Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI
logo-audidat-2024.png
TU PRIMERA CONSULTA LEGAL
CONTACTO
TU PRIMERA CONSULTA LEGAL
CONTACTO
Picture of Manolo Perezagua Naharro

Manolo Perezagua Naharro

- Licenciado en Derecho. - Dieciocho años de experiencia en el ámbito de la protección de datos personales. - Director Técnico-Jurídico de la Red de Consultoría Audidat, empresa con presencia en todo el territorio nacional especializada en servicios de consultoría, auditoría, formación y control en el ámbito de la normativa de protección de datos personales. - Curso de especialización en Ciberseguridad: Certified Cyber Security Professional, organizado por el Cyber Security Center (CSC). - Master in Business Administration Executive (MBA Executive) por la Escuela de Negocios de la Confederación de Empresarios de Albacete (FEDA) y Fundesem Business School. - Formación en sistemas de gestión de Compliance (UNE-ISO 19600:2015), impartidos por entidades de reconocido prestigio como AENORy Wolters Kluwer. - Formación en materia de Esquema Nacional de Seguridad, incluyendo los principios en que se sustenta, los requisitos mínimos de seguridad y la correspondiente auditoría e informe del estado de seguridad. - Especializado en la gestión de procedimientos ante la Agencia Española de Protección de Datos, habiendo ejercido también la abogacía con Número de Colegiación 2192 del Ilustre Colegio de la Abogacía de Albacete. - Amplia experiencia como conferenciante y formador en materia de privacidad y protección de datos de carácter personal, habiendo impartido múltiples cursos, seminarios y ponencias en el ámbito de su especialidad.
Nueva obligatoriedad para empresas de menos de 50 empleados

Actualización Ley Orgánica 2/2024: Nueva obligatoriedad para empresas de menos de 50 empleados

junio 10, 2025 No hay comentarios

La actualización de la Ley Orgánica 2/2024 ha introducido una nueva obligatoriedad que afecta a las empresas con menos de 50 empleados, un cambio que muchos aún no han percibido. Si eres responsable de una empresa o diriges un equipo, este artículo es para ti. ¿Sabías que ahora, además de las grandes compañías, las pequeñas también están obligadas a cumplir con nuevas normativas de igualdad? Ignorar este detalle podría tener graves consecuencias para tu negocio. Muchas empresas creen que ya cumplen con la normativa, pero el riesgo de estar equivocado es mayor de lo que parece. En muchos casos, el cumplimiento de las normativas laborales relacionadas con la igualdad de género y la no discriminación es visto como una tarea sencilla, algo que se deja para más adelante. Sin embargo, con la entrada en vigor de esta nueva obligatoriedad derivada de la Ley Orgánica 2/2024, los riesgos de inacción son enormes. Este cambio puede resultar confuso, ya que, aunque la ley ya había sido previamente establecida para empresas de mayor tamaño, con la actualización se amplía el rango de compañías afectadas. Si aún no has implementado un Plan de Igualdad en tu empresa, puede que pienses que no es necesario. Lo que muchos no ven es que las sanciones por no cumplir pueden ser severas, y los beneficios de cumplir van más allá de evitar multas. ¿Qué implica la actualización de la ley? Con la actualización de la Ley Orgánica 2/2024, las empresas con menos de 50 trabajadores ahora también deben cumplir con la normativa que exige tener un Plan de Igualdad. Este plan debe estar documentado y en vigor, y tiene como objetivo garantizar la igualdad de oportunidades y de trato entre mujeres y hombres en el ámbito laboral. La medida no solo busca evitar la discriminación directa, sino también erradicar cualquier forma de trato desigual, directo o indirecto, que pueda surgir. El Plan de Igualdad no es solo una formalidad administrativa; es una herramienta vital para la organización y para los empleados. Este debe incluir, entre otras cosas: Auditorías salariales para asegurar que no hay brechas de género. Políticas claras de acoso y hostigamiento laboral. Medidas específicas para promover la conciliación de la vida laboral y familiar. Procedimientos para garantizar la igualdad de oportunidades en la promoción y la selección. ¿Estás seguro de que tu empresa ya tiene implementado un Plan de Igualdad que cumpla con la normativa vigente? Muchos pequeños empresarios creen que pueden sortear esta nueva obligación, pero el riesgo de que la inspección de trabajo detecte la falta de cumplimiento es real y muy costoso. Los dolores invisibles de no cumplir Los errores más comunes que se cometen con esta nueva obligatoriedad incluyen: No tener un Plan de Igualdad formalizado: Puede que creas que lo tienes todo bajo control, pero si no está documentado correctamente, no estarías cumpliendo la ley. Falsa sensación de cumplimiento: A menudo, las pequeñas empresas implementan medidas superficiales sin un verdadero compromiso con la igualdad de género. Desinformación: Con tantos cambios normativos, es fácil pasar por alto detalles clave como las nuevas obligaciones para las empresas de menos de 50 empleados. Los costes ocultos de no actuar ahora son más altos que nunca. Además de las sanciones económicas, puedes enfrentarte a una mala imagen corporativa si los clientes o colaboradores descubren que no estás comprometido con la igualdad. Esto es algo que, hoy en día, muchas empresas valoran más que nunca. No cumplir con la ley no solo es un riesgo legal, sino también reputacional.   ¿Cómo evita Audidat estos riesgos? Si aún no has dado el paso hacia la implementación de un Plan de Igualdad en tu empresa, Audidat ofrece el servicio adecuado para asegurar que cumples con la nueva Ley Orgánica 2/2024. A través de nuestro Plan de Igualdad, te ayudamos a detectar áreas de mejora, establecer las políticas necesarias y mantenerte actualizado con las normativas más recientes, evitando los riesgos asociados con el incumplimiento. Te asesoramos y acompañamos en el proceso de forma personalizada, adaptada a las necesidades y características de tu empresa. Implementar un Plan de Igualdad no solo es cumplir con la ley, es proteger el futuro de tu empresa y fomentar un ambiente laboral inclusivo y justo. Si todavía no has iniciado el proceso de implementación, puede que la inacción tarde o temprano te pase factura. Evita que tu empresa se vea afectada por un incumplimiento que puede ser fácilmente solucionado con el acompañamiento adecuado. ¿Estás seguro de que tu empresa cumple con la nueva ley? Recuerda que el Plan de Igualdad es ahora obligatorio para empresas de menos de 50 empleados, y sus beneficios son incuestionables. Si aún no has tomado acción, evalúa tu caso con nuestros consultores, que te acompañarán durante todo el proceso sin compromiso. Con nuestro servicio de Plan de Igualdad, serás capaz de garantizar no solo el cumplimiento de la normativa, sino también un entorno laboral más justo y equilibrado. Visítanos en nuestro Plan de Igualdad para obtener más detalles. Preguntas frecuentes ¿Cuáles son las sanciones si no cumplo con la nueva obligatoriedad? Si no implementas un Plan de Igualdad, tu empresa puede enfrentarse a multas económicas, además de posibles consecuencias reputacionales que podrían afectar la relación con clientes y empleados. ¿Qué debe incluir un Plan de Igualdad? Debe incluir una auditoría salarial, medidas contra el acoso laboral, acciones para promover la igualdad de oportunidades en el acceso y la promoción laboral, y políticas de conciliación. ¿Quiénes están obligados a implementar el Plan de Igualdad? La nueva normativa obliga a todas las empresas, independientemente de su tamaño, que cuenten con menos de 50 empleados a implementar un Plan de Igualdad. ¿Por qué debería priorizar la implementación del Plan de Igualdad? Cumplir con la normativa evita sanciones legales, pero lo más importante es que mejora el ambiente laboral y la percepción de tu empresa frente a tus empleados y clientes.

