eIDAS, Ley 6/2020 y validez legal de la firma electrónica en España y la UE

Por qué importa el marco legal#

Un contrato firmado electrónicamente solo vale lo que vale el marco legal que lo respalda en el país donde se ejecuta. España opera bajo el régimen europeo común de eIDAS desde 2014 — eso significa que una firma electrónica emitida en Madrid es válida en Berlín, París o Lisboa sin necesidad de homologación adicional.

Pero la teoría no basta. En la práctica, las preguntas que surgen son:

• ¿Mi contrato firmado electrónicamente vale en juicio si la otra parte impugna?
• ¿Qué pasa si firmo con un proveedor sin oficina en España?
• ¿Necesito imprimirlo y archivarlo en papel también «por si acaso»?
• ¿Cuánto tiempo debo conservarlo?
• ¿Cómo afecta el RGPD a la firma electrónica?

Esta guía responde esas preguntas con el marco legal vigente y la jurisprudencia consolidada.

Reglamento eIDAS: la norma marco europea#

Qué es eIDAS#

El Reglamento (UE) 910/2014 — conocido como eIDAS (electronic IDentification, Authentication and trust Services) — entró en vigor el 1 de julio de 2016 y reemplazó la Directiva 1999/93/CE. Establece el marco europeo común para:

• Identificación electrónica (eID): cómo los ciudadanos UE se identifican online entre estados miembros.
• Servicios de confianza: firma electrónica, sello electrónico, sellado de tiempo, certificado web, entrega electrónica.

eIDAS es directamente aplicable en todos los estados UE — no hace falta transposición nacional como con las directivas. Se aplica desde el día de entrada en vigor.

Los tres principios fundamentales de eIDAS#

1. Reconocimiento mutuo (Art. 6): una identidad o firma electrónica válidamente reconocida en cualquier estado UE debe ser aceptada en todos los demás. No se puede exigir a un firmante alemán que use «la firma española» para que su contrato sea válido en España.

2. No discriminación (Art. 25.1): ningún tribunal puede rechazar una firma electrónica solo por ser electrónica o por no cumplir los requisitos de la firma cualificada. Tiene siempre fuerza probatoria.

3. Equivalencia con manuscrita (Art. 25.2): la firma electrónica cualificada (QES) tiene «efecto jurídico equivalente al de una firma manuscrita». Y según el Art. 25.3, la firma electrónica cualificada basada en un certificado cualificado emitido en un estado UE es reconocida como tal en todos los demás.

«No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de su carácter electrónico o de no cumplir los requisitos de la firma electrónica cualificada.»

Los tres niveles de firma según eIDAS#

El reglamento define con precisión técnica tres niveles:

• Firma electrónica simple (SES) — Art. 3.10. Datos electrónicos vinculados a otros datos para firmar.
• Firma electrónica avanzada (AES) — Art. 26. SES + 4 requisitos: vinculación al firmante, identificación, control exclusivo, detección de modificaciones.
• Firma electrónica cualificada (QES) — Art. 3.12. AES + dispositivo cualificado de creación + certificado QTSP.

Lee la guía detallada: SES, AES y QES: los tres tipos de firma electrónica.

Otros servicios de confianza eIDAS#

eIDAS también regula:

• Sello electrónico (Art. 35-40): equivalente a la firma pero para personas jurídicas (sello de empresa).
• Sellado de tiempo cualificado (Art. 41-42): TSA cualificada que garantiza que un dato existía en un momento concreto.
• Servicio cualificado de entrega electrónica certificada (Art. 43-44): equivalente al burofax tradicional pero electrónico.
• Certificado cualificado de autenticación de sitio web (Art. 45): SSL/TLS reforzado con identidad verificada del titular.

Una buena plataforma de firma electrónica B2B (como Estipula) integra varios de estos servicios — típicamente firma + sellado de tiempo + certificado del tenant.

Ley 6/2020 española: desarrollo nacional de eIDAS#

Qué cambió la Ley 6/2020#

La Ley 6/2020, de 11 de noviembre, deroga la antigua Ley 59/2003 de firma electrónica y desarrolla eIDAS en el ordenamiento español. Entró en vigor el 13 de noviembre de 2020.

Cambios principales para empresas:

1. Equipara AES con firma manuscrita (Art. 3): cuando la firma avanzada se vincula a un certificado, tiene la misma fuerza probatoria que la manuscrita. Antes esto solo aplicaba a QES.
2. Carga de la prueba: si una parte impugna la autenticidad de la firma electrónica, debe probarlo ella aportando evidencias técnicas. Inversión de la carga frente a la firma manuscrita tradicional.
3. Régimen sancionador específico para QTSPs y plataformas no conformes.
4. Adaptación a eIDAS: armoniza definiciones, niveles y requisitos con el Reglamento europeo.

