1. Qué es una "firma electrónica" en Comply360
Cuando firmás un contrato o boleta desde el portal del trabajador, usamos WebAuthn — el estándar abierto para autenticación biométrica del navegador. En la práctica, tu dispositivo (iPhone, Android, Windows, Mac) valida tu identidad localmente con:
- Touch ID o Face ID en iOS / macOS
- Huella dactilar o desbloqueo facial en Android
- Windows Hello (huella, cara o PIN)
Tus datos biométricos NO salen de tu dispositivo. El sensor valida localmente y le devuelve a Comply360 solo una prueba criptográfica firmada — zero-knowledge desde el servidor.
2. Qué registramos como evidencia
Por cada firma biométrica guardamos en nuestro audit log:
- Identificador único del "credential" WebAuthn usado.
- Timestamp del servidor (fecha y hora UTC).
- Dirección IP desde la que se firmó.
- User-agent (tipo de dispositivo + navegador).
- ID del trabajador firmante y del documento firmado.
- Nivel de firma declarado:
BIOMETRIC,SIMPLE(checkbox) oCERTIFIED(RENIEC — futuro).
3. Validez legal ante la Ley 27269
La Ley N° 27269 (Ley de Firmas y Certificados Digitales) y su reglamento reconocen dos tipos principales:
3.1. Firma digital con certificado (RENIEC / ECA acreditada)
Es la firma con certificado digital emitido por una Entidad de Certificación Acreditada (ECA). Requiere Time Stamping Autorizado (TSA). Tiene valor probatorio pleno equivalente a la firma manuscrita. Es exigida para algunos trámites ante entidades públicas.
Comply360 NO implementa esto todavía. Está en el roadmap de Fase 3 con ECA peruana por confirmar.
3.2. Firma electrónica (no certificada)
Es cualquier mecanismo que permita identificar al firmante + verificar la integridad del documento, con consentimiento documentado del firmante.
Nuestra firma biométrica WebAuthn califica como firma electrónica fuerte: requiere validación biométrica del firmante, genera prueba criptográfica verificable, y registra contexto (IP, dispositivo, timestamp).
4. ¿Qué validez tiene en la práctica?
- Entre las partes (trabajador ↔ empresa): válida y vinculante, asumiendo buena fe y acuerdo. Es equivalente a un acuerdo firmado en papel con testigo digital.
- Conciliación ante el MTPE / TFL de SUNAFIL: aceptada como evidencia razonable, sobre todo si hay audit trail con IP + userAgent + timestamp.
- Juicio laboral hostil: el trabajador podría impugnar alegando que no firmó él. En ese escenario, la empresa tendría que reforzar la prueba (declaración jurada, videos, testigos). Es una firma menos blindada que la certificada RENIEC ante litigio.
- Trámites ante entidades públicas: algunos requieren firma digital certificada (RENIEC). Para esos casos, tenés que imprimir + firmar en papel, o esperar la integración RENIEC en Comply360.
5. Liberación de responsabilidad
Al activar el portal del trabajador en tu empresa, asumís que:
- Tus trabajadores entienden el nivel de firma que están usando (se les muestra disclaimer explícito al firmar).
- Asumís la presunción de portabilidad del dispositivo: si un trabajador firma con su celular, se asume que el celular es suyo o fue usado por él con autorización.
- Para contratos de alto valor o alto riesgo de litigio, considerá complementar con firma manuscrita o firma digital RENIEC.
6. Roadmap
- 2026 Q2-Q3: integración con ECA acreditada peruana para firma digital certificada + Time Stamping Autorizado. Disponibilidad en plan PRO como add-on opcional.
- 2026 Q4: integración con RENIEC para firma digital con certificado biométrico del DNI electrónico.
7. Preguntas frecuentes
¿La huella del trabajador queda guardada en Comply360?
NO. La biometría (huella, rostro, iris) es procesada localmente por el sensor de su dispositivo. Comply360 solo recibe la prueba criptográfica firmada (un hash) + el credential ID. No podemos recuperar ni replicar la huella.
¿Qué pasa si el trabajador pierde el celular?
El credential WebAuthn queda atado al dispositivo perdido. Para firmar nuevos documentos con biometría, el trabajador debe registrar el nuevo dispositivo al primer login. Los documentos ya firmados mantienen su validez.
¿Puede un trabajador impugnar su firma?
Sí, como con cualquier tipo de firma. La defensa de la empresa descansa en el audit trail (IP, dispositivo, timestamp) + la presunción de que el titular del dispositivo es quien firmó. La fuerza probatoria de esta firma es menor que la de RENIEC certificada.