Firma electrónica en España: guía completa 2026

Qué es la firma electrónica#

La firma electrónica es un conjunto de datos electrónicos consignados junto a otros datos electrónicos o asociados con ellos, que utiliza el firmante para firmar. Esa es la definición técnica del Art. 3.10 del Reglamento eIDAS. Traducido: cualquier mecanismo electrónico que permita identificar al firmante y vincularle al contenido del documento.

La firma electrónica no es una imagen escaneada de tu firma manuscrita pegada en un PDF. Una firma escaneada no identifica al firmante con certeza, no detecta modificaciones posteriores y no deja traza auditable — si la otra parte impugna, esa firma cae en juicio.

La firma electrónica sí es un proceso técnico que combina:

• Identificación del firmante (email validado, DNI escaneado, certificado, OTP por SMS, biometría…).
• Vinculación criptográfica al documento (hash SHA-256 del PDF, sellado en el momento de la firma).
• Trazabilidad (audit trail: timestamp, IP, dispositivo, navegador, evidencia de información previa).
• Integridad (cualquier modificación posterior del documento invalida la firma).

«Firma electrónica»: los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

Firma electrónica vs firma digital: la confusión más común#

Los términos se usan a menudo como sinónimos, pero técnicamente describen cosas distintas:

• Firma digital es la tecnología criptográfica subyacente: pares de claves pública/privada, hash, certificados X.509. Es un concepto técnico.
• Firma electrónica es el concepto jurídico: cualquier método electrónico válido en el sentido de eIDAS. Engloba firmas digitales criptográficas pero también métodos más simples (email + OTP, biometría).

En la práctica, una firma electrónica avanzada o cualificada SIEMPRE usa firma digital por debajo. Una firma electrónica simple puede no usarla — basta con identificación + audit trail.

Para el cliente B2B, lo que importa es la firma electrónica en su sentido jurídico — qué validez tiene en juicio en España.

Marco legal de la firma electrónica en España#

España opera bajo el régimen europeo de eIDAS desde 2014, con dos normas principales:

Reglamento eIDAS (UE 910/2014)#

La norma marco europea. Establece tres principios fundamentales:

1. Reconocimiento mutuo: una firma electrónica válida en cualquier estado miembro UE lo es en todos. Sin necesidad de homologar.
2. No discriminación: ningún tribunal puede rechazar una firma electrónica solo por ser electrónica (Art. 25.1). Vale la misma fuerza probatoria.
3. Equivalencia con manuscrita: la firma electrónica cualificada tiene «efecto jurídico equivalente al de una firma manuscrita» (Art. 25.2).

Ley 6/2020 española#

Adapta eIDAS al ordenamiento español y deroga la antigua Ley 59/2003. Para la mayoría de empresas:

• Equipara firma electrónica avanzada o cualificada a la firma manuscrita cuando se vincula a un certificado (Art. 3).
• Carga de la prueba: si una parte impugna la autenticidad, debe probarlo ella aportando evidencias técnicas. El audit trail eIDAS es la defensa.
• Validez en juicio: los tribunales españoles aceptan firmas electrónicas como prueba plena cuando el audit trail es coherente. La doctrina jurisprudencial es consistente desde 2017.

Lee la guía detallada: eIDAS, Ley 6/2020 y validez legal.

eIDAS 2 y EUDI Wallet (2026-2027)#

El Reglamento UE 2024/1183 — conocido como eIDAS 2 — actualiza el marco con la EUDI Wallet (cartera europea de identidad digital). Cambios principales para empresas:

• Cada estado miembro debe ofrecer una EUDI Wallet pública a sus ciudadanos antes de 2027.
• Las empresas que aceptan firma electrónica deberán reconocer las EUDI Wallets de cualquier estado UE.
• La Wallet permitirá firmar con QES desde el móvil sin certificado externo.

Estipula y otras plataformas serias se preparan ya para integrar EUDI Wallets cuando estén disponibles. Para 2026 sigue vigente eIDAS 1 al 100%.

