Conformidade com eIDAS para PMEs: a lista de verificação completa para 2026

O regulamento europeu eIDAS (UE n°910/2014, a ser alterado em breve pelo eIDAS 2.0) regula as assinaturas electrónicas em toda a União Europeia. Para uma PME, estar em conformidade não é apenas uma caixa a verificar: é a garantia de que os seus contratos são executáveis, que os seus dados de assinatura estão protegidos e que se protege contra riscos jurídicos que podem ser dispendiosos. Aqui está a lista de verificação de 2026 em 12 pontos concretos para verificar se a sua PME está totalmente em conformidade com o eIDAS.

Ponto 1: escolha o nível de assinatura correto

Primeiro reflexo: mapeie seus tipos de contrato e associe um nível-alvo. Contratos comerciais padrão (cotações, pedidos de compra, NDAs simples): o SES é suficiente. Contratos de trabalho, aluguéis, NDAs sensíveis, acordos estratégicos: mínimo AES, preferencialmente com OTP SMS. Actos regulamentados (advogado, notário, contratos públicos acima de um limite): QES obrigatórios. Sem esse mapeamento, você corre o risco de subdimensionar (contrato recusado) ou superdimensionar (custo excessivo).

Ponto 2: verifique a qualificação do provedor de serviços

Seu provedor de serviços deve ser um provedor de serviços confiável (QTSP) ou contar com um QTSP para níveis AES/QES. Consulte a Trust Services List publicada pela ANSSI (eidas.ssi.gouv.fr) e a European Trusted List (webgate.ec.europa.eu/tl-browser). Os QTSPs de referência franceses: Certigna, Docaposte, Certinomis, Universign. Para SES/AES via plataforma (Certyneo, Yousign, etc.), verifique a conformidade explicitamente documentada do eIDAS.

Ponto 3: Teste a trilha de auditoria

Assine um envelope de teste e colete a trilha de auditoria (geralmente um PDF separado). Deve conter: identidade e email do signatário, timestamp de cada etapa (envio, abertura, validação, assinatura), endereço IP, agente usuário, hash do documento, validação OTP se AES. Se faltar um destes elementos, o valor probatório fica enfraquecido. Certyneo fornece trilha de auditoria completa, mesmo em um plano gratuito.

Ponto 4: controle o carimbo de data e hora

O carimbo de data e hora deve ser emitido por uma Autoridade de Carimbo de Tempo (TSA) compatível com RFC 3161. Um carimbo de data e hora simplesmente de um servidor NTP da empresa não é suficiente. Abra o PDF assinado no Adobe Reader: guia Assinaturas → Detalhes → Carimbo de data e hora. Você deverá ver um certificado TSA válido e um relógio certificado. Se o PDF não tiver um carimbo de data/hora certificado, recue na escolha do provedor de serviços.

Ponto 5: arquivo durante pelo menos 10 anos

O Código Comercial (artigo L. 123-22) exige 10 anos de armazenamento para documentos comerciais. O Código do Trabalho impõe 5 anos para contratos de trabalho pós-rescisão. O arquivamento deve preservar a integridade (hash, selagem) e o acesso. Ideal: formato PDF/A (ISO 19005), armazenamento duplo (backup primário + externo), cofre eletrônico qualificado (CFE) para máxima comprovação. Certyneo arquiva 10 anos por padrão e oferece exportação para parceiros CFE.

Ponto 6: verifique a localização dos dados

Onde seus dados de assinatura estão hospedados? Para uma PME francesa que lida com contratos sensíveis, escolha a hospedagem francesa ou da UE. Peça ao seu prestador de serviços a lista de subcontratantes e a sua localização (artigo 28 do RGPD). Evite soluções sujeitas à Lei de Nuvem dos EUA para contratos estratégicos. Certyneo está hospedado na França, sem dependência do Cloud Act. Veja nosso artigo em /blog/cloud-act-signature-electronique.

Ponto 7: articular com o RGPD

A assinatura e o RGPD estão intimamente ligados: cada envelope contém dados pessoais (nome, email, IP, telefone). Certifique-se de que o seu registo de processamento (art. 30 do RGPD) inclui a assinatura eletrónica, que os períodos de retenção são consistentes (10 anos) e que os direitos dos indivíduos podem ser implementados (acesso, retificação, portabilidade). Se você estiver solicitando muitas assinaturas, recomenda-se um DPO. Veja nosso artigo /blog/signature-electronique-rgpd.

Ponto 8: identificar os signatários a montante

Para um AES sólido, a identificação não começa com a assinatura: começa com a coleta de dados. Verifique e-mails (sem aliases, sem lista de e-mails), números de telefone (sem linha compartilhada) e acompanhe a fonte de identificação (ID para contratos pesados, KYC de cliente existente para contratos em andamento). Essa devida diligência torna as evidências sólidas em caso de disputa.

Ponto 9: treinar as equipes

Suas equipes de vendas, RH e jurídica devem compreender as regras: nunca force um signatário a usar um dispositivo de terceiros, nunca devolva um PDF assinado modificado, nunca cole uma imagem de assinatura digitalizada no lugar de uma assinatura real. Uma hora de treino por equipe é suficiente para incutir bons reflexos. Certyneo fornece um guia completo para compartilhar internamente (/resources).

Ponto 10: verificar os contratos dos prestadores de serviços

A CGU/CGV do prestador de serviços de assinatura deve: iniciar a conformidade com o eIDAS, especificar os períodos de arquivamento, incluir um acordo de subcontratação GDPR (art. 28), documentar os subcontratantes, fornecer um plano de reversibilidade em caso de cessação. Solicite também SOC 2 Tipo II ou equivalente se você processar grandes volumes. Para Certyneo, esses documentos estão disponíveis em /legal e /security.

Ponto 11: preparar o eIDAS 2.0 e a carteira EUDI

O regulamento eIDAS 2.0 (UE 2024/1183) entra em vigor gradualmente e exige que os Estados-Membros implementem uma carteira EUDI antes do final de 2026. Esta carteira de identidade digital permitirá, nomeadamente, o acesso ao QES remotamente sem um escritório de registo físico. Prepare a sua PME: verifique se o seu prestador de serviços tem um roteiro de carteira EUDI, siga as comunicações da ANSSI e da Comissão Europeia. Veja /blog/eidas-2-nouveau-reglement-2026.

Ponto 12: auditar anualmente

Compliance não é um status adquirido: é um processo contínuo. Agende uma auditoria anual (interna ou externa) para verificar: mudanças regulatórias, evolução dos prestadores de serviços, mapeamento atualizado dos tipos de contrato, retenção efetiva, treinamento de novos recrutas. Uma auditoria leve leva meio dia para uma PME e evita muitas surpresas. Comece criando uma conta Certyneo gratuita em certyneo.com/signup para testar a conformidade no mundo real e, em seguida, confira nosso guia eIDAS para se aprofundar (/guide/eidas).