Firma electrónica simple (SES): qué es y cuándo usarla

Definición técnica de SES#

El Reglamento eIDAS define en su Art. 3.10:

«Firma electrónica»: los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

La definición es deliberadamente amplia. En la práctica, cualquier mecanismo electrónico que cumpla:

1. Anexar datos electrónicos al documento (no necesariamente criptográficos).
2. Asociarlos lógicamente con el contenido firmado.
3. Utilizarlos por el firmante como acto de firma.

Es una firma electrónica simple. Punto. eIDAS no exige más a este nivel.

Ejemplos de SES#

SES «pura» (mínima)#

• Marcar una casilla «He leído y acepto los términos» en un formulario web.
• Hacer clic en un magic link enviado al email del firmante.
• Escribir el nombre + clic «Firmar».
• Subir una imagen escaneada de la firma manuscrita pegada en un PDF.

Estas son probatoriamente débiles. Si la otra parte impugna seriamente, defenderlas en juicio es complicado.

SES reforzada («Nivel 2»)#

• Email validado + clic + audit trail (timestamp, IP, dispositivo).
• Email + OTP por SMS al teléfono del firmante.
• Email + clic + DNI escaneado en formulario previo.

Estas son mucho más defendibles que la SES pura. Para muchos casos B2B con relación previa, son suficientes.

Validez legal: el principio de no discriminación#

eIDAS Art. 25.1 garantiza que ninguna firma electrónica puede rechazarse en juicio solo por ser electrónica. Eso aplica a SES, AES y QES por igual.

«No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de su carácter electrónico o de no cumplir los requisitos de la firma electrónica cualificada.»

Pero la fuerza probatoria sí varía:

• QES tiene presunción legal automática a favor del firmado (carga inversa).
• AES equivale a manuscrita por Ley 6/2020.
• SES se evalúa caso por caso por el juez con todas las evidencias auxiliares disponibles (audit trail, mensajes previos, conducta posterior).

Para un juez, una SES con audit trail completo + email previo del firmante reconociendo el documento + comportamiento posterior consistente con el contrato es muy defendible. Una SES «pura» sin ninguna evidencia auxiliar es frágil.

Cuándo usar SES#

Casos donde SES es la opción correcta#

1. Aprobaciones internas con relación previa

Un empleado aprueba un gasto interno, marca «conforme» en un formulario de RRHH, valida una vacación. La empresa y el empleado tienen relación contractual previa, no hay incentivo a impugnar y la fricción importa más que la trazabilidad reforzada.

2. NDAs estándar con counterparty conocida

NDA mutuo entre dos empresas con relación comercial previa. Texto estándar de mercado, importes bajos en disputa potencial, alta probabilidad de cumplimiento voluntario.

3. Consentimientos en formularios web

Aceptación de términos de servicio, política de cookies, política de privacidad. Aquí la SES es lo único viable operativamente — pedir AES en cada formulario web destruiría conversión.

4. Comunicaciones internas con valor legal bajo

Acuse de recibo de manuales, certificación de formación interna, confirmación de asistencia a un evento.

5. Contratos B2B comerciales recurrentes

Renovación automática de contrato comercial con cliente fidelizado. No hay novedad sustantiva; la firma SES + audit trail confirma la voluntad de continuar.

Cuándo NO usar SES#

1. Contratos laborales

Aunque el ET no exija explícitamente AES, la jurisprudencia tiende a esperarla. Una SES en contrato laboral aumenta riesgo en disputas posteriores. Mejor AES.

2. Consentimientos sanitarios invasivos

Ley 41/2002 Art. 8.2 exige forma escrita para procedimientos invasivos. Aunque técnicamente SES la cumpla, la jurisprudencia es exigente — usa AES con OTP. Lee consentimiento informado digital.

3. Counterparty desconocida o sospechosa

Cliente nuevo con quien no hay relación previa, especialmente si el contrato tiene importes altos o cláusulas susceptibles de disputa. AES da más solidez probatoria.

4. Documentos donde la otra parte tiene incentivo a impugnar

Despidos, sanciones, finiquitos, cláusulas penales. Cuando el firmante puede sentirse perjudicado y querer escabullirse, la SES queda corta.

5. Trámites con AAPP

La mayoría requieren QES (certificado FNMT, Cl@ve) — SES no es válida ni siquiera con refuerzos.

Cómo reforzar una SES sin saltar a AES#

Si tu caso de uso pide SES (por fricción o coste) pero quieres más solidez probatoria, hay capas que añaden valor sin requerir AES completa:

1. Doble verificación: email + OTP#

El firmante recibe el documento por email y un OTP de 6 dígitos por SMS al teléfono móvil. Confirma identificación robusta sin certificado.