Validez probatoria en juicio español#

La doctrina jurisprudencial española es consistente desde 2017 en aceptar la firma electrónica con audit trail completo como prueba plena en juicio civil, mercantil y laboral.

Casos típicos donde se ha admitido:

• Contratos laborales firmados electrónicamente (Sala IV Tribunal Supremo).
• Contratos comerciales B2B con counterparty internacional (audiencias provinciales).
• Consentimientos informados clínicos con AES + audit trail (Sala I TS).
• Acuerdos transaccionales firmados via plataforma de firma electrónica.

La impugnación raramente prospera cuando:

• El audit trail incluye timestamp, IP, dispositivo, hash SHA-256 del documento.
• Hay evidencia de información previa (envío del email + apertura del documento).
• La plataforma de firma es eIDAS conforme con datos en UE.
• El certificado o método de identificación cumple los requisitos del Art. 26 eIDAS.

eIDAS 2: el Reglamento UE 2024/1183 y la EUDI Wallet#

Qué cambia con eIDAS 2#

El Reglamento (UE) 2024/1183 — conocido como eIDAS 2 — modifica el Reglamento original e introduce la European Digital Identity Wallet (EUDI Wallet). Entró en vigor en mayo de 2024 con plazos de implementación escalonados:

• Antes de mayo 2026: cada estado UE debe haber definido el marco técnico para emitir su propia EUDI Wallet pública a sus ciudadanos.
• Antes de mayo 2027: la EUDI Wallet debe estar disponible para todos los ciudadanos UE que la soliciten.
• A partir de 2027: las grandes plataformas digitales (LinkedIn, Google, Apple Pay, etc.) y servicios públicos deberán aceptar la EUDI Wallet como método de identificación.

Qué es la EUDI Wallet#

Una aplicación móvil oficial pública (emitida por el estado o por proveedores autorizados) que permite al ciudadano:

• Almacenar identidad digital: DNI, permiso conducir, título universitario, certificado profesional, etc.
• Firmar electrónicamente con QES desde el móvil sin certificado externo.
• Compartir credenciales selectivamente: «verificar mayor de edad» sin revelar fecha de nacimiento exacta.
• Pagar y autenticarse en servicios online de cualquier estado UE.

Para empresas B2B, la EUDI Wallet simplifica el firmante externo: en lugar de pedirle certificado FNMT instalado en su ordenador, podrá firmar con QES desde el móvil con su Wallet en pocos segundos.

Cómo afecta a Estipula y otras plataformas#

Estipula y otras plataformas serias se preparan ya para integrar EUDI Wallets cuando estén disponibles. Para 2026 sigue vigente eIDAS 1 al 100% — la EUDI Wallet será adicional, no sustitutiva. En la práctica, durante 2026-2027 coexistirán los métodos tradicionales (certificado FNMT, Cl@ve, OTP por SMS) con la nueva Wallet.

Marco legal aplicable por sector#

Contratos B2B comerciales#

• Reglamento eIDAS + Ley 6/2020: marco general.
• Código Civil Art. 1278: principio de libertad de forma — la firma electrónica equivale a la manuscrita.
• Ley 7/1998 sobre Condiciones Generales de la Contratación: aplica si hay contrato de adhesión.
• Ley 34/2002 LSSI-CE: si el contrato se celebra online, requisitos de información previa al consumidor B2C.

Contratos laborales#

• Estatuto de los Trabajadores Art. 8: forma escrita exigida para contratos específicos. La Dirección General de Empleo confirmó en 2017 que la firma electrónica avanzada cumple ese requisito.
• Ley 10/2021 de teletrabajo: el acuerdo de trabajo a distancia debe ser escrito — la firma electrónica avanzada lo cumple.
• Real Decreto-ley 28/2018 sobre transformación digital del trabajo: refuerza la validez de la firma electrónica en relaciones laborales.

Sanidad privada#

• Ley 41/2002 de autonomía del paciente Art. 8.2: consentimiento informado por escrito en intervenciones invasivas. La firma electrónica avanzada lo cumple.
• Ley 14/1986 General de Sanidad: marco general sanitario.
• Real Decreto 1718/2010 sobre receta médica: firma cualificada (QES) del médico para recetas privadas.

Lee firma electrónica para clínicas.

Inmobiliaria#

• Ley 29/1994 de Arrendamientos Urbanos: forma escrita exigida — la firma electrónica avanzada lo cumple.
• Ley 49/1960 sobre Propiedad Horizontal: actas de junta firmables electrónicamente.
• Real Decreto 235/2013 sobre certificación energética: el certificado de eficiencia energética puede firmarse electrónicamente.