Leer más »
Proteger datos sensibles en ensayos clínicos frente a ciberataques

Ciberseguridad global: amenazas, normativas europeas e impacto de la IA en 2025

junio 9, 2025 No hay comentarios

España vuelve a situarse como uno de los países más atacados del mundo, con un incremento del 64% en los ciberataques durante 2024. La Unión Europea impulsa nuevas normativas como NIS2, DORA, RIA y CRA para reforzar la ciberresiliencia. El ransomware se consolida como una amenaza clave, cada vez más accesible y sofisticada. La inteligencia artificial, cada vez más usada por las organizaciones, plantea nuevos retos legales y operativos en ciberseguridad. Ciberseguridad: una prioridad estratégica global La ciberseguridad se ha convertido en un elemento crítico en la agenda de gobiernos, instituciones y empresas ante el auge del cibercrimen. Se estima que el coste global de este fenómeno ya ronda el 1,5% del PIB mundial, superando al de otras actividades delictivas tradicionales. En este contexto, las organizaciones deben afrontar una doble exigencia: protegerse frente a ataques cada vez más complejos y cumplir con un marco normativo en constante evolución. España, concretamente, ha recuperado el segundo puesto en el ranking de países más atacados del mundo, lo que subraya la necesidad urgente de adoptar estrategias sólidas de ciberresiliencia. El ransomware y la profesionalización del crimen digital Durante 2024, los incidentes cibernéticos aumentaron un 64% respecto al año anterior, con el ransomware como una de las principales amenazas. El ecosistema del cibercrimen se ha profesionalizado: existen plataformas de reputación para malware, servicios de soporte técnico para ciberdelincuentes y herramientas de tipo “hazlo tú mismo” que permiten a casi cualquier usuario ejecutar un ataque. Este nivel de accesibilidad convierte al ransomware en una amenaza escalable, rentable y anónima, lo que dificulta su contención. Además, sectores críticos como la administración pública, la industria o la sanidad siguen siendo los principales objetivos, aunque el contexto geopolítico actual amplía el riesgo a cualquier entidad con operaciones sensibles. Europa refuerza el marco normativo Ante la creciente amenaza, la Unión Europea ha diseñado un conjunto de regulaciones para mejorar la seguridad digital y operativa. Entre ellas, destacan: NIS2 Requiere a las organizaciones de sectores esenciales —como salud, energía, transporte o TIC— establecer medidas técnicas, organizativas y jurídicas para la gestión del riesgo. Su incumplimiento puede derivar en consecuencias legales y económicas importantes. DORA El Reglamento de Resiliencia Operativa Digital establece obligaciones para el sector financiero y tecnológico con el fin de garantizar la continuidad y seguridad de sus servicios digitales. RIA El Reglamento de Inteligencia Artificial impone la necesidad de certificar que los modelos y sistemas de IA no vulneren las prohibiciones establecidas por la UE. Las organizaciones deben auditar su uso de IA y definir políticas claras de control. CRA El Reglamento de Ciberresiliencia busca asegurar que los productos digitales sean seguros desde su diseño y durante todo su ciclo de vida, responsabilizando a los fabricantes por vulnerabilidades no resueltas. IA y ciberseguridad: una combinación con doble filo Más del 55% de las organizaciones en España ya utiliza inteligencia artificial generativa, aunque más del 30% no dispone aún de políticas específicas para su uso. Esta brecha genera riesgos significativos, ya que los sistemas de IA pueden ser explotados si no están adecuadamente controlados. Además, la IA no solo se emplea para defender, sino también para atacar. Por ello, las organizaciones deben ser conscientes de cómo, por qué y para qué se utiliza esta tecnología en sus estructuras, y establecer controles adecuados para garantizar el cumplimiento normativo y la protección de sus activos digitales. Adaptación normativa y tecnológica frente al nuevo ciberescenario Las amenazas cibernéticas seguirán evolucionando, pero también lo hacen las herramientas y regulaciones para combatirlas. El reto para las organizaciones no solo radica en adaptarse a una tecnología en transformación, sino también en integrar la ciberseguridad como un eje central de su estrategia operativa y legal. Solo así podrán reforzar su resiliencia y minimizar los riesgos de un entorno cada vez más digitalizado y vulnerable.

Leer más »
Ciberseguridad, inteligencia artificial y soberanía digital: claves del futuro en Catalunya

Ciberseguridad, inteligencia artificial y soberanía digital: claves del futuro en Catalunya

