La empresa se suma al reducido grupo del 10 % del sector logístico que cumple con el nuevo ENS. Ha implantado medidas avanzadas para proteger la información y controlar accesos no autorizados. Esta certificación mejora la gestión de procesos y reduce los riesgos tecnológicos. Correos Express continúa adaptándose a los requisitos del Real Decreto 311/2022. Seguridad de la información como pilar estratégico Correos Express ha logrado la certificación conforme al nuevo Esquema Nacional de Seguridad (ENS), una validación que consolida su compromiso con la ciberseguridad y la protección de la información. Con este logro, la compañía se posiciona entre el 10 % de empresas del sector de la logística y paquetería urgente que cumplen con esta exigente normativa. Entre las acciones implementadas destacan sistemas de control del tráfico de red y mecanismos de bloqueo de accesos no autorizados, garantizando así la integridad y confidencialidad de la información crítica. Una certificación que fortalece la gestión de riesgos Francisco Morato García, gerente de Seguridad, Sistemas & Workplace de Correos Express, subraya que este hito “refuerza la capacidad de la compañía para optimizar la gestión de sus procesos, mitigar los riesgos frente a posibles amenazas y proporcionar un entorno más seguro para empleados, proveedores, clientes y colaboradores”. Según explica, la empresa ya trabaja en la mejora continua de sus sistemas y en la implementación progresiva de los requisitos adicionales establecidos por el ENS, sin descuidar el mantenimiento de los controles ya aplicados. Cumplimiento del Real Decreto 311/2022 La obtención de esta certificación se enmarca en el cumplimiento del Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica. Este marco legal establece hasta 75 medidas actualizadas que deben adoptar las entidades públicas y empresas colaboradoras para garantizar un entorno digital seguro y resiliente. Con esta acreditación, Correos Express no solo fortalece su posición en el mercado, sino que contribuye activamente a fomentar una cultura de ciberseguridad y cumplimiento normativo en el ecosistema logístico nacional.

Protección de datos en empresas de transporte y logística: cómo cumplir con el RGPD y la LOPDGDD Las empresas de transporte y logística están obligadas a cumplir la normativa de protección de datos. El tratamiento de datos personales exige medidas técnicas, organizativas y jurídicas concretas. Audidat ofrece soluciones expertas para adaptar tu empresa a la normativa vigente. El cumplimiento reduce riesgos legales y protege la reputación empresarial. Las empresas de transporte también deben cumplir la Ley de Protección de Datos En el día a día, las empresas de transporte y logística gestionan datos personales de clientes, empleados y proveedores. Por ello, están legalmente obligadas a cumplir con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Además, si se ofrecen servicios por medios electrónicos, también se aplica la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE). Guía de cumplimiento para empresas del sector transporte Registro de actividades de tratamiento Toda empresa del sector debe mantener un registro documentado que recoja cada tratamiento de datos realizado. Este documento, de carácter interno, debe incluir información sobre el responsable, finalidad del tratamiento, categorías de datos y destinatarios, medidas de seguridad y posibles transferencias internacionales. Consentimiento expreso El RGPD exige que el consentimiento para el tratamiento de datos personales sea expreso, libre y verificable. Debe obtenerse de forma clara y específica para cada finalidad, y quedar registrado como prueba de conformidad. Análisis de riesgos y EIPD Antes de iniciar cualquier tratamiento de datos, es imprescindible realizar un análisis de riesgos. Si se identifican tratamientos a gran escala o con alto impacto en los derechos de los afectados, será obligatorio realizar una Evaluación de Impacto en Protección de Datos (EIPD). Encargos de tratamiento y confidencialidad Cuando se delega el tratamiento de datos a terceros (como empresas de gestión o servicios externos), es obligatorio firmar un contrato de encargo de tratamiento. Asimismo, los empleados con acceso a datos personales deben firmar compromisos de confidencialidad. Formación continua Desde Audidat recomendamos que las personas encargadas del cumplimiento normativo reciban formación especializada. Contar con profesionales capacitados mejora la eficacia de las medidas implantadas y fortalece la cultura de cumplimiento. ¿Qué obligaciones tienes si tu empresa tiene una página web? Si tu empresa de transporte o logística dispone de una página web, deberá incorporar: Aviso legal: datos de identificación y contacto de la empresa. Política de privacidad: información sobre el tratamiento de los datos personales, su finalidad, legitimación, conservación y derechos. Política de cookies: detallando el tipo de cookies utilizadas y solicitando consentimiento previo. Condiciones generales de contratación: si se prestan servicios o ventas online. Gestión de brechas de seguridad Si se produce un incidente de seguridad que afecte a datos personales, la empresa debe notificarlo a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas. También se deberá informar a los afectados si existe riesgo para sus derechos o libertades. Auditorías de protección de datos Aunque no son obligatorias por ley, en Audidat recomendamos realizar