Cómo funciona técnicamente la firma electrónica#

A nivel técnico, una firma electrónica B2B típica sigue este flujo:

1. Hash del documento original#

Antes de firmar, la plataforma calcula el hash SHA-256 del PDF original. Es una huella digital única — cualquier modificación de un solo byte cambia el hash entero.

2. Identificación del firmante#

El firmante se identifica con uno o varios factores:

• Email validado (firma simple): clic en magic link enviado a su buzón.
• OTP por SMS (firma simple reforzada o avanzada): código de un solo uso al teléfono.
• DNI escaneado (firma avanzada con ID verification).
• Certificado digital X.509 (firma avanzada o cualificada): FNMT, Cl@ve, certificado profesional.
• Biometría (firma avanzada): captura de presión, velocidad, patrón en tablet.

3. Acto de firma#

El firmante captura su firma — típicamente:

• Imagen handwritten (dibuja con el dedo o ratón).
• Texto generado con fuente script desde su nombre.
• Sello con datos identificativos.

La plataforma vincula esa imagen + sus metadatos al hash del documento.

4. Generación de audit trail#

Por cada firma, la plataforma registra:

• Timestamp preciso (preferiblemente de fuente cualificada — TSA RFC 3161).
• IP y geolocalización aproximada.
• Dispositivo y navegador (user-agent).
• Hash SHA-256 del documento firmado.
• Evidencia de consentimiento RGPD si se mostró aviso.
• Eventos previos: cuándo se envió el email, cuándo lo abrió.

5. Sellado y conservación#

El PDF firmado + el audit trail se cifran y almacenan. Si alguien modifica el PDF después, el hash cambia y la firma queda inválida automáticamente — eso es la integridad criptográfica que ofrece eIDAS.

Los tres tipos de firma electrónica#

eIDAS define tres niveles, de menor a mayor garantía. Cada uno tiene sus casos de uso:

Firma electrónica simple (SES)#

Cualquier dato electrónico vinculado al documento que identifique al firmante. Es el nivel base.

Ejemplos: clic en «Acepto» en términos online, email + clic en magic link, casilla marcada en formulario web.

Cuándo usarla: contratos B2B comerciales con relación previa, NDAs, aprobaciones internas, formularios de bajo riesgo legal.

Cuándo NO: documentos donde la otra parte tenga incentivos a impugnar (litigios laborales, consentimientos quirúrgicos, contratos de alto importe).

Firma electrónica avanzada (AES)#

Vinculación criptográfica única al firmante mediante certificado digital. Detección automática de cualquier modificación posterior. Equivale a firma manuscrita en la mayoría de casos B2B.

Requisitos eIDAS Art. 26:

• Vinculación inequívoca al firmante.
• Identificación del firmante.
• Control exclusivo del firmante sobre los medios de creación.
• Detección de cualquier modificación posterior.

Cuándo usarla: la mayoría de casos B2B con riesgo legal medio-alto. Contratos laborales, consentimientos clínicos, contratos comerciales con clientes nuevos, NDAs con counterparty desconocida.

Firma electrónica cualificada (QES)#

AES + dispositivo cualificado de creación de firma + certificado emitido por Prestador Cualificado de Servicios de Confianza (QTSP). Equivale jurídicamente a firma manuscrita en cualquier caso (presunción legal automática).

Cuándo usarla: trámites con Administración Pública (AEAT, Seguridad Social, sede electrónica), recetas médicas privadas, notariado, contratos donde la ley exija expresamente QES.

Cuándo NO: B2B comercial habitual. Es excesiva, fricciona al firmante (requiere certificado FNMT o Cl@ve) y la AES ya equivale legalmente para 95% de casos.

Lee la guía detallada: SES, AES y QES: los tres tipos de firma electrónica explicados.