junio 9, 2025 No hay comentarios

Minsait Cyber reúne a expertos en una jornada estratégica sobre IA, ciberseguridad y soberanía digital en Catalunya. La inteligencia artificial se presenta como aliada y amenaza, requiriendo un uso ético y controlado. La protección de infraestructuras críticas y la gobernanza de datos centran el debate entre instituciones y sector privado. Catalunya destaca como polo de crecimiento en ciberseguridad, pero se requiere más alineación entre actores clave. Ciberseguridad y digitalización: un reto compartido en plena aceleración tecnológica La creciente digitalización de la economía catalana ha venido acompañada de un aumento significativo de los riesgos cibernéticos. Los ataques informáticos son cada vez más complejos y, en muchos casos, impulsados por inteligencia artificial. Este nuevo escenario convierte a la ciberseguridad en una prioridad estratégica, tanto para el sector público como para el privado. En este contexto, Minsait Cyber (Indra Group) organizó una jornada en Barcelona titulada «Ciberseguridad más allá de la protección: una ventaja competitiva para el crecimiento de las organizaciones», que congregó a especialistas de diversos sectores para debatir sobre los desafíos actuales y futuros de la protección digital. Ciberseguridad: de la protección al valor competitivo El evento fue inaugurado por el CEO de Minsait Cyber, Roberto Espina, quien subrayó que invertir en ciberseguridad no solo reduce el riesgo, sino que fortalece la reputación y la resiliencia de las organizaciones. Le siguió Laura Caballero, directora de la Agència de Ciberseguretat de Catalunya, que apeló a la responsabilidad colectiva frente a la revolución digital. Caballero destacó un crecimiento del 15% en incidentes cibernéticos durante 2024 y advirtió sobre el potencial ambivalente de la IA: herramienta de defensa, pero también de ataque. Blindaje inteligente: cómo proteger la IA y cómo protegerse con IA La primera mesa redonda abordó el uso de la inteligencia artificial en ciberseguridad y contó con representantes del Ajuntament de Barcelona, la UOC y GBFoods. Se discutió sobre la necesidad de gobernar el uso de la IA en entornos operativos, educativos y empresariales. Los ponentes coincidieron en que la IA es una herramienta poderosa para detectar amenazas, pero subrayaron que el factor humano sigue siendo esencial para su implementación efectiva y segura.   Seguridad en entornos críticos e infraestructuras OT La segunda mesa se centró en los sistemas operacionales (OT) y su protección frente a amenazas. Expertos de dsm-firmenich, Aigua Ter-Llobregat y Hyperion compartieron sus experiencias. Se destacó que no existe una solución única, y que cada empresa necesita un enfoque adaptado a su madurez digital. También se enfatizó la importancia de la implicación de la dirección, la normalización del lenguaje en seguridad y la realización de auditorías regulares. Ciberseguridad y soberanía digital: un desafío estratégico La última mesa redonda puso el foco en la soberanía digital como condición esencial para garantizar servicios públicos resilientes. Intervinieron expertos del CTTI, AOC, ESA e i2CAT. Coincidieron en que la IA y la ciberseguridad ya forman parte de las infraestructuras críticas del país. Además, se subrayó la necesidad de desarrollar capacidades tecnológicas propias, como centros de datos y modelos de IA europeos, para evitar la dependencia de terceros. Desde el ámbito institucional hasta la investigación y el sector privado, todos los ponentes señalaron que Catalunya tiene un gran potencial para liderar en ciberseguridad, pero requiere una colaboración más estrecha y estratégica entre todos los actores implicados.

Leer más »
Cultura de ciberseguridad: claves prácticas para proteger tu empresa

Cultura de ciberseguridad: claves prácticas para proteger tu empresa

junio 9, 2025 No hay comentarios

La falta de concienciación convierte a los empleados en uno de los principales riesgos en ciberseguridad. Implementar programas de formación continua puede reducir los ataques en hasta un 70%. Las pymes enfrentan además una grave escasez de talento especializado en ciberseguridad. La dirección debe liderar con el ejemplo para consolidar una verdadera cultura de seguridad digital. El factor humano: el mayor riesgo cibernético para las pymes Uno de los principales desafíos en ciberseguridad para las pequeñas y medianas empresas no es únicamente la escasa inversión tecnológica, sino el desconocimiento generalizado sobre los riesgos digitales. Sin una adecuada cultura de ciberseguridad, los empleados pueden convertirse —involuntariamente— en la mayor amenaza para la organización. Un simple clic en un correo electrónico malicioso puede desencadenar un ataque con graves consecuencias para toda la infraestructura digital. Por ello, la formación y la concienciación se posicionan como herramientas clave. Según datos recientes, los programas de capacitación adecuados permiten reducir los incidentes de ciberseguridad en un 70%. 6 claves para construir una cultura de ciberseguridad eficaz Formación continua en ciberseguridad Establecer planes de formación periódicos garantiza que el personal esté actualizado frente a las amenazas más recientes y conozca las buenas prácticas de protección digital. Aplicación de la filosofía ‘Zero Trust’ Adoptar una postura de desconfianza por defecto obliga a verificar siempre la autenticidad de las solicitudes, especialmente si son inesperadas o sospechosas. Comunicación abierta sobre incidentes Fomentar un entorno donde los empleados puedan reportar posibles errores o amenazas sin temor a represalias contribuye a una respuesta rápida y efectiva. Políticas claras de seguridad Es fundamental establecer normas específicas sobre el uso de sistemas y la gestión de información sensible. Todos los empleados deben conocerlas y aplicarlas en su día a día. Simulacros de ataques Realizar pruebas periódicas, como simulaciones de phishing, permite evaluar el nivel de preparación de la plantilla y mejorar su capacidad de respuesta ante incidentes reales. Liderazgo desde la dirección La alta dirección debe liderar con el ejemplo, participando activamente en las iniciativas de seguridad y demostrando un compromiso firme con la protección de los activos digitales. Escasez de talento: un problema estructural Más allá de la concienciación, las pymes enfrentan un problema estructural: la falta de profesionales en ciberseguridad. Mientras las grandes compañías pueden contar con equipos especializados, la mayoría de pequeñas empresas carecen de personal capacitado en este ámbito. Europa necesita actualmente unos 350.000 expertos en ciberseguridad, una demanda que está muy lejos de ser cubierta. En el caso de las pymes, muchas ni siquiera disponen de un departamento IT propio y dependen de empleados que asumen funciones múltiples sin formación específica. Además, la alta rotación de personal en el sector tecnológico dificulta la continuidad de las estrategias de seguridad. La pérdida frecuente de los empleados más cualificados impide construir una defensa sostenible, obligando a empezar de cero cada pocos meses. Conclusión: compromiso colectivo para una protección real Construir una cultura de ciberseguridad sólida es una tarea que involucra a toda la organización, pero debe comenzar desde la dirección. Solo con compromiso, formación y estructuras claras, las empresas —especialmente las pymes— podrán hacer frente al creciente riesgo digital.

