Firma electrónica avanzada en Smartosh
Cuando envías un documento a un trabajador desde Smartosh para que lo firme —una evaluación de riesgos, una entrega de EPIs, un certificado de formación—, la plataforma aplica un conjunto de medidas técnicas que le otorgan validez como firma electrónica avanzada según el Reglamento (UE) 910/2014 (eIDAS).
Esta página explica qué hace Smartosh para garantizar esa validez, qué evidencias genera y puedes consultar, y qué responsabilidades te corresponden a ti como cliente y responsable del tratamiento de datos.
Qué hace Smartosh para garantizar la validez legal
Sección titulada «Qué hace Smartosh para garantizar la validez legal»Smartosh implementa cuatro medidas que, en conjunto, cumplen los requisitos de la firma electrónica avanzada:
- Firma del documento con certificado digital interno que garantiza la integridad: cualquier modificación posterior del documento es detectable.
- Rúbrica del firmante incrustada en el documento final.
- Registro de auditoría (auditlog) con la trazabilidad completa de la transacción.
- Documento Legacy probatorio generado automáticamente por cada firma, con el detalle del ciclo de vida completo.
El documento Legacy probatorio
Sección titulada «El documento Legacy probatorio»Por cada firma realizada, Smartosh genera un PDF probatorio firmado con un certificado digital interno, también conocido como Certificado legal probatorio o Certificado legal de finalización.
Este documento contiene todas las evidencias electrónicas de la transacción, divididas en dos momentos:
En el envío del documento:
- Datos completos de la empresa cliente: dirección física, email y responsable del área (PRL / RR. HH.).
- Datos de quien realiza la comunicación (el SPA, cuando aplica).
- Cuenta de email de origen y dirección IP de origen.
- Identificador único del documento.
- Objeto de la transacción (por ejemplo, Evaluación de riesgos diciembre 2025).
- Identificador único del trabajador, nombre completo y datos de contacto.
- Fecha y hora del envío.
En la recepción y firma por el trabajador:
- Cuenta de email destino del trabajador.
- Dirección IP desde la que se abrió el documento.
- Imagen de la firma.
- Fecha y hora de la firma.
- Fecha y hora del procesado final.
- Hash del certificado digital que garantiza la confidencialidad e integridad.
Cómo acceder a las evidencias
Sección titulada «Cómo acceder a las evidencias»Las evidencias generadas son accesibles tanto para el administrador del cliente como para el trabajador firmante:
- El documento firmado puede consultarse desde el front-end de la aplicación.
- También se envía por email al trabajador y, opcionalmente, al cliente.
- El PDF Legacy probatorio puede descargarse desde la cuenta de administrador.
- Puede generarse un listado de evidencias (report) con: empresa, identificador del documento, objeto de la transacción, datos del trabajador, fecha de envío y fecha de firma.
Qué te corresponde a ti como cliente
Sección titulada «Qué te corresponde a ti como cliente»Smartosh aporta la infraestructura técnica, pero como responsable del tratamiento según el RGPD hay tres puntos que debes atender tú:
Email corporativo del trabajador
Sección titulada «Email corporativo del trabajador»Para que la firma identifique de forma inequívoca al firmante, utiliza siempre la cuenta de correo personal del trabajador dentro del dominio de tu organización. Evita cuentas genéricas (info@, personal@, etc.).
Deber de informar a los trabajadores
Sección titulada «Deber de informar a los trabajadores»Incluye el uso de esta herramienta —y la finalidad de tratar su cuenta de correo— en las políticas o declaraciones de privacidad que ya facilitas a tus trabajadores. Es una obligación derivada del RGPD que recae sobre ti como responsable del tratamiento.
Conservación adicional
Sección titulada «Conservación adicional»Aunque Smartosh almacena de forma persistente el documento firmado y el certificado probatorio, se recomienda como buena práctica conservar una copia de esa documentación en tus propios sistemas internos.
Marco legal de referencia
Sección titulada «Marco legal de referencia»Smartosh se apoya en el siguiente bloque normativo:
- Ley 1/2000, de Enjuiciamiento Civil.
- Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico.
- Ley 59/2003, de firma electrónica.
- Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos.
- Reglamento (UE) 910/2014 (eIDAS).
- Ley 39/2015, del Procedimiento Administrativo Común.
- Reglamento (UE) 2016/679 (RGPD).
- LO 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.
En derecho español, la validez de un contrato no requiere firma manuscrita: es válido si las partes con capacidad legal alcanzan un acuerdo, ya sea verbalmente, por medios electrónicos o en papel.
Tipos de firma electrónica según eIDAS
Sección titulada «Tipos de firma electrónica según eIDAS»El Reglamento eIDAS es tecnológicamente neutral y reconoce tres tipos de firma. Smartosh implementa la firma electrónica avanzada (FEA), que es la adecuada para los procesos habituales de PRL y RR. HH.
Firma simple
Sección titulada «Firma simple»Un check o casilla de aceptación. Permite expresar conformidad, pero no identifica de forma fiable al firmante. En caso de litigio resulta muy difícil demostrar quién aceptó el documento.
Firma avanzada (FEA) — la que usa Smartosh
Sección titulada «Firma avanzada (FEA) — la que usa Smartosh»Cumple cuatro requisitos acumulativos:
- Está vinculada al firmante de manera única.
- Permite identificar al firmante.
- Se crea con medios que el firmante mantiene bajo su control exclusivo.
- Está vinculada con los datos firmados de forma que cualquier modificación posterior es detectable.
Firma cualificada
Sección titulada «Firma cualificada»Variante de la FEA con dispositivo de creación segura certificado por un organismo gubernamental. Ofrece las máximas garantías legales (equivalente plena a la firma manuscrita) pero no es necesaria para los casos de uso habituales de Smartosh.
Fuente: «Firma electrónica avanzada en distribución de documentos», informe elaborado por Toni Martín Ávila (IT Government Assessor & DPO, IT360.es) para PrevenControl, 22 de abril de 2019.