Ir al contenido

Firma electrónica avanzada en Smartosh

Cuando envías un documento a un trabajador desde Smartosh para que lo firme —una evaluación de riesgos, una entrega de EPIs, un certificado de formación—, la plataforma aplica un conjunto de medidas técnicas que le otorgan validez como firma electrónica avanzada según el Reglamento (UE) 910/2014 (eIDAS).

Esta página explica qué hace Smartosh para garantizar esa validez, qué evidencias genera y puedes consultar, y qué responsabilidades te corresponden a ti como cliente y responsable del tratamiento de datos.

Sección titulada «Qué hace Smartosh para garantizar la validez legal»

Smartosh implementa cuatro medidas que, en conjunto, cumplen los requisitos de la firma electrónica avanzada:

  • Firma del documento con certificado digital interno que garantiza la integridad: cualquier modificación posterior del documento es detectable.
  • Rúbrica del firmante incrustada en el documento final.
  • Registro de auditoría (auditlog) con la trazabilidad completa de la transacción.
  • Documento Legacy probatorio generado automáticamente por cada firma, con el detalle del ciclo de vida completo.

Por cada firma realizada, Smartosh genera un PDF probatorio firmado con un certificado digital interno, también conocido como Certificado legal probatorio o Certificado legal de finalización.

Este documento contiene todas las evidencias electrónicas de la transacción, divididas en dos momentos:

En el envío del documento:

  • Datos completos de la empresa cliente: dirección física, email y responsable del área (PRL / RR. HH.).
  • Datos de quien realiza la comunicación (el SPA, cuando aplica).
  • Cuenta de email de origen y dirección IP de origen.
  • Identificador único del documento.
  • Objeto de la transacción (por ejemplo, Evaluación de riesgos diciembre 2025).
  • Identificador único del trabajador, nombre completo y datos de contacto.
  • Fecha y hora del envío.

En la recepción y firma por el trabajador:

  • Cuenta de email destino del trabajador.
  • Dirección IP desde la que se abrió el documento.
  • Imagen de la firma.
  • Fecha y hora de la firma.
  • Fecha y hora del procesado final.
  • Hash del certificado digital que garantiza la confidencialidad e integridad.

Las evidencias generadas son accesibles tanto para el administrador del cliente como para el trabajador firmante:

  • El documento firmado puede consultarse desde el front-end de la aplicación.
  • También se envía por email al trabajador y, opcionalmente, al cliente.
  • El PDF Legacy probatorio puede descargarse desde la cuenta de administrador.
  • Puede generarse un listado de evidencias (report) con: empresa, identificador del documento, objeto de la transacción, datos del trabajador, fecha de envío y fecha de firma.

Smartosh aporta la infraestructura técnica, pero como responsable del tratamiento según el RGPD hay tres puntos que debes atender tú:

Para que la firma identifique de forma inequívoca al firmante, utiliza siempre la cuenta de correo personal del trabajador dentro del dominio de tu organización. Evita cuentas genéricas (info@, personal@, etc.).

Incluye el uso de esta herramienta —y la finalidad de tratar su cuenta de correo— en las políticas o declaraciones de privacidad que ya facilitas a tus trabajadores. Es una obligación derivada del RGPD que recae sobre ti como responsable del tratamiento.

Aunque Smartosh almacena de forma persistente el documento firmado y el certificado probatorio, se recomienda como buena práctica conservar una copia de esa documentación en tus propios sistemas internos.

Smartosh se apoya en el siguiente bloque normativo:

En derecho español, la validez de un contrato no requiere firma manuscrita: es válido si las partes con capacidad legal alcanzan un acuerdo, ya sea verbalmente, por medios electrónicos o en papel.

El Reglamento eIDAS es tecnológicamente neutral y reconoce tres tipos de firma. Smartosh implementa la firma electrónica avanzada (FEA), que es la adecuada para los procesos habituales de PRL y RR. HH.

Un check o casilla de aceptación. Permite expresar conformidad, pero no identifica de forma fiable al firmante. En caso de litigio resulta muy difícil demostrar quién aceptó el documento.

Firma avanzada (FEA) — la que usa Smartosh

Sección titulada «Firma avanzada (FEA) — la que usa Smartosh»

Cumple cuatro requisitos acumulativos:

  • Está vinculada al firmante de manera única.
  • Permite identificar al firmante.
  • Se crea con medios que el firmante mantiene bajo su control exclusivo.
  • Está vinculada con los datos firmados de forma que cualquier modificación posterior es detectable.

Variante de la FEA con dispositivo de creación segura certificado por un organismo gubernamental. Ofrece las máximas garantías legales (equivalente plena a la firma manuscrita) pero no es necesaria para los casos de uso habituales de Smartosh.


Fuente: «Firma electrónica avanzada en distribución de documentos», informe elaborado por Toni Martín Ávila (IT Government Assessor & DPO, IT360.es) para PrevenControl, 22 de abril de 2019.