Cadena de custodia para documentos digitales: qué exigen realmente auditores y autoridades fiscales
Las pruebas físicas tienen una cadena de custodia: un registro de cada persona que las manipuló, cuándo y por qué. La cadena demuestra que la evidencia no ha sido manipulada entre su recogida y su presentación. Los tribunales rechazan pruebas físicas sin ella.
Los documentos digitales tienen el mismo problema y, en la mayoría de las jurisdicciones de la UE, el mismo requisito. La pregunta no es si tu documento está almacenado en algún lugar. La pregunta es si puedes demostrar qué le ocurrió entre su creación y hoy.
Qué significa la cadena de custodia para un documento
La cadena de custodia de un documento digital implica poder demostrar:
- El documento fue creado en un momento concreto
- Cada modificación, paso de procesamiento, conversión o transmisión posterior quedó registrada
- Cada paso es atribuible a un actor específico (persona, sistema, servicio)
- No se omitió ni alteró ningún paso a posteriori
- El documento presentado hoy es el mismo que pasó por esos pasos
En un objeto físico, la custodia se establece mediante entregas físicas. En un documento digital, se establece mediante evidencia criptográfica: hashes, marcas de tiempo y entradas de auditoría firmadas.
Qué exigen las autoridades fiscales de la UE
Los requisitos varían según el país, pero comparten una estructura común.
Alemania (GoBD): Los Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern establecen que los documentos archivados electrónicamente deben estar protegidos contra alteraciones, deben ser localizables y el estado original debe poder reconstruirse. La expresión clave es “Unveränderbarkeit” (inmutabilidad): los documentos deben archivarse de modo que los cambios posteriores sean técnicamente imposibles o al menos detectables. Los GoBD también exigen que el propio proceso de archivo quede documentado, lo que significa que la cadena desde el documento original hasta el archivo debe ser trazable.
Francia (DGFiP): La Direction Générale des Finances Publiques exige que las facturas electrónicas se almacenen en su forma original, con la integridad garantizada por medios técnicos. Para las facturas recibidas en formato PDF o híbrido, la garantía de integridad debe cubrir todo el período de conservación (seis años para documentos contables, diez años para contratos).
Países Bajos (Belastingdienst): El requisito es la conservación por siete años con verificabilidad. La guía de la Belastingdienst sobre archivo electrónico indica expresamente que un documento debe poder reproducirse en formato legible y que la integridad del documento debe ser demostrable.
Bélgica: El SPF Finanzas se alinea con la Directiva UE 2006/112/CE: la autenticidad del origen, la integridad del contenido y la legibilidad deben estar garantizadas. Los medios técnicos (EDI, firma electrónica o pista de auditoría) deben estar documentados.
El hilo conductor es claro: archivar el documento no es suficiente. También debes archivar las evidencias de su integridad.
Qué buscan realmente los auditores
Cuando un auditor solicita un documento, generalmente quiere establecer:
- El documento es auténtico (no fabricado a posteriori)
- El documento no ha sido alterado desde que fue creado o recibido
- El documento fue procesado de un modo coherente con tus procedimientos declarados
En las auditorías fiscales, los dos primeros puntos son centrales. En las auditorías de cumplimiento (RGPD, NIS2, sectoriales), el tercero suele ser igualmente importante.
Los auditores no aceptan, en general, respuestas basadas en la confianza. Buscan controles técnicos que hagan detectable la fabricación o la alteración. Los controles que les satisfacen son:
Marcas de tiempo inmutables de un tercero de confianza. Una marca de tiempo generada por ti mismo no es evidencia independiente. Una marca de tiempo de una autoridad de confianza (una TSA cualificada RFC 3161) sí lo es. Consulta cómo funcionan los sellos de tiempo RFC 3161 para entenderlo en la práctica.
Registros de auditoría que no pueden modificarse retroactivamente. Un fichero de registro en tu propio servidor al que solo tú tienes acceso no es evidencia independiente. Una pista de auditoría donde cada entrada está criptográficamente vinculada a la anterior (una cadena de hashes) significa que cualquier modificación en una entrada pasada invalida todas las entradas posteriores. Un auditor puede verificarlo localmente.
Documentación de conformidad de formato. Si afirmas que una factura era conforme con EN16931 en la fecha en que se envió, necesitas el informe de validación de esa fecha, no una validación realizada hoy. El informe debe almacenarse junto al documento.