Leer más »
Ciberseguridad evolutiva: clave para proteger entornos híbridos y multicloud

Ciberseguridad evolutiva: clave para proteger entornos híbridos y multicloud

junio 9, 2025 No hay comentarios

La ciberseguridad evolutiva propone un enfoque dinámico frente a infraestructuras digitales complejas. Se basa en tecnologías como la inteligencia artificial y la automatización para prevenir y responder a ciberataques. La visibilidad unificada, el modelo Zero Trust y la formación del personal son pilares fundamentales. Adoptar este enfoque supone un cambio cultural y estratégico en la protección de los entornos híbridos y multicloud. Adaptarse al nuevo paradigma digital El aumento de infraestructuras híbridas y multicloud ha transformado el panorama tecnológico de las organizaciones, ofreciendo mayor flexibilidad y escalabilidad, pero también incrementando los vectores de ataque. En este contexto, la ciberseguridad evolutiva surge como una respuesta estratégica ante un entorno en constante transformación. Este nuevo enfoque supera el concepto tradicional de defensa perimetral. Se trata de una estrategia integral que promueve la resiliencia digital mediante la anticipación de riesgos, la automatización de respuestas y la evolución continua de las defensas. Todo ello impulsado por la inteligencia artificial, la automatización y una fuerte cultura de concienciación dentro de las organizaciones. Componentes clave de la ciberseguridad evolutiva Evaluación continua de riesgos Las amenazas cambian constantemente, por lo que es esencial establecer mecanismos de evaluación permanente para detectar nuevas vulnerabilidades. Esta monitorización proactiva permite una toma de decisiones ágil y basada en datos reales. Visibilidad total en entornos híbridos y multicloud La dispersión de sistemas entre servidores locales y nubes públicas o privadas exige una visión unificada de toda la infraestructura. Contar con plataformas de monitorización integral ayuda a identificar riesgos y mantener el control sobre los activos digitales. Automatización de respuestas ante incidentes Minimizar el impacto de un ataque requiere respuestas inmediatas. Por ello, la automatización basada en IA permite ejecutar acciones como el aislamiento de dispositivos o el bloqueo de accesos en milisegundos, reduciendo significativamente el daño potencial. Modelo Zero Trust Este enfoque elimina la confianza implícita dentro de la red. Cada intento de acceso debe ser verificado, sin importar su procedencia. Con ello, se reducen las posibilidades de acceso no autorizado, incluso desde el interior de la organización. IA y machine learning para la detección proactiva Gracias al análisis de grandes volúmenes de datos, estas tecnologías identifican comportamientos anómalos que podrían indicar un ataque. Su capacidad predictiva es esencial en entornos distribuidos y complejos. Segmentación y microsegmentación de redes Dividir la red en secciones controladas impide que una brecha se propague. La microsegmentación añade un nivel de control más granular, aplicando reglas específicas para cada segmento. Gestión proactiva de vulnerabilidades No basta con reaccionar; es crucial anticiparse. Herramientas de escaneo detectan puntos débiles y los clasifican según su nivel de riesgo, priorizando su resolución antes de que puedan ser explotados. Cifrado de datos en tránsito y en reposo El uso del cifrado garantiza que los datos, tanto almacenados como transmitidos, permanezcan inaccesibles incluso si son interceptados. Es una barrera fundamental para proteger la información sensible. Autenticación multifactor y gestión de identidades La implementación de autenticación multifactor (MFA) añade capas de verificación en el acceso a sistemas. Junto a una gestión precisa de identidades y privilegios, refuerza significativamente la seguridad. Formación y concienciación continua La tecnología sola no basta. Es imprescindible formar al personal para que identifique amenazas y actúe con responsabilidad. Simulacros, campañas y formación periódica consolidan una primera línea de defensa eficaz. Una mentalidad estratégica para el futuro Frente a un modelo defensivo tradicional, la ciberseguridad evolutiva representa un cambio de paradigma. Permite no solo reaccionar, sino adelantarse a los riesgos, construyendo una cultura de seguridad adaptativa. En un entorno donde las amenazas digitales son cada vez más sofisticadas, prepararse proactivamente es una necesidad crítica para la supervivencia organizacional.

Leer más »
Los 10 errores más comunes al diseñar un Plan de Igualdad

Los 10 errores más comunes al diseñar un Plan de Igualdad

junio 9, 2025 No hay comentarios

Puede que ya hayas implementado un Plan de Igualdad en tu empresa. O estés en pleno proceso. Pero… ¿estás seguro de que no estás cometiendo alguno de los errores que más sanciones, conflictos o nulidades generan? Diseñar un plan no es solo una obligación legal: es una trampa si se hace mal. Y lo que muchos ignoran es que el incumplimiento parcial también se sanciona. Hemos analizado cientos de planes y, en demasiados casos, detectamos los mismos fallos. Algunos son técnicos. Otros, profundamente estratégicos. Pero todos comparten algo: ponen en riesgo a la empresa, aunque haya voluntad de cumplir. Y lo peor es que, muchas veces, se arrastran desde el inicio. Un enfoque experto y operativo como el que define nuestro Plan de Igualdad puede evitar consecuencias costosas. 1. Copiar y pegar modelos genéricos Este error lo hemos visto decenas de veces. Plantillas estándar descargadas de internet, sin personalizar, que no reflejan la realidad de la empresa. El resultado: planes irrelevantes que no superan inspecciones ni aportan valor interno. 2. No realizar un diagnóstico riguroso El diagnóstico es el corazón del plan. Si está mal hecho o incompleto, todo lo que venga después será papel mojado. Es donde más se fallan en las pymes. 3. Ignorar la brecha salarial real Puede que pienses que no existe brecha porque los salarios base son iguales. Pero los complementos, pluses y variables suelen esconder desigualdades invisibles, que deben analizarse y corregirse. 4. No negociar con la representación legal de los trabajadores Es obligatorio. Y saltarse este paso, aunque sea por desconocimiento, invalida todo el proceso. Incluso si se publica el plan, puede ser impugnado y sancionado. 5. Confundir acciones con objetivos Un error técnico común: plantear acciones como si fueran fines. Un plan serio debe tener indicadores claros, medibles y auditables, no intenciones vagas. 6. Dejar fuera a parte de la plantilla No incluir a todos los centros de trabajo o tipos de contrato es una irregularidad que invalida el plan. No importa si hay pocos empleados en un área: todos cuentan. 7. No registrar el plan en REGCON El registro es obligatorio. Y no sirve hacerlo fuera de plazo o con errores formales. Además, si el plan no está registrado, la empresa no puede contratar con la Administración Pública. 8. No actualizar el plan cada 4 años El Plan de Igualdad no es un documento perpetuo. Debe revisarse y renovarse conforme a ley. Si no lo haces, estás incumpliendo, aunque lo tengas en vigor. 9. Delegar todo en un asesor sin supervisión interna No basta con contratar a un consultor. La empresa debe implicarse activamente. Si no hay una comisión negociadora real ni seguimiento interno, el plan pierde legitimidad. 10. Pensar que es solo un trámite Este es el error más profundo: ver el Plan de Igualdad como una obligación administrativa más. Cuando en realidad es una herramienta de gestión estratégica, reputacional y de cumplimiento legal. ¿Te suena alguno de estos fallos? ¿Estás seguro de que tu empresa no los comete? Muchas compañías creen que ya cumplen, pero se enfrentan a sanciones de hasta 225.000 euros por errores que podrían haberse evitado. A través de nuestro enfoque experto en Plan de Igualdad, auditamos el estado actual, corregimos desviaciones y garantizamos un cumplimiento real, no aparente. ¿Y si no revisas tu plan? Seguir adelante con un plan mal diseñado no solo te expone legalmente: también erosiona la credibilidad interna, genera conflictos con la plantilla y deja a tu empresa fuera de oportunidades públicas. En Audidat te ayudamos a diagnosticar con precisión, rediseñar con criterio y cumplir con rigor y estrategia, no solo por obligación. Evaluamos tu caso, te guiamos paso a paso, y te acompañamos sin compromiso para que el Plan de Igualdad sea un activo, no un riesgo. Consulta todos los detalles de nuestro servicio de Plan de Igualdad. Preguntas frecuentes sobre el diseño del Plan de Igualdad ¿Cuándo es obligatorio tener un Plan de Igualdad? Es obligatorio para empresas de más de 50 personas trabajadoras, y también para aquellas que lo tengan exigido por convenio o sanción. ¿Qué pasa si no se registra el plan en REGCON? El plan se considera no vigente. Esto puede implicar sanciones y la imposibilidad de contratar con la Administración. ¿Quién debe formar parte de la comisión negociadora? Representantes de la empresa y de la parte social (sindicatos o RLT). Su constitución es obligatoria para la validez del plan. ¿Cómo se demuestra que el plan se aplica? Mediante indicadores de seguimiento, evidencias documentales y revisiones periódicas. Sin ello, el plan pierde eficacia legal.

