No todas las firmas electrónicas son iguales: y en recursos humanos, elegir el tipo equivocado puede marcar la diferencia entre un documento que se sostiene ante el Juzgado de lo Social y uno que no.
La mayoría de los equipos de RRHH saben que deben alejarse del papel. Menos son los que comprenden que la «firma electrónica» no es una realidad única. En el derecho europeo, existen tres tipos jurídicamente distintos, cada uno con diferentes niveles de seguridad, verificación de identidad y valor probatorio. Elegir el nivel adecuado para cada tipo de documento de RRHH no es una cuestión técnica: es una cuestión jurídica y operativa.
Este artículo describe los tres niveles de firma reconocidos por el reglamento eIDAS 2.0, los aplica a los casos de uso de RRHH más frecuentes en el contexto español, y explica cómo abordar esta decisión en la práctica.
Los tres tipos de firma electrónica según eIDAS 2.0
El reglamento eIDAS, actualizado en 2024 y aplicable en los 27 Estados miembros de la Unión Europea, define tres niveles de firma electrónica. Cada nivel refuerza el anterior, añadiendo mayores exigencias en materia de verificación de identidad y seguridad técnica.
1. Firma electrónica simple (FES)
La firma electrónica simple es la forma más básica. Abarca cualquier indicación electrónica de intención de firmar: un nombre escrito al pie de un correo electrónico, una imagen escaneada de una firma manuscrita, una casilla marcada en un formulario. No existe ningún requisito de verificación de la identidad del firmante ni ningún mecanismo técnico para detectar si el documento ha sido modificado después de la firma.
La FES tiene validez jurídica en principio: el consentimiento es fundamental en el derecho contractual, pero es fácilmente impugnable. Si surge una controversia sobre si una persona firmó realmente un documento o si éste fue modificado con posterioridad, la firma electrónica simple ofrece una protección mínima.
En RRHH, la FES es adecuada para: documentos internos de bajo riesgo donde la identidad del firmante no está en cuestión y el riesgo de disputa es mínimo. Acuses de recibo informales, encuestas internas, confirmaciones no vinculantes.
2. Firma electrónica avanzada (FEA)
La firma electrónica avanzada va significativamente más lejos. El reglamento eIDAS exige que esté vinculada de manera única al firmante, que permita su identificación, que haya sido creada con datos bajo el control exclusivo del firmante y que permita detectar cualquier modificación posterior del documento firmado.
En la práctica, esto significa que la identidad del firmante se verifica antes o durante el proceso de firma, normalmente mediante una combinación de autenticación por correo electrónico, códigos SMS de un solo uso o controles biométricos. La firma está criptográficamente vinculada al documento, por lo que cualquier manipulación posterior a la firma resulta detectable.
La FEA es el estándar utilizado por la mayoría de las plataformas de firma electrónica profesionales, y cubre la gran mayoría de las necesidades documentales de RRHH en términos de valor probatorio y seguridad.
En RRHH, la FEA es adecuada para: contratos de trabajo, acuerdos de confidencialidad, modificaciones contractuales, acuerdos de teletrabajo, cartas de oferta, justificantes de formación, cartas de apercibimiento y la mayor parte de la documentación estándar de RRHH.
3. Firma electrónica cualificada (FEC)
La firma electrónica cualificada es el nivel más alto. Tiene el mismo efecto jurídico que una firma manuscrita en todos los Estados miembros de la UE, esta equivalencia está impuesta por eIDAS y no puede impugnarse por el mero hecho de que la firma sea electrónica. Debe crearse mediante un dispositivo cualificado de creación de firma electrónica (DSCFE) y basarse en un certificado cualificado emitido por un prestador de servicios de confianza cualificado (PSCQ), una entidad acreditada y supervisada por una autoridad nacional e inscrita en la lista de confianza de la UE.
La obtención de una FEC requiere una verificación de identidad robusta: habitualmente una verificación presencial o por videollamada que cumpla los estándares definidos por la norma ETSI EN 119 461, la norma europea para la verificación remota de identidad. En España, este marco está supervisado por el Ministerio de Asuntos Económicos y Transformación Digital, que gestiona la lista de prestadores de servicios de confianza cualificados reconocidos.
En RRHH, la FEC es adecuada para: acuerdos de extinción por mutuo acuerdo, despidos con indemnización pactada, contratos de alta dirección, acuerdos transfrontaleros sujetos a múltiples jurisdicciones, y cualquier documento en el que el nivel de riesgo jurídico justifique el máximo nivel de garantía.