Qué tipo de firma electrónica necesita mi empresa#

La regla práctica:

Tipo de documento	Nivel recomendado
Contratos B2B comerciales con relación previa	SES reforzada o AES
Contratos B2B con counterparty nueva	AES
Contratos laborales (alta, anexo, finiquito)	AES
NDAs	SES o AES
Consentimientos informados clínicos	AES
Presupuestos sanitarios o financiación	SES o AES
Anexos por IPC en alquileres	SES o AES
Recetas médicas privadas	QES
Trámites con AEAT / Seguridad Social	QES
Escrituras y notariado	QES

Consejo: empieza siempre con AES como default. Es el equilibrio correcto entre fricción y validez probatoria. Solo baja a SES si el documento tiene riesgo legal claramente bajo y la fricción del firmante importa más que la trazabilidad reforzada.

Casos de uso por sector#

Sanidad privada#

Consentimientos informados, anamnesis, autorización de imagen, financiación, contratos con aseguradoras. Lee firma electrónica para clínicas y centros sanitarios.

Recursos humanos#

Contratos laborales, anexos, finiquitos, certificados de empresa, comunicaciones de baja. Lee firma masiva: cómo firmar 200 nóminas a la vez.

Inmobiliaria#

Contratos de alquiler, anexos por IPC, mandatos SEPA, mandatos de gestión, contratos de arras.

Despachos y asesorías#

Encargos profesionales, contratos de prestación de servicios, NDAs con clientes, autorización de gestiones con AEAT.

Educación privada#

Matrículas, autorización de menores, contratos de servicios extraescolares, consentimientos de imagen.

Servicios financieros mid-market#

Contratos comerciales, mandatos SEPA, propuestas de inversión, consentimientos KYC.

Errores comunes con la firma electrónica#

1. Pegar imagen escaneada de la firma manuscrita en un PDF — no es firma electrónica. Inadmisible si la otra parte impugna.
2. No registrar audit trail — el PDF firmado vale poco sin timestamp, IP, hash del original. La defensa en juicio se debilita.
3. Usar plataformas con datos fuera de la UE sin garantías RGPD documentadas — multas AEPD probables.
4. Confundir consentimiento informado clínico con consentimiento RGPD — son cosas distintas legalmente.
5. No exigir tiempo razonable entre envío y firma en consentimientos clínicos — el TS ha anulado consentimientos firmados el mismo día.
6. Plantillas genéricas en lugar de específicas por procedimiento — descalifica el consentimiento entero en sanidad.
7. No conservar el PDF firmado el plazo legal (5-10 años según sector) — pérdida de prueba si llega litigio.

Cómo elegir software de firma electrónica#

Los criterios que de verdad importan, ordenados por peso:

1. Conformidad eIDAS + ubicación de datos en UE. Bloqueante para datos sensibles.
2. Modelo de precio (por usuario vs por pool de firmas). Define el TCO real.
3. Plantillas reutilizables. Si firmas muchos documentos parecidos, es la palanca operativa.
4. Firma masiva. Si firmas en lote (nóminas, consentimientos), nativo > add-on.
5. Soporte en español. Critical para cuestiones legales locales.
6. Integraciones con tu CRM, ERP, HRIS. Importante para mid-market y enterprise.
7. DPA RGPD firmado disponible bajo demanda.

Lee la comparativa completa: Software de firma electrónica en España: comparativa 2026.

Cómo lo resuelve Estipula#

Estipula es una plataforma B2B de firma electrónica española conforme a eIDAS, optimizada para empresas con volumen alto de documentos repetitivos: clínicas privadas, despachos, inmobiliarias, RRHH mid-market.

Lo que diferencia operativamente:

• Plantillas reutilizables ilimitadas (Plan Basic): sube una vez tu consentimiento, contrato laboral, anexo IPC, y reutilizas para siempre.
• Firma masiva nativa hasta 50 documentos por lote: convierte 8 horas de trabajo administrativo en 15 minutos.
• Auto-rellenado de campos del firmante desde su perfil (nombre, DNI, email, fecha) — ahorra clicks.
• Detección de plantilla en el upload: si subes un PDF parecido a uno previo, Estipula te sugiere reutilizar la plantilla.
• Datos en UE siempre (servidores Frankfurt) con cifrado en reposo. DPA RGPD firmado bajo demanda.
• Plan Free indefinido (10 firmas/mes, sin tarjeta) para validar el flow con casos reales.
• Plan Basic €79/mes (€69 anual) con 6.000 firmas/año, 3 usuarios, plantillas ilimitadas, branding propio.