Leer más »
Plantilla de código ético adaptado al compliance corporativo

Plantilla de código ético adaptado al compliance corporativo

junio 9, 2025 No hay comentarios

¿Tu código ético dice mucho… pero hace poco? Puede que lo tengas redactado, colgado en la intranet y hasta firmado por los empleados. Pero si no está alineado con un sistema de compliance corporativo real, no protege a tu empresa, ni a ti. La mayoría cree que tener una plantilla genérica basta, pero eso no aguanta una inspección ni un procedimiento sancionador. Desde el primer párrafo, lo vemos claro en decenas de compañías: códigos éticos que suenan bien, pero no funcionan. Textos que hablan de integridad, responsabilidad o respeto, pero que no delimitan ni un solo canal, ni establecen mecanismos concretos de seguimiento. Si este es tu caso, y tu plantilla no está adaptada al contexto normativo actual, es urgente revisar. Desde el enfoque de Compliance, un código ético no es un documento decorativo: es una pieza clave de prevención penal y reputacional. ¿Estás seguro de que tu código ético cumple su función real? Uno de los errores más frecuentes que detectamos es el uso de plantillas estándar sin adaptar al sector, al mapa de riesgos ni al modelo de negocio. ¿Resultado? Un código desconectado de la realidad operativa que no sirve como prueba de diligencia debida si algo falla. Y cuando ocurre un incidente (denuncia interna, auditoría, investigación), el primer documento que se pone sobre la mesa es ese. Lo que muchos no ven es que un mal código ético puede ser incluso contraproducente. Si declara compromisos que no se cumplen, o si omite aspectos clave como canales de denuncia, principios de actuación frente a sobornos o medidas disciplinarias, puede volverse en tu contra. Además, el artículo 31 bis del Código Penal y la normativa de canales de denuncia obligan a que el programa de cumplimiento —y por tanto el código ético— sea eficaz, probado y vivo. No basta con buenas intenciones escritas. Debe poder demostrarse que se aplica, revisa y mejora. ¿Qué consecuencias tiene mantener una plantilla obsoleta? Falsa sensación de cumplimiento: Crees estar cubierto, pero no lo estás. Falta de defensa jurídica en caso de delito corporativo. Desconfianza interna: Un código que no se aplica erosiona la cultura corporativa. Sanciones administrativas o penales por incumplimiento normativo. Daños reputacionales graves, incluso si el incidente no prospera judicialmente. Este error lo hemos visto decenas de veces: empresas que han copiado una plantilla de internet, o que encargaron un documento a medida hace años pero nunca lo han actualizado ni integrado en su sistema real de control interno. Esas plantillas hoy no solo están desfasadas: pueden ser la grieta por donde empiece la caída. Revisar y adaptar tu código ético desde un enfoque real de Compliance no es opcional. Es una decisión estratégica que puede marcar la diferencia entre estar preparados o completamente expuestos. ¿Qué pasa si no haces nada? Si sigues usando una plantilla desactualizada, es probable que estés cumpliendo solo “de cara a la galería”. Pero los reguladores, los auditores y, sobre todo, los riesgos reales no se guían por apariencias. En Audidat, evaluamos tu situación actual, identificamos brechas y te ayudamos a diseñar un código ético vivo, operativo y perfectamente alineado con tu modelo de compliance. Hablamos, te escuchamos, y sin compromiso, analizamos si tu empresa está donde cree estar. Si no, lo corregimos contigo. Consulta el detalle de nuestro enfoque en el servicio de Compliance. Preguntas frecuentes sobre el código ético en compliance ¿Una plantilla genérica puede servir para todas las empresas? No. Un código ético debe adaptarse al sector, tamaño, estructura y riesgos específicos de cada empresa. Las plantillas genéricas no suelen cumplir con los requisitos normativos actuales. ¿Cada cuánto tiempo se debe revisar el código ético? Como parte del sistema de compliance, debe revisarse al menos una vez al año o cuando se produzcan cambios significativos en la estructura o actividad de la empresa. ¿Es obligatorio incluir un canal de denuncias? Sí. La legislación vigente exige un canal interno seguro y accesible, vinculado al código ético y a las políticas de cumplimiento. ¿Puede un código ético prevenir responsabilidades penales? Si está bien diseñado, aplicado y documentado, sí. Forma parte del modelo de prevención de delitos exigido para eximir o atenuar la responsabilidad penal de la persona jurídica.

