ao reconhecimento da culpa inexcusável do empregador, resultando em majoração das indenizações pagas à vítima e ação regressiva da CPAM.

Cenários de uso concretos

Um prestador industrial diante de uma inspeção do Trabalho

Uma PME industrial de 85 funcionários, operando na fabricação de peças de metal, sofre uma visita surpresa da Inspeção do Trabalho após um acidente de máquina. A inspetora solicita consultar o DUER em vigor na data do acidente. O responsável de HSE apresenta um arquivo PDF assinado eletronicamente através da plataforma de assinatura da empresa.

Graças ao certificado de auditoria anexado ao documento, a inspetora pode verificar em tempo real: a data e hora da assinatura (anterior ao acidente), a identidade do signatário (o diretor de produção autorizado), a integridade do documento (hash SHA-256 intacto) e a conformidade do nível de assinatura (avançada com certificado qualificado). A empresa consegue demonstrar que o risco foi identificado e que medidas corretivas haviam sido planejadas. Este arquivo evita a qualificação de culpa inexcusável. Conforme dados do relatório anual da CNAM sobre sinistralidade, empresas que dispõem de uma rastreabilidade documentária robusta reduzem sua exposição a ações regressivas de 30 a 45%.

Um escritório de consultoria RH gerenciando DUERs multi-cliente

Um escritório de consultoria em recursos humanos de 18 colaboradores acompanha cerca de quarenta TPE e PME clientes na redação e atualização anual de seus DUERs. Até então, os documentos eram enviados por email em PDF não assinados, depois assinados manualmente e reenviados digitalizados.

Após migração para uma solução de assinatura eletrônica SaaS, cada DUER é assinado online pelo diretor cliente em menos de 3 minutos. O escritório dispõe de um painel de controle centralizado permitindo verificar a qualquer momento o status de cada documento: assinado, carimbado no tempo, arquivado. Em caso de dúvida de um cliente sobre a validade de uma versão anterior, a verificação de autenticidade leva menos de 30 segundos. O tempo dedicado a acompanhamentos e gerenciamento de documentos em papel diminuiu em aproximadamente 60%, conforme benchmarks setoriais comparáveis publicados por associações de consultoria RH.

Um agrupamento de estabelecimentos de saúde gerenciando DUERs plurianuais

Um agrupamento hospitalar privado de aproximadamente 600 leitos, agrupando vários estabelecimentos de cuidados e casas de repouso, deve gerenciar DUERs específicos para cada um de seus sites, incluindo riscos químicos, biológicos e psicossociais. A duração de conservação legal de 40 anos e a multiplicidade de signatários (diretores de sites, médicos do trabalho, representantes do CSE) tornam o acompanhamento particularmente complexo.

O agrupamento implementa uma solução de assinatura eletrônica qualificada com arquivamento com valor probatório e carimbo de tempo longo prazo. Cada versão do DUER é selada criptograficamente e recertificada automaticamente a cada 3 anos para manter a cadeia de confiança. Em caso de auditoria da ARS ou litígio, qualquer versão histórica pode ser extraída com seu relatório de validação completo. Esta organização permitiu reduzir em cerca de 70% o tempo de preparação de dossiês durante inspeções externas, comparado ao antigo sistema de arquivamento papel-digital híbrido.

Conclusão

Verificar a autenticidade de um documento assinado para um Documento Único de Avaliação de Riscos não é uma formalidade opcional: é uma necessidade jurídica e organizacional. Entre as obrigações decorrentes do Código do Trabalho, a duração de conservação de 40 anos imposta desde 2021 e os riscos de responsabilidade em caso de acidente, apenas uma assinatura eletrônica robusta — acompanhada de ferramentas de verificação confiáveis — garante a plena validade probatória de seu DUER.

Seja através de um leitor PDF, um serviço de validação europeu ou diretamente através de sua plataforma de assinatura, o essencial é integrar essa verificação em um processo documentado e reproduzível.

Certyneo permite que você assine, verifique e arquive seus DUERs em total conformidade eIDAS, com um registro de auditoria completo e um arquivamento com valor probatório integrado. Crie sua conta gratuitamente em Certyneo e garanta hoje mesmo o valor jurídico de seus documentos de prevenção.