auditorías periódicas para comprobar el grado de cumplimiento normativo y la eficacia de las medidas implantadas. Estas auditorías permiten anticiparse a posibles riesgos y demostrar diligencia proactiva. Sanciones por incumplimiento El RGPD contempla sanciones administrativas que pueden alcanzar los 20 millones de euros o el 4 % de la facturación anual de la empresa, según la gravedad de la infracción. La LOPDGDD concreta estas sanciones: Infracciones leves: hasta 40.000 € Infracciones graves: entre 40.001 y 300.000 € Infracciones muy graves: de 300.001 € hasta 20 millones o el 4 % del volumen de negocio Preguntas frecuentes del sector transporte ¿Estoy tratando datos personales?Sí, si utilizas información que permite identificar a una persona física (nombre, dirección, matrícula, etc.). ¿Es necesario nombrar un DPO?Será obligatorio si tratas datos personales a gran escala o especialmente sensibles. ¿Puedo instalar geolocalizadores en los vehículos?Sí, siempre que informes a los empleados. No es necesario su consentimiento, al estar justificado por la gestión de la relación laboral. ¿Qué pasa si tengo cámaras de videovigilancia?Deberás señalizar las zonas grabadas, cumplir los principios de proporcionalidad y evitar grabar espacios públicos de forma continua. ¿Durante cuánto tiempo puedo conservar los datos?Solo el tiempo necesario para cumplir la finalidad del tratamiento, respetando los plazos exigidos por otras normativas sectoriales. Claves para cumplir con la normativa de protección de datos Elaborar y mantener actualizado el registro de actividades de tratamiento. Recoger el consentimiento de forma clara y específica. Realizar análisis de riesgos y EIPD cuando proceda. Firmar acuerdos con encargados del tratamiento y empleados. Informar a los titulares de los datos de sus derechos. Notificar brechas de seguridad en el plazo legal. Revisar periódicamente el sistema mediante auditorías. Cumplir con la normativa en protección de datos no es solo una obligación legal, es una garantía de confianza para tus clientes y una forma de proteger el futuro de tu negocio. En Audidat contamos con soluciones especializadas para el sector transporte y logística, adaptadas a las necesidades reales de tu empresa.

El curso comienza el próximo 20 de mayo y se imparte 100 % online. Está dirigido a profesionales que deseen ejercer como DPO en empresas y organizaciones. El programa incluye contenidos actualizados según el RGPD y la LOPDGDD. Más información disponible en www.audidat.com/curso-dpo. Formación especializada para profesionales del cumplimiento Audidat ha abierto el plazo de inscripción para una nueva edición de su Curso online de Delegado de Protección de Datos, que dará comienzo el próximo 20 de mayo. Esta formación está orientada a quienes buscan especializarse en protección de datos o ejercer profesionalmente como DPO (Data Protection Officer). La Escuela DPO Audidat ofrece un enfoque práctico y riguroso, con contenidos alineados con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). Además, el curso se imparte en modalidad 100 % online, lo que facilita la conciliación profesional y personal. Un perfil clave en la gestión del cumplimiento normativo El Delegado de Protección de Datos se ha convertido en una figura clave para garantizar el cumplimiento de la normativa en protección de datos en entidades públicas y privadas. Contar con esta formación permite a los profesionales asumir funciones de responsabilidad en un área cada vez más estratégica. El curso incluye acceso a recursos exclusivos, sesiones con expertos y un enfoque formativo orientado a la aplicabilidad real en las organizaciones. Al finalizar, los alumnos obtendrán una certificación acreditativa que refuerza su perfil profesional en el ámbito del cumplimiento normativo. ¿Cómo inscribirse? Los interesados pueden obtener toda la información y formalizar su inscripción en el siguiente enlace: www.audidat.com/curso-dpo Fuente de la imagen y del contenido: www.audidat.com/curso-dpo

Los directivos pueden ser responsables penales por omisiones en la gestión de cumplimiento. La guía identifica los principales riesgos legales en sectores críticos y cómo mitigarlos. Incluye estrategias prácticas de protección y liderazgo responsable. Disponible gratuitamente en www.audidat.com. La creciente responsabilidad legal del liderazgo empresarial En un contexto normativo cada vez más exigente, los directivos empresariales no solo enfrentan retos estratégicos, sino también una creciente responsabilidad penal. Según el artículo 31 bis del Código Penal Español, tanto las personas jurídicas como sus administradores pueden ser sancionados si no implementan medidas eficaces de cumplimiento legal. La guía elaborada por Audidat ofrece una visión clara de los principales riesgos legales y penales que enfrentan los líderes empresariales en sectores críticos, y proporciona herramientas prácticas para prevenirlos y protegerse legalmente. Riesgos penales clave en la gestión empresarial Muchos de estos riesgos se ocultan en procesos rutinarios, como contratos poco claros, decisiones no documentadas o relaciones con terceros no supervisadas. La guía destaca áreas críticas como: Fraude y corrupción interna: indicios como pagos no documentados o regalos excesivos. Relaciones con terceros: socios que podrían actuar de forma ilícita en nombre de la empresa. Blanqueo de capitales: operaciones sospechosas o no trazables. Protección de datos: incumplimiento