Leer más »
Formación obligatoria en ciberseguridad según NIS2: a quién y cómo

Formación obligatoria en ciberseguridad según NIS2: a quién y cómo

junio 9, 2025 No hay comentarios

La nueva Directiva NIS2 (Directiva (UE) 2022/2555), aplicable desde octubre de 2024, establece un conjunto de exigencias reforzadas en materia de ciberseguridad corporativa, entre las que destaca la formación obligatoria del personal como medida clave de prevención. Esta no es una recomendación general ni una acción puntual, sino una obligación legal que afecta directamente a las organizaciones consideradas entidades esenciales o importantes dentro del marco NIS2. La formación en ciberseguridad no solo debe existir: debe diseñarse, ejecutarse, registrarse y evaluarse de forma documentada, con una estructura adaptada al perfil de cada puesto y con una periodicidad coherente con los riesgos reales de la organización. En este artículo te contamos cómo cumplir con esta exigencia normativa, a quién va dirigida, qué contenidos mínimos debe incluir y cómo implantarla de forma eficaz y verificable, de acuerdo con las obligaciones establecidas en el servicio de NSI2. ¿Por qué es obligatoria la formación según la NIS2? La Directiva NIS2 reconoce que el factor humano es uno de los principales vectores de riesgo en ciberseguridad. Por ello, obliga a las entidades bajo su ámbito a garantizar que: Todo el personal tenga un nivel adecuado de concienciación y formación. Los miembros de la alta dirección comprendan sus responsabilidades y los riesgos asociados. Se disponga de un plan formativo documentado y actualizado, con cobertura suficiente y trazabilidad verificable. El artículo 21 de la directiva establece expresamente que las entidades deben adoptar medidas para formar y capacitar a su personal en materia de ciberseguridad, así como asegurar la actualización regular de dichos conocimientos. ¿A qué organizaciones afecta esta obligación? La NIS2 aplica a entidades públicas y privadas de sectores estratégicos, clasificadas como: Entidades esenciales: energía, transporte, salud, agua potable, infraestructuras digitales, banca, administración pública, etc. Entidades importantes: servicios TIC, proveedores digitales, manufactura crítica, alimentación, servicios postales, entre otros. Si tu organización pertenece a alguno de estos sectores y cumple con los criterios de tamaño o relevancia, estará obligada a implantar un programa formal y continuado de formación en ciberseguridad. ¿A quién debe dirigirse la formación en ciberseguridad? La formación obligatoria debe adaptarse al nivel de responsabilidad, acceso y exposición de cada grupo dentro de la organización. En términos prácticos, debe abarcar al menos los siguientes colectivos: 1. Alta dirección Incluye miembros del consejo, dirección general, comités ejecutivos y responsables de unidades de negocio. Deben conocer: Riesgos estratégicos y consecuencias legales del incumplimiento Responsabilidades de supervisión según NIS2 Implicaciones financieras y operativas de un ciberincidente Este grupo debe recibir formación específica y participativa, no solo divulgativa. 2. Personal técnico y administradores de sistemas Se trata del grupo con más implicación en la implementación de medidas de seguridad. Su formación debe cubrir: Gestión segura de accesos y contraseñas Configuración de redes y sistemas Protocolos de cifrado, backups y segmentación Monitorización, detección de amenazas e informes de eventos Debe incluir ejercicios prácticos y escenarios de simulación. 3. Personal general de oficina Aunque no tenga responsabilidades técnicas, este grupo representa un riesgo significativo por: Uso diario de correo electrónico, redes y dispositivos Acceso a datos sensibles o confidenciales Interacción con proveedores y clientes Su formación debe centrarse en hábitos seguros, prevención de errores humanos y detección de amenazas comunes como el phishing. 4. Personal externo o subcontratado con acceso a sistemas La NIS2 exige que también reciban formación los trabajadores externos que acceden a entornos internos o manipulan información crítica. Deben recibir formación equivalente al personal interno. ¿Cómo debe ser la formación para cumplir con la NIS2? 1. Formal, estructurada y continua No basta con una acción puntual o informal. La formación debe estar: Planificada anualmente Adaptada a los riesgos específicos de la organización Documentada y trazable Cada sesión, curso o taller debe tener objetivos claros, contenidos definidos, fechas, responsables y resultados evaluables. 2. Adaptada al perfil del usuario El contenido debe variar según el puesto, acceso a información, rol y nivel de responsabilidad. No se puede aplicar una misma sesión para toda la plantilla sin distinciones. Por ejemplo: Dirección: formación estratégica y normativa. Técnicos: formación operativa, técnica y de gestión de incidentes. Usuarios finales: formación práctica y preventiva. 3. Evaluada y actualizada Deben realizarse evaluaciones de aprovechamiento o cuestionarios para comprobar la eficacia. Además: La formación debe actualizarse ante cambios tecnológicos o normativos. Se debe mantener un registro individualizado por empleado. 4. Con trazabilidad documental Es obligatorio conservar: Calendario de formación Contenidos impartidos Asistencia de cada empleado Evaluaciones realizadas Esta documentación será requerida por las autoridades nacionales de supervisión en caso de inspección o incidente. ¿Con qué frecuencia debe impartirse la formación? Aunque la NIS2 no establece una periodicidad exacta, se espera que: Todos los empleados reciban formación al menos una vez al año Los nuevos empleados la reciban antes o al inicio de su actividad Se realicen refuerzos formativos tras incidentes o auditorías También es recomendable que exista una formación continua mediante microcápsulas, campañas internas o simulaciones periódicas, especialmente en áreas críticas. Contenidos mínimos recomendados según el perfil A continuación, se resumen algunos de los contenidos imprescindibles por tipo de usuario: Para todo el personal Qué es la ciberseguridad y por qué importa Buenas prácticas de uso de dispositivos Riesgos del correo electrónico y navegación Gestión de contraseñas Cómo actuar ante incidentes sospechosos Para directivos Marco legal de la NIS2 Obligaciones y sanciones Ciberseguridad como responsabilidad estratégica Comunicación de incidentes Coordinación con el DPO y el CISO Para técnicos Configuración segura de redes y sistemas Protección de endpoints y servidores Gestión de vulnerabilidades Monitorización e informes SIEM Respuesta ante ciberincidentes ¿Qué pasa si no se imparte esta formación? El incumplimiento de esta obligación puede suponer: Sanciones administrativas de hasta 10 millones de euros o el 2 % del volumen de negocio anual global. Consideración agravante en caso de incidentes. Pérdida de confianza por parte de clientes y organismos reguladores. Daño reputacional interno y externo. Recomendaciones obligatorias o restricciones por parte de la autoridad competente. Además, ante una inspección o auditoría, la ausencia de documentación acreditativa de la formación será un indicio directo de incumplimiento estructural. Cómo implantar un plan formativo