Trámites con Administración Pública#

• Ley 39/2015 del Procedimiento Administrativo Común: regula la relación electrónica con AAPP. Exige certificado cualificado en muchos trámites.
• Real Decreto 203/2021 que desarrolla la administración electrónica.
• Ley 11/2007 de acceso electrónico de ciudadanos a servicios públicos: marco histórico aún parcialmente aplicable.

Para trámites con AEAT, Seguridad Social, sede electrónica → QES obligatoria. Para B2B comercial habitual → AES suficiente.

RGPD aplicado a la firma electrónica#

Coexistencia eIDAS + RGPD#

eIDAS regula la validez técnica y jurídica de la firma. RGPD regula el tratamiento de los datos personales del firmante. Son normas independientes que se aplican a la vez sin solaparse.

Cuando una empresa firma electrónicamente con un cliente, está tratando datos personales del firmante (nombre, DNI, email, IP, dispositivo, biometría si aplica). RGPD exige:

• Base legitimadora del tratamiento (Art. 6 RGPD).
• Información transparente al firmante (Art. 13 RGPD).
• Conservación limitada al plazo legal aplicable.
• Medidas técnicas y organizativas (Art. 32 RGPD).
• Derechos ARCO-POL ejercitables.

Bases legitimadoras habituales#

• Art. 6.1.b RGPD (ejecución del contrato): para empleados firmando documentos laborales.
• Art. 6.1.c RGPD (obligación legal): para documentos donde la ley exige firma.
• Art. 6.1.f RGPD (interés legítimo): para firmantes externos en contratos B2B comerciales.
• Art. 6.1.a RGPD (consentimiento explícito): para usos secundarios (marketing, RRSS).
• Art. 9.2.h RGPD (asistencia sanitaria): para datos de salud en consentimientos clínicos.

Lee RGPD y datos de salud: cómo firmar cumpliendo con la AEPD.

Datos en UE como requisito de buena práctica#

El RGPD permite transferencias fuera de UE bajo cláusulas contractuales tipo + medidas suplementarias documentadas. Pero la AEPD recomienda datos en UE para categoría especial (salud, biométricos) y para contextos de alta sensibilidad (RRHH, finanzas).

Estipula y otros proveedores europeos serios almacenan en UE por defecto (Frankfurt, Irlanda, París). DocuSign y Adobe Sign almacenan en EE.UU. con add-on UE de pago.

Plazos de conservación#

Los plazos varían según el tipo de documento. La firma electrónica no caduca: lo que importa es conservar el archivo + el audit trail durante el plazo legal aplicable.

Tipo de documento	Plazo mínimo	Norma aplicable
Documentos clínicos	5 años desde última asistencia	Ley 41/2002 Art. 17
Consentimientos quirúrgicos	10-15 años recomendable	Prescripción responsabilidad civil
Contratos laborales	4 años (TGSS) / 10 años recomendable	Real Decreto 84/1996 + LRJS
Documentos fiscales	4 años	Ley General Tributaria
Libros mercantiles	6 años	Código de Comercio
Datos de menores	Hasta 18 + 5 años	RGPD + Ley 41/2002 si sanitario
Documentos contables	6 años	Código de Comercio
Contratos comerciales generales	5-15 años (prescripción)	Código Civil
Datos categoría especial RGPD	El necesario + período disputa	RGPD Art. 5.1.e

Jurisprudencia clave#

Caso STS sobre AES en contrato laboral (2018)#

El Tribunal Supremo Sala IV confirmó que un contrato laboral firmado con AES + audit trail tenía la misma fuerza probatoria que la firma manuscrita. La empresa demandada intentó impugnar la firma electrónica del trabajador alegando que «no había firmado físicamente» — el TS rechazó la impugnación al considerar que el audit trail eIDAS demostraba la voluntad inequívoca de adherirse al contenido.

Caso STS sobre consentimiento informado digital (2019)#

Confirmó la equivalencia legal entre consentimiento informado en papel y consentimiento electrónico con AES, siempre que se cumplan los requisitos sustantivos de Ley 41/2002 (información previa, especificidad, voluntariedad, comprensibilidad).

Casos donde la firma electrónica falló#

No por ser electrónica, sino por defectos de fondo:

• Información presentada el mismo día de la cirugía → consentimiento anulado por falta de tiempo de reflexión.
• Texto genérico de cirugía facial para procedimiento específico → consentimiento anulado por falta de especificidad.
• Firma escaneada pegada en PDF sin audit trail → inadmisible probatoriamente.
• Plataforma sin datos en UE + datos sensibles → multa AEPD adicional.

La firma electrónica bien implantada previene la mayoría de estos casos por diseño.

