Signatura electrònica avançada a Smart OSH
Quan envies un document a un treballador des de Smartosh perquè el signi —una avaluació de riscos, una entrega d’EPIs, un certificat de formació—, la plataforma aplica un conjunt de mesures tècniques que li atorguen validesa com a signatura electrònica avançada segons el Reglament (UE) 910/2014 (eIDAS).
Aquesta pàgina explica què fa Smartosh per garantir aquesta validesa, quines evidències genera i pots consultar, i quines responsabilitats et corresponen a tu com a client i responsable del tractament de dades.
Què fa Smartosh per garantir la validesa legal
Section titled “Què fa Smartosh per garantir la validesa legal”Smartosh implementa quatre mesures que, en conjunt, compleixen els requisits de la signatura electrònica avançada:
- Signatura del document amb certificat digital intern que garanteix la integritat: qualsevol modificació posterior del document és detectable.
- Rúbrica del signant incrustada en el document final.
- Registre d’auditoria (auditlog) amb la traçabilitat completa de la transacció.
- Document Legacy probatori generat automàticament per cada signatura, amb el detall del cicle de vida complet.
El document Legacy probatori
Section titled “El document Legacy probatori”Per cada signatura realitzada, Smartosh genera un PDF probatori signat amb un certificat digital intern, també conegut com a Certificat legal probatori o Certificat legal de finalització.
Aquest document conté totes les evidències electròniques de la transacció, dividides en dos moments:
En l’enviament del document:
- Dades completes de l’empresa client: adreça física, email i responsable de l’àrea (PRL / RR. HH.).
- Dades de qui realitza la comunicació (el SPA, quan aplica).
- Compte d’email d’origen i adreça IP d’origen.
- Identificador únic del document.
- Objecte de la transacció (per exemple, Avaluació de riscos desembre 2025).
- Identificador únic del treballador, nom complet i dades de contacte.
- Data i hora de l’enviament.
En la recepció i signatura pel treballador:
- Compte d’email destí del treballador.
- Adreça IP des de la qual es va obrir el document.
- Imatge de la signatura.
- Data i hora de la signatura.
- Data i hora del processat final.
- Hash del certificat digital que garanteix la confidencialitat i integritat.
Com accedir a les evidències
Section titled “Com accedir a les evidències”Les evidències generades són accessibles tant per a l’administrador del client com per al treballador signant:
- El document signat es pot consultar des del front-end de l’aplicació.
- També s’envia per email al treballador i, opcionalment, al client.
- El PDF Legacy probatori es pot descarregar des del compte d’administrador.
- Pot generar-se un llistat d’evidències (report) amb: empresa, identificador del document, objecte de la transacció, dades del treballador, data d’enviament i data de signatura.
Què et correspon a tu com a client
Section titled “Què et correspon a tu com a client”Smartosh aporta la infraestructura tècnica, però com a responsable del tractament segons el RGPD hi ha tres punts que has d’atendre tu:
Email corporatiu del treballador
Section titled “Email corporatiu del treballador”Perquè la signatura identifiqui de forma inequívoca el signant, utilitza sempre el compte de correu personal del treballador dins del domini de la teva organització. Evita comptes genèriques (info@, personal@, etc.).
Deure d’informar els treballadors
Section titled “Deure d’informar els treballadors”Inclou l’ús d’aquesta eina —i la finalitat de tractar el seu compte de correu— en les polítiques o declaracions de privadesa que ja facilites als teus treballadors. És una obligació derivada del RGPD que recau sobre tu com a responsable del tractament.
Conservació addicional
Section titled “Conservació addicional”Encara que Smartosh emmagatzema de forma persistent el document signat i el certificat probatori, es recomana com a bona pràctica conservar una còpia d’aquesta documentació en els teus propis sistemes interns.
Marc legal de referència
Section titled “Marc legal de referència”Smartosh es recolza en el següent bloc normatiu:
- Llei 1/2000, d’Enjudiciament Civil.
- Llei 34/2002, de serveis de la societat de la informació i de comerç electrònic.
- Llei 59/2003, de signatura electrònica.
- Llei 11/2007, d’accés electrònic dels ciutadans als Serveis Públics.
- Reglament (UE) 910/2014 (eIDAS).
- Llei 39/2015, del Procediment Administratiu Comú.
- Reglament (UE) 2016/679 (RGPD).
- LO 3/2018, de Protecció de Dades Personals i garantia dels drets digitals.
En dret espanyol, la validesa d’un contracte no requereix signatura manuscrita: és vàlid si les parts amb capacitat legal assoleixen un acord, ja sigui verbalment, per mitjans electrònics o en paper.
Tipus de signatura electrònica segons eIDAS
Section titled “Tipus de signatura electrònica segons eIDAS”El Reglament eIDAS és tecnològicament neutral i reconeix tres tipus de signatura. Smartosh implementa la signatura electrònica avançada (FEA), que és l’adequada per als processos habituals de PRL i RR. HH.
Signatura simple
Section titled “Signatura simple”Un check o casella d’acceptació. Permet expressar conformitat, però no identifica de forma fiable el signant. En cas de litigi resulta molt difícil demostrar qui va acceptar el document.
Signatura avançada (FEA) — la que usa Smartosh
Section titled “Signatura avançada (FEA) — la que usa Smartosh”Compleix quatre requisits acumulatius:
- Està vinculada al signant de manera única.
- Permet identificar el signant.
- Es crea amb mitjans que el signant manté sota el seu control exclusiu.
- Està vinculada amb les dades signades de manera que qualsevol modificació posterior és detectable.
Signatura qualificada
Section titled “Signatura qualificada”Variant de la FEA amb dispositiu de creació segura certificat per un organisme governamental. Ofereix les màximes garanties legals (equivalent plena a la signatura manuscrita) però no és necessària per als casos d’ús habituals de Smartosh.
Font: «Signatura electrònica avançada en distribució de documents», informe elaborat per Toni Martín Ávila (IT Government Assessor & DPO, IT360.es) per a PrevenControl, 22 d’abril de 2019.