Preguntas frecuentes#

¿La firma electrónica tiene la misma validez que la manuscrita?#

Sí, en eIDAS Art. 25.2: «una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita». La firma electrónica avanzada (AES) también equivale a manuscrita en la mayoría de casos B2B según la Ley 6/2020 española.

¿Es legal firmar contratos laborales electrónicamente?#

Sí, completamente. El Art. 8 del Estatuto de los Trabajadores no exige firma manuscrita — solo «forma escrita», que la firma electrónica cumple. La Dirección General de Empleo lo confirmó en 2017.

¿Cuál es la diferencia entre firma digital y firma electrónica?#

«Firma digital» es la tecnología criptográfica (claves, hash, certificados). «Firma electrónica» es el concepto jurídico — cualquier método electrónico válido bajo eIDAS. Toda firma avanzada o cualificada usa firma digital por debajo, pero no toda firma electrónica simple lo hace.

¿Necesito un certificado FNMT para firmar electrónicamente?#

No para la mayoría de B2B. El certificado FNMT (o equivalente como Cl@ve) es necesario solo para firma cualificada (QES) — trámites con Administración Pública, recetas médicas, escrituras. Para B2B comercial habitual, una firma electrónica avanzada (AES) sin certificado FNMT es legal y suficiente.

¿Cuánto tiempo debo conservar los documentos firmados electrónicamente?#

Depende del documento:

• Documentos clínicos (Ley 41/2002): mínimo 5 años desde última asistencia. 10-15 años para procedimientos quirúrgicos.
• Documentos laborales: 4 años (TGSS, prescripción salarial). 10 años por riesgo de litigio.
• Documentos fiscales: 4 años (LGT). 6 años para libros mercantiles.
• Datos de menores: hasta 18 años + 5 años adicionales.

¿Puedo firmar electrónicamente desde el móvil?#

Sí, plenamente. La firma electrónica no depende del dispositivo — depende de la identificación del firmante y el audit trail. Una firma desde móvil con AES + OTP por SMS es tan válida como desde ordenador con certificado.

¿Qué pasa si modifican el PDF después de firmarlo?#

La firma electrónica avanzada o cualificada detecta automáticamente cualquier modificación. El PDF queda con la firma marcada como inválida en cualquier visor (Adobe Acrobat, navegador). La integridad criptográfica es uno de los pilares del Art. 26 eIDAS.

¿Es seguro almacenar documentos firmados en la nube?#

Sí, si la plataforma usa cifrado en reposo (AES-256) y en tránsito (TLS 1.3), datos en UE para sectores sensibles, control de accesos con mínimo privilegio, y registra el acceso a documentos. Estipula cumple los cuatro.

Conclusión y siguiente paso#

La firma electrónica en España 2026 es una tecnología madura, legalmente equivalente a la manuscrita y operativamente superior. Lo que diferencia una buena implantación:

• Elegir el nivel correcto (SES/AES/QES) por tipo de documento.
• Plataforma con datos en UE y conformidad eIDAS verificable.
• Audit trail completo para defender la firma en juicio.
• Plantillas reutilizables para flujos recurrentes.
• Conservación cifrada durante el plazo legal aplicable.

Para profundizar en cada apartado:

• SES, AES y QES: los tres tipos de firma electrónica explicados
• eIDAS, Ley 6/2020 y validez legal
• Firma electrónica para clínicas y centros sanitarios
• Firma masiva: cómo firmar 50 documentos a la vez
• Software de firma electrónica en España: comparativa 2026

Si quieres ver cómo se traduce todo esto a tu caso, prueba Estipula gratis (10 firmas/mes, sin tarjeta) o ver los planes y precios.