2. Audit trail completo#

• Timestamp con precisión legal.
• IP del firmante + geolocalización aproximada.
• Dispositivo y navegador.
• Hash SHA-256 del documento al momento de firma.
• Logs del envío del email y de su apertura.

3. Evidencia de información previa#

Registrar cuándo se envió el documento al firmante y cuándo lo abrió. Permite acreditar tiempo razonable de reflexión, especialmente importante en consentimientos.

4. Consentimiento RGPD explícito#

Checkbox específico antes de firmar con texto claro: «He leído el documento y entiendo que mi clic equivale a firma electrónica vinculante en sentido eIDAS».

5. Conservación cifrada en UE#

Archivo + audit trail conservados con cifrado en reposo durante el plazo legal aplicable. La integridad técnica del archivo refuerza la credibilidad probatoria.

Estipula incluye estas 5 capas en plan Free indefinido — SES reforzada con audit trail eIDAS sin coste extra.

Errores frecuentes con SES#

1. Usar firma escaneada como SES: técnicamente cuenta, pero es la SES más débil. Si hay disputa, no se sostiene.
2. No conservar audit trail: el clic «Acepto» sin timestamp, IP, dispositivo, hash queda en nada cuando llega litigio.
3. SES en contratos críticos: contratos laborales, consentimientos clínicos, contratos con counterparty nueva. Subir a AES.
4. Confundir SES con «menor seguridad»: una SES reforzada con OTP + audit trail es más segura técnicamente que una firma manuscrita escaneada.
5. Olvidar el RGPD: la SES recoge datos del firmante. Necesita base legitimadora documentada como cualquier tratamiento.

Preguntas frecuentes#

¿Una SES vale en juicio?#

Sí. eIDAS Art. 25.1 garantiza que ninguna firma electrónica puede rechazarse solo por ser electrónica. Pero su fuerza probatoria es menor que AES o QES — defendible en flujos B2B con relación previa, no en contratos críticos con counterparty hostil.

¿La SES requiere certificado digital?#

No. SES es el nivel más amplio de eIDAS — cualquier dato electrónico vinculado al documento usado por el firmante. No exige certificado, criptografía ni dispositivo cualificado.

¿Es legal aceptar términos online con SES?#

Sí. La aceptación de términos de servicio mediante SES (clic «Acepto») es válida bajo eIDAS + LSSI-CE. Es la práctica estándar global.

¿Cuál es la diferencia entre SES «pura» y SES «reforzada»?#

SES pura es el clic mínimo: «Acepto». SES reforzada añade capas: OTP por SMS, audit trail completo, evidencia de información previa, doble verificación. La diferencia probatoria es enorme — SES reforzada se defiende mucho mejor en juicio.

¿Puedo subir de SES a AES después si llega disputa?#

No retroactivamente. Si firmaste con SES, lo que tienes es SES. Para casos donde anticipes posibles disputas, firma directamente con AES desde el inicio.

¿Qué plataformas ofrecen SES?#

Todas las plataformas eIDAS-conformes ofrecen SES como nivel base. Estipula la incluye en plan Free indefinido (10 firmas/mes, sin tarjeta).

¿Una firma manuscrita escaneada es SES?#

Técnicamente cuenta como SES (datos electrónicos anejos al documento). Pero es la forma más débil de SES — no identifica al firmante con certeza, no detecta modificaciones, no deja audit trail. En juicio se cae si la otra parte impugna seriamente.

¿Puedo usar SES para trámites con AAPP?#

Generalmente no. La mayoría de trámites con AEAT, Seguridad Social, sede electrónica exigen QES con certificado cualificado. SES es para B2B comercial.

Conclusión#

La firma electrónica simple (SES) tiene su lugar legítimo en B2B: aprobaciones internas, NDAs con relación previa, formularios de bajo riesgo, comunicaciones rutinarias. Bien reforzada con OTP + audit trail, es una herramienta operativa potente.

Para contratos críticos (laborales, sanitarios invasivos, counterparty desconocida), salta a firma electrónica avanzada (AES). Para trámites con AAPP, firma electrónica cualificada (QES).

Probar Estipula gratis con SES reforzada (10 firmas/mes) o ver tipos de firma electrónica.

Recursos relacionados:

• Tipos de firma electrónica: SES, AES y QES (pillar)
• Firma electrónica avanzada (AES)
• Firma electrónica cualificada (QES)
• eIDAS, Ley 6/2020 y validez legal