Leer más »
Evaluación de la cadena de suministro según NIS2: controles y riesgos

Evaluación de la cadena de suministro según NIS2: controles y riesgosElementor #45550

junio 9, 2025 No hay comentarios

La evaluación de la cadena de suministro es uno de los ejes centrales de la nueva Directiva NIS2, que establece obligaciones reforzadas de ciberseguridad para entidades consideradas esenciales o importantes en sectores estratégicos. Con un enfoque claro hacia la resiliencia operativa, la NIS2 impone a las organizaciones la responsabilidad de identificar, evaluar y controlar los riesgos que puedan surgir no solo de su actividad directa, sino también de todos los agentes de su cadena de suministro y servicios digitales. Esta exigencia marca un cambio de paradigma: ya no es suficiente proteger el perímetro interno. Ahora, el cumplimiento normativo requiere que las empresas adopten una visión integral que abarque a proveedores, socios tecnológicos, subcontratistas y terceros con acceso a sus sistemas o información crítica. Comprender y aplicar correctamente los controles, evaluaciones de riesgos y documentación exigida es esencial para evitar sanciones, interrupciones operativas y daños reputacionales. A lo largo de este artículo verás cómo adaptar tu organización a estas obligaciones, con una estrategia basada en cumplimiento técnico, jurídico y organizativo, estructurada conforme al servicio de NSI2. ¿Por qué la NIS2 refuerza el control sobre la cadena de suministro? La experiencia acumulada por los Estados miembros y las autoridades de ciberseguridad ha demostrado que los ataques más destructivos a infraestructuras críticas no se originan en las propias organizaciones, sino en sus entornos externos: Proveedores de software comprometidos (ataques tipo SolarWinds) Subcontratistas con sistemas obsoletos Servicios de mantenimiento con privilegios de acceso no controlados Integraciones tecnológicas mal protegidas La NIS2, aplicable desde octubre de 2024, obliga a las entidades cubiertas por su ámbito a implantar mecanismos eficaces para evaluar la ciberseguridad de su cadena de suministro de forma continua. ¿A qué empresas afecta esta obligación? La Directiva distingue entre entidades esenciales (energía, transporte, sanidad, financiero, etc.) e importantes (gestión TIC, servicios digitales, producción industrial, entre otras). Si tu organización forma parte de alguno de estos sectores y supera ciertos umbrales de tamaño o actividad, deberá: Realizar análisis de riesgo periódicos de la cadena de suministro. Exigir medidas concretas de seguridad a sus proveedores. Documentar y auditar estas actividades de forma verificable. Controles clave que exige la NIS2 sobre la cadena de suministro A continuación te contamos qué controles y procedimientos deben incorporarse al plan de cumplimiento: 1. Identificación y categorización de proveedores Es fundamental elaborar un mapa detallado de proveedores con criterios de riesgo. Para ello, se debe: Clasificar proveedores por nivel de acceso a sistemas o datos. Diferenciar entre proveedores críticos y auxiliares. Documentar los servicios prestados y los canales de integración tecnológica. Este análisis debe revisarse periódicamente, especialmente cuando cambian servicios, contratos o condiciones técnicas. 2. Evaluación de riesgos por proveedor Cada proveedor relevante debe ser evaluado individualmente según: Naturaleza del servicio prestado (infraestructura, software, mantenimiento) Grado de dependencia operativa Nivel de acceso físico o lógico Historial de cumplimiento y ciberincidentes previos La evaluación de riesgos no debe limitarse a la firma del contrato: debe actualizarse cuando haya cambios significativos o detección de vulnerabilidades. 3. Requisitos de ciberseguridad contractuales La NIS2 exige que se impongan contractualmente obligaciones de seguridad a terceros, incluyendo: Medidas técnicas mínimas exigidas (firewalls, cifrado, autenticación fuerte) Procedimientos de notificación de incidentes Auditorías y derecho de supervisión Protocolos de respuesta ante brechas de seguridad La documentación contractual debe estar disponible para inspección por parte de las autoridades competentes. 4. Supervisión continua y auditoría No basta con establecer controles iniciales. Las organizaciones deben: Supervisar de forma periódica el cumplimiento efectivo de los proveedores. Realizar auditorías (internas o externas) a los procesos críticos externalizados. Definir indicadores clave de cumplimiento y umbrales de alerta. Además, deben estar preparados para justificar ante la autoridad de supervisión que han adoptado un enfoque activo y no pasivo respecto a su cadena de suministro. Documentación obligatoria para cumplir con la NIS2 La trazabilidad documental es uno de los pilares del cumplimiento. La entidad debe mantener y actualizar al menos los siguientes registros: a) Registro de proveedores clasificados por criticidad Debe incluir: Nombre, servicio prestado, acceso concedido Nivel de riesgo asignado Evaluaciones realizadas b) Informes de evaluación de riesgos Cada proveedor debe tener un informe documentado que recoja: Amenazas identificadas Medidas implementadas Riesgos residuales aceptados c) Contratos y anexos de seguridad Es obligatorio conservar: Contratos actualizados con cláusulas de seguridad específicas Anexos técnicos con compromisos verificables Evidencias de aceptación por parte del proveedor d) Informes de supervisión o auditoría Deben recogerse: Revisiones periódicas (internas o por terceros) No conformidades detectadas Planes de acción correctiva y seguimiento Todo este material debe estar disponible ante posibles inspecciones de la autoridad nacional de ciberseguridad competente. Consecuencias del incumplimiento Las entidades que no cumplan con los controles sobre la cadena de suministro podrán enfrentar: Sanciones económicas proporcionales al volumen de negocio (hasta 10 millones de euros o el 2% del volumen global anual) Órdenes de suspensión de contratos o cese de actividades Pérdida de certificaciones o acreditaciones sectoriales Daños reputacionales y pérdida de confianza del mercado Además, en caso de incidentes graves, la falta de control sobre proveedores puede considerarse agravante. Cómo aplicar una estrategia eficaz de cumplimiento Una correcta evaluación de la cadena de suministro según la NIS2 requiere una estrategia integral que combine: Supervisión legal: revisión de contratos, bases jurídicas y responsabilidad compartida. Enfoque técnico: control de accesos, protección de datos, segregación de entornos. Gobernanza organizativa: políticas internas, formación del personal y cultura de seguridad. La clave está en entender que la ciberseguridad no se delega, incluso cuando se externalizan funciones. El responsable último siempre es la entidad que presta el servicio o gestiona el sistema. Audidat, tu socio para cumplir la NIS2 en toda la cadena de valor En Audidat, te ayudamos a cumplir los requisitos de la Directiva NIS2 con una solución integral, profesional y adaptada a tus procesos. Evaluamos tu cadena de suministro, redactamos la documentación necesaria y definimos los controles técnicos y organizativos exigidos. Si tu organización forma parte del marco NIS2 o colabora con entidades reguladas, contáctanos para implementar una estrategia de cumplimiento segura, eficaz y sin compromiso. Descubre cómo afrontamos contigo

