eIDAS: qué hace que una firma de Clozo sea legalmente vinculante en la UE

Los tres niveles de firma eIDAS (todos del Reglamento (UE) n.º 910/2014):

Por qué Clozo emite SES, no FEA. [A-007] en nuestro DECISIONS.md es explícito: «Firma electrónica: eIDAS SES (Firma Electrónica Simple) — clic para firmar + confirmación por correo. Almacenar IP + sello de tiempo + cadena de correo durante 10 años.» El código en ejecución coincide: el modelo SignatureAudit en apps/proposals/models.py registra signed_at, ip_address, user_agent, signer_name, signer_email, consent y raw_event (cabeceras de solicitud completas como JSONB) — pero no calcula ni almacena un hash SHA-256 del PDF renderizado, y el proceso de firma no vincula un sello criptográfico al contenido del documento de una manera que satisfaga el Art. 26(d). El sellado de tiempo de confianza RFC 3161 está en el mapa de ruta [D-111] (Fase 4) pero no forma parte del proceso de firma v1. Llamar al producto v1 una Firma Electrónica Avanzada sería inexacto y expondría a los autónomos a un desafío de citación si alguna vez necesitaran defender la firma.

*Lo que Clozo sí captura, atómicamente en el momento de la firma.*

1. Afirmación de identidad — el nombre escrito del firmante más la dirección de correo que recibió la propuesta deben coincidir con el registro del cliente registrado (signer_name, signer_email en SignatureAudit). 2. Prueba de posesión — un código de acceso de 4 dígitos (PIN) se introdujo correctamente antes de que se desbloqueara la superficie de firma, demostrando acceso a la bandeja de entrada de correo donde se entregó. Según el código en ejecución (refuerzo HIGH-BE-002, auditoría 2026-04-28): en el endpoint de propuesta pública, 5 intentos incorrectos de PIN dentro de una ventana deslizante de 1 hora bloquean el slug de la propuesta durante 24 horas (bloqueo por slug, distinto del límite de tasa por IP de 10 solicitudes/minuto en el mismo endpoint). Una entrada correcta del PIN restablece el contador de fallos. La puerta de PIN de enmienda usa el mismo patrón de 5-fallos-→-bloqueo-24h en su propia clave de slug. 3. Contexto técnico — ip_address (GenericIPAddressField), cadena user_agent y las cabeceras de solicitud completas en raw_event (JSONB), todos escritos en una transacción de base de datos con signed_at. 4. Registro de consentimiento — el campo consent captura la confirmación afirmativa del firmante de que está autorizado a vincular a la parte nombrada.

Observe lo que no está en esta lista: no hay ningún campo pdf_hash, ninguna llamada hashlib.sha256 en el código de firma, ninguna integración con prestador de servicios de confianza cualificado, ningún flujo de tarjeta inteligente o token de hardware. Estos son los elementos que distinguirían la FEA (infalsificabilidad del Art. 26(d)) y la FEC (certificado cualificado del Art. 28) de la SES, y Clozo deliberadamente no los incluye en v1. El PDF del Contrato de servicios se renderiza inmutablemente en Cloudflare R2 (región UE) con un indicador legal_hold, que proporciona integridad a nivel de almacenamiento (el archivo no puede sobrescribirse ni eliminarse dentro de la ventana de retención) — pero eso no es lo mismo que una vinculación criptográfica firma-documento según el Art. 26(d).

Lo que esto significa en la práctica. Según el Art. 25(1), una SES de Clozo tiene el mismo piso de no discriminación de efecto legal que cualquier firma electrónica: un tribunal no puede rechazarla únicamente porque sea electrónica. Si un tribunal la tratará como prueba suficiente de aceptación contractual para una disputa específica depende del registro de auditoría subyacente y del derecho civil nacional. Para el trabajo comercial diario de autónomos en DE / FR / ES / NL / PL / IT, los tribunales tratan habitualmente una SES respaldada por un sólido registro de auditoría (nombre escrito, PIN de posesión del correo, IP, User-Agent, sello de tiempo, registro de consentimiento, conservados 10 años) como prueba suficiente de que se aceptó un contrato. La equivalencia estricta según el Art. 25(2) del eIDAS («tendrá el efecto jurídico equivalente al de una firma manuscrita») aplica solo a la FEC, no a la SES o FEA por sí solas.

