Pular para o conteúdo

Assinatura eletrónica avançada no Smart OSH

Quando envias um documento a um trabalhador a partir do Smart OSH para que o assine — uma avaliação de riscos, uma entrega de EPIs, um certificado de formação —, a plataforma aplica um conjunto de medidas técnicas que lhe conferem validade como assinatura eletrónica avançada segundo o Regulamento (UE) 910/2014 (eIDAS).

Esta página explica o que faz o Smart OSH para garantir essa validade, que evidências gera e podes consultar, e quais as responsabilidades que te cabem a ti como cliente e responsável pelo tratamento de dados.

Seção intitulada “O que faz o Smart OSH para garantir a validade legal”

O Smart OSH implementa quatro medidas que, em conjunto, cumprem os requisitos da assinatura eletrónica avançada:

  • Assinatura do documento com certificado digital interno que garante a integridade: qualquer modificação posterior do documento é detetável.
  • Rubrica do signatário incorporada no documento final.
  • Registo de auditoria (auditlog) com a rastreabilidade completa da transação.
  • Documento Legacy probatório gerado automaticamente por cada assinatura, com o detalhe do ciclo de vida completo.

Por cada assinatura realizada, o Smart OSH gera um PDF probatório assinado com um certificado digital interno, também conhecido como Certificado legal probatório ou Certificado legal de finalização.

Este documento contém todas as evidências eletrónicas da transação, divididas em dois momentos:

No envio do documento:

  • Dados completos da empresa cliente: morada física, email e responsável da área (PRL / RR. HH.).
  • Dados de quem realiza a comunicação (o SPA, quando aplicável).
  • Conta de email de origem e endereço IP de origem.
  • Identificador único do documento.
  • Objeto da transação (por exemplo, Avaliação de riscos dezembro 2025).
  • Identificador único do trabalhador, nome completo e dados de contacto.
  • Data e hora do envio.

Na receção e assinatura pelo trabalhador:

  • Conta de email destino do trabalhador.
  • Endereço IP a partir do qual o documento foi aberto.
  • Imagem da assinatura.
  • Data e hora da assinatura.
  • Data e hora do processamento final.
  • Hash do certificado digital que garante a confidencialidade e integridade.

As evidências geradas são acessíveis tanto para o administrador do cliente como para o trabalhador signatário:

  • O documento assinado pode ser consultado a partir do front-end da aplicação.
  • Também é enviado por email ao trabalhador e, opcionalmente, ao cliente.
  • O PDF Legacy probatório pode ser descarregado a partir da conta de administrador.
  • Pode ser gerada uma lista de evidências (report) com: empresa, identificador do documento, objeto da transação, dados do trabalhador, data de envio e data de assinatura.

O Smart OSH fornece a infraestrutura técnica, mas como responsável pelo tratamento segundo o RGPD há três pontos que deves atender:

Para que a assinatura identifique inequivocamente o signatário, utiliza sempre a conta de email pessoal do trabalhador dentro do domínio da tua organização. Evita contas genéricas (info@, personal@, etc.).

Inclui o uso desta ferramenta — e a finalidade de tratar a sua conta de email — nas políticas ou declarações de privacidade que já forneces aos teus trabalhadores. É uma obrigação derivada do RGPD que recai sobre ti como responsável pelo tratamento.

Embora o Smart OSH armazene de forma persistente o documento assinado e o certificado probatório, recomenda-se como boa prática conservar uma cópia dessa documentação nos teus próprios sistemas internos.

O Smart OSH apoia-se no seguinte bloco normativo:

No direito espanhol, a validade de um contrato não requer assinatura manuscrita: é válido se as partes com capacidade legal alcançarem um acordo, seja verbalmente, por meios eletrónicos ou em papel.

O Regulamento eIDAS é tecnologicamente neutro e reconhece três tipos de assinatura. O Smart OSH implementa a assinatura eletrónica avançada (FEA), que é a adequada para os processos habituais de PRL e RR. HH.

Um check ou caixa de aceitação. Permite expressar conformidade, mas não identifica de forma fiável o signatário. Em caso de litígio é muito difícil provar quem aceitou o documento.

Assinatura avançada (FEA) — a que usa o Smart OSH

Seção intitulada “Assinatura avançada (FEA) — a que usa o Smart OSH”

Cumpre quatro requisitos cumulativos:

  • Está vinculada ao signatário de forma única.
  • Permite identificar o signatário.
  • É criada com meios que o signatário mantém sob seu controlo exclusivo.
  • Está vinculada aos dados assinados de forma que qualquer modificação posterior é detetável.

Variante da FEA com dispositivo de criação segura certificado por um organismo governamental. Oferece as máximas garantias legais (equivalente plena à assinatura manuscrita) mas não é necessária para os casos de uso habituais do Smart OSH.


Fonte: «Firma electrónica avanzada en distribución de documentos», relatório elaborado por Toni Martín Ávila (IT Government Assessor & DPO, IT360.es) para PrevenControl, 22 de abril de 2019.