El mecanismo de la cadena de hashes
Una cadena de hashes implementa una pista de auditoría resistente a manipulaciones. Cada entrada contiene:
- Los datos del evento (qué ocurrió, quién, cuándo)
- El hash del documento en ese momento
- El hash de la entrada anterior
Entry 1: {event: "created", actor: "api:tenant-1", time: "2026-03-01T09:00:00Z",
docHash: "sha256:a3f...", prevHash: "0000...0000"}
entryHash: sha256(Entry 1 data) = "sha256:7c2..."
Entry 2: {event: "validated", actor: "system", time: "2026-03-01T09:00:01Z",
docHash: "sha256:a3f...", prevHash: "sha256:7c2..."}
entryHash: sha256(Entry 2 data) = "sha256:b19..."
Entry 3: {event: "timestamped", actor: "tsa:qualified-eu", time: "2026-03-01T09:00:02Z",
docHash: "sha256:a3f...", prevHash: "sha256:b19..."}
entryHash: sha256(Entry 3 data) = "sha256:f44..."Si alguien altera la Entrada 2 (por ejemplo, para cambiar el actor o la hora), el hash de la Entrada 2 cambia. El prevHash de la Entrada 3 ya no coincide. La cadena queda rota. Un auditor que recalcule la cadena desde la Entrada 1 detectará la inconsistencia.
Este es el mismo principio que usa la cadena de bloques, pero aplicado a pistas de auditoría de documentos sin la sobrecarga de un libro mayor distribuido. La cadena es lineal, determinista y verificable con una implementación de SHA-256.
La brecha entre “almacenado” y “evidenciado”
La mayoría de los sistemas de gestión documental ofrecen almacenamiento con controles de acceso. Algunos proporcionan historial de versiones. Pocos proporcionan evidencia.
La brecha es la siguiente: un sistema en el que solo tú controlas el registro de auditoría no proporciona evidencia independiente de la integridad de dicho registro. Si puedes borrar o editar entradas del registro, un auditor escéptico no puede fiarse del registro.
Los mecanismos que cierran esa brecha son el anclaje externo (un sello de tiempo RFC 3161 cualificado de una TSA que no operas tú), la integridad de la cadena de hashes (para que la modificación del registro sea detectable) y el archivo a nivel de formato (PDF/A-3, para que el documento no se degrade ni se renderice de forma diferente con el tiempo).
Estos son los componentes de un Paquete de Evidencia Legal. El paquete es la unidad de evidencia que presentas cuando un auditor solicita ver un documento.
Períodos de conservación por tipo de documento (panorama UE)
| Tipo de documento | Período de conservación | Jurisdicción clave |
|---|---|---|
| Facturas IVA | 7 años | Alemania (GoBD), Países Bajos |
| Facturas IVA | 10 años | Francia, Bélgica |
| Contratos | 10 años (comerciales) | La mayoría de los estados miembros de la UE |
| Registros laborales | Duración del empleo + 5-10 años | Varía según el país |
| Registros contables | 10 años | La mayoría de los estados miembros de la UE |
| Historiales médicos | 10-30 años | Varía significativamente |
| Contratación pública | 5-10 años tras el cierre del contrato | Directiva UE 2014/24/UE |
El período de conservación comienza en momentos distintos según el tipo de documento y la jurisdicción. Para las facturas, generalmente empieza al final del ejercicio fiscal en el que se emitió la factura, no desde la fecha de la factura.
SealDoc y la cadena de custodia
SealDoc registra una pista de auditoría con cadena de hashes para cada documento que pasa por su flujo de procesamiento. La cadena comienza en la creación del documento, incluye cada paso de procesamiento (validación, conversión, firma, archivo) y se ancla con un sello de tiempo RFC 3161 de una TSA cualificada de la UE.
La pista de auditoría se exporta como parte del Paquete de Evidencia Legal. Cada entrada es verificable por máquina independientemente de los sistemas de SealDoc. Si tu organización conserva documentos durante diez años y SealDoc deja de existir en el año ocho, el paquete de evidencia sigue siendo verificable de forma independiente: la cadena se calcula a partir de los hashes de los documentos, y el sello de tiempo RFC 3161 se verifica con el certificado público de la TSA, que es de dominio público.
Esa independencia es lo fundamental. Una evidencia que depende de que el emisor de la evidencia siga operando no es una evidencia fiable a largo plazo.