Errores frecuentes con el marco legal#

1. Confundir eIDAS con LSSI-CE: eIDAS regula firma; LSSI-CE regula servicios de la sociedad de la información (cookies, comercio electrónico B2C).
2. Pedir QES «por si acaso» en B2B comercial: añade fricción que destruye conversión sin ganancia legal real.
3. Almacenar firmas en EE.UU. sin garantías RGPD documentadas para datos sensibles.
4. No conservar el audit trail junto con el PDF firmado — pérdida de prueba si llega litigio.
5. Usar Ley 59/2003 como referencia: derogada en 2020. Hay que citar Ley 6/2020.
6. Confundir firma electrónica con sello electrónico: la primera es persona física, el segundo persona jurídica.
7. Asumir que eIDAS 2 ya está vigente para QES desde móvil: no, los plazos son 2026-2027. Hasta entonces sigue eIDAS 1 al 100%.

Preguntas frecuentes#

¿Es válida una firma electrónica española en otro país UE?#

Sí, plenamente. eIDAS Art. 6 establece reconocimiento mutuo: una firma válidamente emitida en cualquier estado UE debe ser aceptada en todos los demás. Para QES emitida en España es directamente equivalente a la manuscrita en cualquier estado UE.

¿Qué pasa si firmo con un proveedor extracomunitario?#

eIDAS no aplica directamente. La validez depende del marco legal del país tercero y de los acuerdos bilaterales con la UE. Para B2B con counterparties UK post-Brexit existe acuerdo de reconocimiento parcial; para EE.UU., dependes del estado y la naturaleza del contrato.

¿La firma electrónica simple vale en juicio?#

Sí, eIDAS Art. 25.1 garantiza no discriminación. Pero su fuerza probatoria es menor que AES o QES. Si la otra parte impugna seriamente, defender una SES «pura» es más complicado que una AES con audit trail completo.

¿Necesito notario para firmar contratos electrónicamente?#

No para B2B comercial habitual. La firma electrónica avanzada o cualificada equivale legalmente a la manuscrita. Solo necesitas notario para documentos que la ley exige expresamente que sean notariales (escrituras públicas, poderes generales, hipotecas, etc.).

¿La firma electrónica cumple con el RGPD automáticamente?#

No. eIDAS y RGPD son normas independientes. La firma electrónica per se no garantiza cumplimiento RGPD — el responsable del tratamiento (empresa que firma) debe cumplir RGPD por separado: base legitimadora, información transparente, medidas técnicas, derechos ARCO-POL.

¿Qué tribunales aceptan firma electrónica como prueba en España?#

Todos los tribunales civiles, mercantiles y laborales. La doctrina del Tribunal Supremo es consistente desde 2017. Audiencias provinciales y juzgados de primera instancia siguen la misma línea.

¿Cuánto tiempo tarda eIDAS 2 en aplicarse?#

El Reglamento UE 2024/1183 ya está en vigor desde mayo 2024. Los plazos:

• Mayo 2026: marco técnico EUDI Wallet definido por cada estado UE.
• Mayo 2027: EUDI Wallet disponible para todos los ciudadanos UE.
• Post-2027: obligación gradual de aceptación por grandes plataformas y servicios públicos.

Hasta entonces sigue plenamente vigente eIDAS 1.

¿Estipula es eIDAS conforme?#

Sí. Estipula implementa firma electrónica simple (SES) y avanzada (AES) conformes al Reglamento eIDAS, con audit trail completo (timestamp, IP, dispositivo, hash SHA-256, evidencia consentimiento), datos en UE (Frankfurt) y DPA RGPD disponible. QES via partner QTSP cualificado europeo cuando el caso lo requiere.

Conclusión#

El marco legal de la firma electrónica en España es maduro, claro y favorable a la digitalización. La combinación eIDAS + Ley 6/2020 + jurisprudencia consolidada hace que la firma electrónica B2B sea jurídicamente equivalente o superior a la manuscrita, siempre que la implementación sea correcta:

• Audit trail completo conservado durante el plazo legal aplicable.
• Plataforma con datos en UE (especialmente para datos sensibles).
• Nivel de firma adecuado al riesgo legal del documento (SES/AES/QES).
• RGPD aplicado en paralelo: base legitimadora documentada, información transparente, derechos ejercitables.

eIDAS 2 con la EUDI Wallet añadirá flexibilidad a partir de 2026-2027 sin sustituir el marco actual.

Para profundizar:

• Firma electrónica en España: guía completa 2026
• SES, AES y QES: los tres tipos de firma electrónica
• Firma electrónica para clínicas y centros sanitarios
• RGPD y datos de salud: cómo firmar cumpliendo con la AEPD

Probar Estipula gratis (10 firmas/mes, sin tarjeta) o ver planes y precios.