← Back to all articles

¿Qué es un Paquete de Evidencia Legal y qué contiene?

SealDoc Team · · 5 min read

Almacenar un documento no es lo mismo que tener pruebas de que el documento existía.

Si una autoridad fiscal, un tribunal o un organismo regulador solicita demostrar que una factura específica fue enviada en una fecha concreta, que un contrato fue firmado antes de un plazo o que un informe de cumplimiento fue presentado en su forma original sin alterar, producir el documento en sí no es suficiente. Hay que demostrar que el documento es genuino, no ha sido alterado y que su marca de tiempo es de confianza.

Eso es lo que proporciona un Paquete de Evidencia Legal.

Qué es

Un Paquete de Evidencia Legal es un archivo estructurado que combina un documento con las pruebas necesarias para verificarlo. Responde a cuatro preguntas que un documento solo no puede responder:

  1. ¿Existía este documento en este momento?
  2. ¿Ha sido alterado desde entonces?
  3. ¿Quién lo procesó, cuándo y en qué secuencia?
  4. ¿Se ajusta al estándar o formato aplicable?

El paquete agrupa las pruebas de las cuatro preguntas en un único artefacto auditable.

Qué contiene

Un Paquete de Evidencia Legal completo contiene como mínimo:

El documento en sí en un formato de archivo a largo plazo. Para la mayoría de los casos de uso de cumplimiento, esto es PDF/A-3: un PDF de archivo ISO 19005 que incrusta todas las fuentes, perfiles de color y datos estructurados, y garantiza renderizarse de forma idéntica en visores futuros. Un PDF normal no es suficiente porque las referencias a fuentes externas, el JavaScript y los recursos vinculados pueden cambiar o desaparecer.

Un sello de tiempo RFC 3161 vinculado al hash del documento en el momento de la creación. Este sello de tiempo es emitido por una autoridad de sellado de confianza y prueba que el documento existía en su forma exacta en un momento específico. Un sello de tiempo RFC 3161 es el equivalente técnico de un matasellos certificado: es emitido por un tercero, verificable sin conexión y no puede ser movido retroactivamente. Una fecha de modificación del sistema de archivos no es equivalente; puede cambiarse sin dejar rastro.

Una pista de auditoría que registra cada paso de procesamiento que tocó el documento. Cada entrada en la pista de auditoría incluye: el tipo de paso (creado, validado, firmado, archivado), el actor, una marca de tiempo y un hash del estado del documento en ese paso. Las entradas están vinculadas por una cadena de hashes de modo que cualquier manipulación de una sola entrada invalida todas las posteriores.

Un informe de validación que confirma que el documento se ajusta al estándar aplicable en el momento del procesamiento. Para una factura, esto es la validación Schematron EN16931. Para un contrato, puede ser una comprobación de formato y una validación de esquema. El informe se incluye en el paquete como artefacto estructurado, no solo como indicador de aprobado/suspendido.

Un manifiesto con hashes SHA-256 de cada archivo del paquete. Esto permite a un auditor verificar de forma independiente que ningún archivo del paquete ha sido sustituido o alterado desde que se creó el paquete.

Un Pasaporte de Cumplimiento que resume lo anterior en forma legible para máquinas y para humanos. Este es el artefacto que se entrega al auditor: un único archivo que dice “este documento superó estas comprobaciones, fue sellado en este momento y tiene esta cadena de custodia.”

Cuándo se necesita

Los requisitos de auditoría fiscal varían por país, pero el patrón es coherente en toda la UE: el documento debe conservarse en una forma que pruebe la integridad y permita la verificación. En Alemania, el GoBD exige que los documentos electrónicos se archiven de manera que se evite la alteración posterior y se permita la reconstrucción del estado original. En Francia, la DGFiP requiere garantías similares. En los Países Bajos, la Belastingdienst espera que las facturas se archiven durante siete años en una forma verificable.

Los procedimientos judiciales tienen requisitos similares. Si una disputa contractual llega a litigación, la pregunta “¿existía este contrato en esta forma en esta fecha?” se responde con pruebas, no con el contenido del servidor de archivos.

Las inspecciones regulatorias (NIS2, GDPR, sectoriales: sanidad, finanzas, seguros) exigen cada vez más pruebas del proceso, no solo de los resultados. Un paquete de evidencia proporciona ambas.

Qué no proporciona un documento solo

Un PDF en una carpeta de un servidor de archivos no dice nada sobre:

  • Si el PDF existía antes de hoy
  • Si ha sido modificado desde su creación
  • Qué procesamiento pasó antes de ser almacenado
  • Si se ajusta a algún estándar aplicable

Todas esas cosas requieren pruebas externas. Un sello de tiempo RFC 3161 establece cuándo. Una cadena de hashes establece qué secuencia de eventos ocurrió. Un informe de validación establece la conformidad. El manifiesto establece que nada de lo anterior ha sido manipulado.

Sin el paquete, se tiene un documento. Con el paquete, se tiene una prueba.

La diferencia entre archivar y tener evidencia

La mayoría de los sistemas de gestión documental proporcionan archivo: el documento se almacena en un lugar que no es fácilmente modificable. El archivo resuelve el problema del acceso y la retención.

La evidencia es diferente. Evidencia significa que la existencia, la forma y la procedencia del documento pueden ser verificadas por una parte que no participó en su creación, usando información que no puede ser manipulada por el custodio original.

Un hash sellado por una autoridad tercera cumple ese requisito. Un archivo almacenado en el propio servidor, con los propios registros de copia de seguridad y las propias políticas de retención, no. Esta no es una distinción teórica. Es la pregunta que hará un auditor.

SealDoc genera un Paquete de Evidencia Legal como salida estructurada para cada documento que procesa. El paquete es un único archivo ZIP que contiene el documento PDF/A-3, el token de sello de tiempo RFC 3161, la pista de auditoría con cadena de hashes, el informe de validación y el manifiesto. Cada componente es verificable por máquina sin contactar a SealDoc: el sello de tiempo puede verificarse contra el certificado público de la autoridad emisora, los hashes pueden recalcularse a partir de los archivos del paquete y la cadena de la pista de auditoría puede validarse localmente.

Si la organización necesita demostrar la integridad del documento a un auditor, regulador o tribunal, el paquete de evidencia es el artefacto que se produce. No requiere ninguna preparación adicional porque la evidencia fue capturada en el momento del procesamiento.

← Back to all articles