Por qué esto importa más en RRHH que en otras funciones
Los documentos de RRHH son, por naturaleza, terreno de conflicto. Los contratos de trabajo se invocan en reclamaciones por despido improcedente. Las cartas de despido se examinan en los Juzgados de lo Social. Los acuerdos de confidencialidad se oponen en litigios de propiedad intelectual. La entrega de nóminas está regulada por el Estatuto de los Trabajadores.
La solidez jurídica de un documento de RRHH firmado no depende solo de que haya sido firmado, sino de la capacidad del proceso de firma para crear un registro fiable y verificable: quién firmó, cuándo, y que el documento no ha sido modificado desde entonces. Precisamente esto es lo que los niveles de firma eIDAS están diseñados a garantizar.
Utilizar una firma electrónica simple para un contrato de trabajo no es necesariamente inválido, pero crea una vulnerabilidad. Si el proceso de firma es impugnado ante el Juzgado de lo Social, la carga de la prueba recae sobre el empleador para demostrar la autenticidad de la firma y la integridad del documento. Con una firma avanzada o cualificada de una plataforma certificada, esa prueba está integrada en el propio proceso.
Guía práctica: ¿qué nivel de firma para qué documento de RRHH?
La siguiente tabla es una guía de trabajo para los equipos de RRHH, elaborada a partir de la combinación del riesgo jurídico, la frecuencia de uso y el nivel de verificación de identidad habitualmente requerido en el contexto laboral español.
| Documento de RRHH | Nivel de firma recomendado | Justificación |
|---|---|---|
| Contrato de trabajo | FEA (mínimo) / FEC (recomendado para alta dirección o contratos transfronterizos) | Referencia central en cualquier litigio laboral |
| Modificación / anexo contractual | FEA | Modifica un documento vinculante; trazabilidad esencial |
| Acuerdo de confidencialidad / NDA | FEA | Oponible en litigios de propiedad intelectual o secreto empresarial |
| Carta de oferta / precontrato | FEA | Crea obligaciones precontractuales |
| Acuerdo de teletrabajo | FEA | Regulado por la Ley de trabajo a distancia; sujeto a inspección |
| Carta de apercibimiento / sanción disciplinaria | FEA | Debe acreditar la recepción y la integridad del contenido |
| Carta de despido | FEA / FEC | Alto riesgo contencioso; prueba de entrega e integridad crítica |
| Acuerdo de extinción por mutuo acuerdo | FEC | Máxima certeza jurídica requerida; frecuentemente revisado en SMAC |
| Finiquito | FEA / FEC | Alto valor probatorio ante posibles reclamaciones posteriores |
| Justificante de formación | FES / FEA | Riesgo bajo; FES aceptable si la identidad no está en cuestión |
| Entrega de nómina | Comunicación certificada (con sello de tiempo) | Obligación legal de entrega; prueba de recepción requerida |
| Reconocimiento de política interna | FES | Riesgo mínimo; consentimiento suficiente |
| Contrato de alta dirección | FEC | Alto valor; reconocimiento transfronterizo esencial |
La cuestión de la verificación de identidad
Un aspecto que los equipos de RRHH suelen pasar por alto es que el nivel de firma y la verificación de identidad son consideraciones relacionadas pero distintas. Una plataforma puede ofrecer firmas electrónicas avanzadas sin una verificación de identidad robusta en la fase previa, lo que significa que el documento está criptográficamente asegurado, pero el vínculo con la identidad real del firmante es débil.
Para el onboarding de RRHH en particular, la verificación de identidad importa con independencia de la firma en sí. Confirmar que un nuevo empleado es quien dice ser (mediante escaneo de documento de identidad, detección biométrica de vivacidad y cruce con bases de datos oficiales) es un requisito de cumplimiento en sí mismo, en el marco de las obligaciones de diligencia debida y las políticas internas de gestión del riesgo.
Un flujo de trabajo de RRHH digital completo requiere por tanto ambas cosas: un proceso de firma calibrado según el riesgo jurídico de cada tipo de documento, y una fase de verificación de identidad que cree un registro fiable y auditable de quién es el firmante.
Esta es la diferencia entre una herramienta de firma electrónica aislada y una plataforma completa de gestión de transacciones digitales. La primera gestiona el evento de firma. La segunda gestiona toda la cadena: identidad, firma, sellado de tiempo y archivo certificado a largo plazo.
Qué cambia con eIDAS 2.0
La actualización de 2024 de eIDAS introduce varias novedades relevantes para los equipos de RRHH españoles.