Leer más »
Protección de datos de menores en centros educativos según el RGPD

Protección de datos de menores en centros educativos según el RGPD

junio 9, 2025 No hay comentarios

En el entorno escolar, la protección de datos personales adquiere una dimensión crítica cuando se trata de menores de edad. Desde la matriculación hasta la participación en actividades extracurriculares, los centros educativos recopilan y gestionan diariamente información personal de alumnos, padres, tutores legales y personal docente. Esta realidad convierte a los colegios e institutos en responsables de un volumen considerable de datos sensibles cuya gestión debe ajustarse de forma estricta al Reglamento General de Protección de Datos (RGPD). El cumplimiento en este ámbito no es solo una exigencia normativa, sino una responsabilidad ética hacia las familias y los propios alumnos. Los errores o negligencias en el tratamiento de datos de menores pueden derivar en sanciones económicas, pero también en daños irreversibles para la confianza institucional. Por ello, es imprescindible establecer un sistema de Protección de datos adaptado al contexto educativo, sólido en su diseño y eficaz en su aplicación diaria. ¿Por qué es especialmente delicado el tratamiento de datos de menores? El RGPD reconoce a los menores como un colectivo particularmente vulnerable, por lo que su protección debe reforzarse mediante medidas específicas. La normativa establece que: Los menores no siempre comprenden las implicaciones del tratamiento de sus datos. El consentimiento para tratamientos no necesarios (como publicaciones o redes sociales) debe ser prestado por el titular de la patria potestad o tutor legal, en el caso de menores de 14 años en España. Los centros deben aplicar el principio de minimización, tratando solo los datos imprescindibles para su actividad docente o administrativa. La complejidad aumenta cuando intervienen aplicaciones tecnológicas, plataformas educativas externas o colaboraciones con entidades culturales, deportivas o sanitarias. ¿Qué tratamientos de datos se realizan en los centros educativos? A lo largo del curso escolar, los centros manejan distintos tipos de datos personales: Datos identificativos (nombre, DNI, domicilio, foto) Datos académicos (calificaciones, observaciones, informes) Datos de salud (alergias, necesidades especiales, informes médicos) Datos biométricos (huella para control de acceso o comedor) Imágenes y voz (fotografías, vídeos, grabaciones de actos escolares) Datos de padres y tutores (contacto, situación familiar, profesión) La correcta gestión de esta información es clave para cumplir el RGPD y evitar conflictos con las familias o con la Agencia Española de Protección de Datos (AEPD). Cómo cumplir el RGPD en centros educativos: guía práctica 1. Identificar los tratamientos y elaborar el registro de actividades El primer paso es identificar todos los procesos en los que se tratan datos personales y documentarlos en el registro de actividades de tratamiento. Algunos ejemplos: Matriculación y gestión académica Administración de comedores escolares Actividades extraescolares y salidas escolares Uso de plataformas educativas Publicación de imágenes en redes sociales o boletines El DPO debe supervisar este inventario y verificar que cada tratamiento tiene una finalidad clara, una base jurídica válida y medidas de seguridad adecuadas. 2. Informar adecuadamente a las familias Uno de los principios fundamentales del RGPD es la transparencia. Las familias deben recibir, en el momento de la matriculación o cuando se recojan nuevos datos, información clara sobre: Qué datos se recogen Para qué se usarán Quién es el responsable del tratamiento Cuáles son sus derechos Cómo pueden ejercerlos Esta información debe estar redactada en un lenguaje claro y accesible. No basta con una mención genérica al “cumplimiento de la ley”. 3. Consentimientos informados y diferenciados Cuando el tratamiento no se base en una obligación legal ni contractual, será necesario obtener el consentimiento expreso de los padres o tutores legales. Esto incluye, por ejemplo: Publicación de fotos o vídeos de actividades escolares Uso del nombre o imagen del menor en redes sociales o medios externos Participación en encuestas, concursos o eventos externos El consentimiento debe: Ser libre, específico, informado e inequívoco Recogerse por medios verificables (firma escrita o validación digital) Poder ser retirado en cualquier momento Es muy importante que cada consentimiento sea independiente y no se condicione la prestación del servicio educativo a su aceptación. 4. Control de acceso y medidas de seguridad Los centros deben implementar medidas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales. Algunas buenas prácticas incluyen: Controlar el acceso a la información solo al personal autorizado Cifrar o seudonimizar los datos más sensibles Establecer políticas de contraseñas robustas y renovables Realizar copias de seguridad periódicas Evitar el uso de dispositivos personales no autorizados Estas medidas deben estar recogidas en el plan de Protección de datos, con procedimientos claros para prevenir, detectar y responder ante posibles incidentes. 5. Evaluación de impacto en determinados tratamientos Si el centro utiliza tecnologías nuevas o tratamientos de alto riesgo —como el reconocimiento facial, el uso de datos biométricos o sistemas de vigilancia—, deberá realizar una Evaluación de Impacto en Protección de Datos (EIPD) antes de su implantación. El Delegado de Protección de Datos debe: Evaluar los riesgos potenciales Proponer medidas para mitigarlos Documentar el análisis Este paso es obligatorio y omitirlo puede conllevar sanciones. 6. Relación con proveedores y plataformas externas Muchos centros utilizan plataformas de gestión académica, aplicaciones educativas o servicios de mensajería. En estos casos, el centro educativo es responsable del tratamiento y debe: Firmar contratos conforme al art. 28 del RGPD con cada proveedor Verificar que aplican medidas de seguridad adecuadas Comprobar si existen transferencias internacionales de datos El uso de herramientas sin supervisión ni garantías adecuadas representa uno de los riesgos más habituales. 7. Formación del personal educativo y administrativo Todos los miembros del personal deben estar formados en los principios del RGPD y saber cómo actuar ante: Solicitudes de derechos por parte de familias Brechas de seguridad (por ejemplo, envío erróneo de boletines) Consultas sobre uso de imágenes, datos de salud o convivencia La cultura de protección de datos debe integrarse en la gestión del centro, no quedar relegada al ámbito técnico o legal. ¿Qué errores se cometen con mayor frecuencia? Algunas prácticas comunes que vulneran el RGPD en entornos escolares incluyen: Publicar imágenes de menores sin consentimiento en redes sociales Enviar comunicaciones con datos visibles de varios alumnos (por ejemplo, usando “CC” en lugar de “CCO” en correos electrónicos) Compartir datos de

Leer más »
Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI.

Te ayudamos

Coméntanos tu problema para asignarte un consultor especializado y darte una solución jurídica en menos de 24hs.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid | Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla, tal y como se explica en la información adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

¿Necesitas ayuda con el cumplimiento normativo de tu organización?

Te asignaremos un consultor experto para darte una solución personalizada gratuita en menos de 24h.