Citaciones nacionales específicas para la vía probatoria SES + registro de auditoría: - Alemania — BGB §126 (forma manuscrita), §126a (forma electrónica cualificada, equivalente a manuscrita), §126b (forma textual). Para los contratos que no están sujetos a un requisito de forma legal, aplica el principio de Formfreiheit (BGB §125 e contrario); la SES + registro de auditoría es generalmente aceptada como prueba de consenso. Las fianzas (BGB §766) y los actos notariados (BGB §128, BGB §311b para transferencias inmobiliarias) requieren los canales formales y la SES de Clozo no los sustituye. - Francia — Code civil Art. 1366 (la escritura electrónica tiene la misma fuerza probatoria que la escritura en papel siempre que el autor pueda ser debidamente identificado y el documento se establezca y conserve en condiciones que garanticen su integridad); Art. 1367 (la firma electrónica consiste en un proceso de identificación fiable que garantiza su vínculo con el acto al que se adjunta; la fiabilidad se presume para la FEC). La firma electrónica simple está reconocida pero la carga de demostrar la fiabilidad recae sobre la parte que la invoca — que es exactamente donde el registro de auditoría de Clozo hace el trabajo. - España — Ley 6/2020 de servicios electrónicos de confianza (transponiendo eIDAS); Código Civil Art. 1261 (requisitos esenciales de un contrato: consentimiento, objeto, causa). Para los contratos de consumo, véase también el Real Decreto Legislativo 1/2007 Art. 102 (derecho de desistimiento en contratos a distancia), que coexiste con eIDAS en lugar de sustituirlo. - Países Bajos — BW Art. 6:227a (equivalencia electrónica — el ancla de forma sustantiva para la conclusión de contratos en forma electrónica según la implementación neerlandesa del eIDAS); Wetboek van Burgerlijke Rechtsvordering Art. 156 / 156a (admisibilidad probatoria de los documentos digitales). El ancla de forma sustantiva y el ancla probatoria son disposiciones separadas; la SES + registro de auditoría de Clozo depende de ambas. - Polonia — Kodeks cywilny Art. 78¹ (equivalencia de forma electrónica cualificada a la forma escrita, aplica solo a FEC); Art. 60 KC (las declaraciones de voluntad pueden hacerse por cualquier conducta suficiente para expresar la voluntad). La SES no es estatutariamente equivalente a la forma escrita en Polonia; en la práctica, los tribunales admiten la SES + registro de auditoría como prueba de consenso según el Art. 60. La admisibilidad procesal se rige por el KPC Art. 308 (documentos electrónicos). - Italia — CAD D.Lgs. 82/2005 Art. 20 (principio general de que los documentos electrónicos tienen valor probatorio libremente evaluado por el tribunal, con presunciones más fuertes para niveles de firma más altos) y Art. 21 (peso probatorio específico por nivel de firma).

Qué es la FEC y cuándo realmente la necesita. La FEC requiere un certificado cualificado emitido por un Prestador de Servicios de Confianza en la Lista de Confianza de la UE (Bundesdruckerei en Alemania, FNMT en España, Certinomis o Universign en Francia, ARSS en Italia, PSC nacionales similares en otros países). En la práctica, obtenga un token USB o una tarjeta inteligente del PSC, instale su middleware y la firma se produce a través de ese hardware. El coste es típicamente €50–200/año por firmante más el coste del dispositivo. Casos de uso reales de FEC en el derecho de los Estados miembros: - Transferencias inmobiliarias notariadas (DE BGB §311b — requieren escritura notarial, no solo FEC, pero la FEC forma parte del flujo circundante) - Documentos de constitución de empresas en DE/AT/FR (subconjunto específico de actos) - Ciertos productos financieros regulados y contratos de seguro de vida - Presentaciones judiciales en IT/ES/PT (donde los sistemas judiciales digitales requieren FEC) - Contratos del sector público según el Art. 27 del eIDAS, donde el organismo receptor exige expresamente FEA o FEC

Clozo no emite FEC. Si su contrato específico genuinamente requiere FEC — un notario, una oficina de contratación empresarial o su asesor jurídico se lo indicarán — el patrón recomendado es: use Clozo como la capa de alcance comercial (líneas, condiciones de pago, factura de anticipo, registro de auditoría de la negociación), y que el acto formal se ejecute a través de su PSC nacional usando su dispositivo de firma cualificada. El Contrato de servicios de Clozo y la fila SignatureAudit se sitúan junto a la escritura firmada con FEC como prueba de apoyo de las condiciones comerciales.

Reconocimiento transfronterizo. Según el Art. 25(3), una FEC basada en un certificado cualificado emitido en un Estado miembro es reconocida como FEC en todos los demás Estados miembros. La SES no se beneficia del reconocimiento transfronterizo automático según el Art. 25(3); se basa en el piso de no discriminación del Art. 25(1) más el tratamiento del derecho civil local de la prueba. Para el trabajo freelance B2B transfronterizo, esto es generalmente viable porque las partes pueden elegir su legislación aplicable y fuero (Roma I, Roma II, Bruselas I bis), y el registro de auditoría viaja con la fila SignatureAudit independientemente del tribunal nacional que esté conociendo de la disputa.

Derecho de supresión y retención de 10 años. Las solicitudes de supresión según el Art. 17 del RGPD se respetan dentro de los límites del Art. 17(3)(b) — la retención es exigida para el cumplimiento de una obligación legal (orientación de retención de auditoría de eIDAS, §147 GoBD AO Alemania, Wet OB Art. 52 Países Bajos, CGI Art. L102 B Francia, Codice Civile Art. 2220 Italia, más normas de retención de documentos fiscales en toda la UE). El Contrato de servicios firmado, la fila SignatureAudit y el renderizado original del PDF se almacenan en Cloudflare R2 (región UE) con el indicador legal_hold, que evita la eliminación dentro de la ventana de retención incluso por parte de los administradores de Clozo. Después de 10 años, la retención caduca y los datos pasan a ser eliminables a petición — consulte el artículo 11.4 para ver la tabla de retención por país.