La más significativa es la cartera de identidad digital europea (EUDI Wallet), que los Estados miembros deben poner a disposición de todos los ciudadanos antes de 2027. Esta cartera permite a las personas almacenar y compartir atributos de identidad verificados (incluidas sus credenciales cualificadas) más allá de las fronteras y las plataformas. Para los RRHH, esto significa que la verificación de identidad durante el onboarding y la firma de contratos será más rápida, más estandarizada y más portátil.
eIDAS 2.0 refuerza también el marco de los identificadores verificables (VC): declaraciones digitales criptográficamente seguras que pueden acreditar atributos como cualificaciones profesionales, títulos académicos o historial laboral, sin compartir datos personales innecesarios. A medio plazo, esto cambiará la forma en que los equipos de RRHH abordan la verificación de referencias durante los procesos de selección.
Para los equipos de RRHH españoles, la implicación práctica es clara: los flujos de trabajo documentales construidos sobre plataformas alineadas con los estándares eIDAS 2.0 son inversiones que escalarán con el entorno regulatorio en lugar de ir contra él.
Cómo elegir una plataforma que soporte los tres niveles
No todas las plataformas de firma electrónica ofrecen los tres tipos eIDAS. Algunas están diseñadas principalmente para firmas simples o avanzadas y no ofrecen firmas cualificadas. Otras ofrecen FEC en algunos mercados pero no en otros, dependiendo de sus acreditaciones como PSCQ.
Al evaluar una plataforma para uso en RRHH, las preguntas clave son:
Sobre la cobertura de niveles de firma: ¿La plataforma admite FES, FEA y FEC dentro de un mismo flujo de trabajo, de modo que el tipo de documento determine el nivel de firma y no al revés?
Sobre el estatus de PSCQ: ¿El proveedor es en sí mismo un prestador de servicios de confianza cualificado, inscrito en la lista de confianza de la UE? ¿Está reconocido en España por el Ministerio de Asuntos Económicos y Transformación Digital?
Sobre la verificación de identidad: ¿La verificación de identidad está integrada en la plataforma, o requiere una herramienta separada? ¿Puede alcanzar el nivel requerido por la norma ETSI EN 119 461 cuando se requiere FEC?
Sobre el archivo: ¿La plataforma incluye archivo a largo plazo cualificado, garantizando que los documentos firmados conserven su valor legal durante todo el período de conservación reglamentario, que en España puede llegar a 4 años para los contratos de trabajo y 6 años para documentos mercantiles?
Sobre la cobertura geográfica: Si su organización opera en varios países de la UE, ¿las acreditaciones PSCQ de la plataforma cubren todos los mercados relevantes?
Signaturit Group, como mayor grupo PSCQ de Europa, opera en los tres niveles de firma dentro de una única plataforma. Con presencia directa en España como prestador de servicios de confianza cualificado inscrito en la lista supervisada por el Ministerio de Asuntos Económicos y Transformación Digital, el grupo ofrece acreditaciones que cubren España, Francia y numerosos otros mercados europeos, con las capacidades de archivo cualificado y verificación de identidad integradas en el mismo flujo de trabajo.
La recomendación práctica
Para la mayoría de los equipos de RRHH, la respuesta no es un único nivel de firma, es un enfoque escalonado que ajusta el riesgo jurídico de cada documento al nivel de garantía apropiado.
Empiece por su documento más frecuente y de mayor riesgo: el contrato de trabajo. Determine si la FEA es suficiente para su perfil de riesgo habitual, o si la FEC está justificada para ciertas categorías de empleados (alta dirección, contratos internacionales, acuerdos de extinción). Después, mapee el resto de su cartera documental de RRHH sobre la tabla anterior y compruebe si su plataforma actual admite los niveles que realmente necesita.
El objetivo no es usar el nivel de firma más alto para todo, eso añadiría fricciones innecesarias en los documentos de bajo riesgo. El objetivo es usar el nivel correcto para cada caso, de forma fiable y coherente, con una justificación documentada que aguante cualquier escrutinio.
Ante el Juzgado de lo Social, un flujo de trabajo digital bien documentado y correctamente firmado es significativamente más sólido que el papel o una herramienta de firma mal configurada. Ese es el argumento central para hacerlo bien.
Signaturit Group by Namirial es el mayor prestador de servicios de confianza cualificado (PSCQ) de Europa, inscrito en la lista de confianza supervisada por el Ministerio de Asuntos Económicos y Transformación Digital de España. El grupo ofrece los tres niveles de firma eIDAS: simple, avanzada y cualificada, dentro de una plataforma única adaptada a las necesidades de los equipos de RRHH, con verificación de identidad, sellado de tiempo cualificado y archivo certificado a largo plazo integrados en el mismo flujo de trabajo.