del RGPD con consecuencias económicas y reputacionales. Casos reales en España La guía expone ejemplos como el caso Isofotón (2022), donde los directivos fueron imputados por malversación y fraude, y el caso iDental (2019), con cargos de estafa y blanqueo de capitales. Ambos casos reflejan la importancia de contar con controles internos efectivos. Estrategias de prevención y liderazgo responsable Para blindar la posición del directivo, la guía propone implementar un programa de compliance que incluya: Código ético y políticas internas claras. Auditorías periódicas y sistemas de alerta temprana. Capacitación constante a todos los niveles de la organización. Uso de tecnología avanzada para la supervisión automatizada. Beneficios estratégicos del compliance Un sistema robusto de cumplimiento no solo previene sanciones, sino que también: Fortalece la reputación corporativa. Mejora el acceso a financiación y reduce costes a largo plazo. Fomenta un entorno laboral ético y atractivo para el talento. Liderar con integridad y anticipación El papel del directivo exige liderar con integridad, adoptar una cultura de cumplimiento transversal y documentar todas las decisiones estratégicas. Contar con asesoría especializada se vuelve crucial para mantenerse al día con las exigencias legales y evitar consecuencias personales. Audidat, con más de 20 años de experiencia, ofrece soluciones a medida para garantizar un liderazgo seguro, eficaz y alineado con la legalidad. Consulta gratuita y diagnóstico inicial La guía concluye con una invitación a agendar una consulta gratuita, donde los expertos de Audidat realizarán un diagnóstico personalizado para detectar riesgos y proponer soluciones inmediatas. Fuente de la imagen y del contenido: www.audidat.com

La función de compliance se consolida como un elemento diferenciador en las empresas energéticas ante un entorno regulatorio cada vez más exigente. El cumplimiento normativo en este sector debe alinearse con criterios ESG y abarcar riesgos regulatorios, financieros, operacionales y reputacionales. Las políticas de compliance fortalecen la transparencia y la confianza con todos los grupos de interés, internos y externos. En procesos de internacionalización, un sistema de compliance integral es esencial para garantizar legitimidad y sostenibilidad. Compliance: de exigencia legal a ventaja competitiva El concepto de compliance ha dejado de ser una novedad en el ámbito empresarial para convertirse en un pilar estratégico, especialmente en sectores altamente regulados como el energético. En un entorno normativo cada vez más complejo y cambiante, las empresas deben implementar sistemas de gestión de compliance que les permitan prevenir riesgos legales, financieros y reputacionales, asegurando la integridad y sostenibilidad de sus operaciones. Esta función no debe ser tratada como una formalidad, sino como una herramienta fundamental de gestión que se sitúe en el centro de la cultura corporativa. Las compañías energéticas que adopten esta visión lograrán posicionarse con ventaja en un mercado cada vez más exigente. Un sector con alta exposición normativa y reputacional El sector energético opera bajo una regulación intensa, especialmente en cuestiones relacionadas con la sostenibilidad, el cambio climático y la transición hacia energías limpias. Este marco obliga a las empresas a desarrollar políticas estrictas que garanticen el cumplimiento de las normas nacionales e internacionales. En este contexto, el compliance debe integrar los criterios ESG (medioambientales, sociales y de gobernanza), no solo como obligación legal, sino como compromiso empresarial con la sociedad y el planeta. El tamaño de estas compañías, la complejidad de sus operaciones y la relación con múltiples stakeholders aumentan su exposición a posibles crisis si no gestionan adecuadamente sus riesgos. Transparencia, ética y confianza como valores estratégicos Contar con un sistema de compliance integral permite a las empresas energéticas consolidar prácticas empresariales responsables, éticas y transparentes. Esto no solo mitiga riesgos, sino que también fortalece la confianza de empleados, socios, inversores y consumidores, convirtiéndose en una ventaja competitiva clave. La cultura de compliance debe permear toda la organización, desde la alta dirección hasta los niveles operativos, a través de políticas, sistemas y procedimientos alineados con los requerimientos sectoriales. Este enfoque genera entornos de trabajo seguros y sostenibles, favoreciendo la reputación y resiliencia corporativa. Internacionalización: un reto que exige rigor normativo El proceso de internacionalización de las empresas energéticas requiere marcos sólidos de compliance. Operar en mercados globales implica enfrentarse a normativas diversas, por lo que contar con sistemas de cumplimiento eficaces facilita una expansión legítima y coherente con los valores corporativos. Las organizaciones que integran el compliance en su estrategia internacional consolidan su posicionamiento y fortalecen su sostenibilidad operativa, financiera y reputacional. Esto se traduce en un crecimiento más sólido, coherente y respetuoso con los diferentes entornos regulatorios y culturales. Un modelo de negocio basado en el cumplimiento La integración de la función de compliance en el sector energético debe entenderse como una palanca de desarrollo. Al convertirse en parte esencial del modelo de negocio, no solo contribuye a la rentabilidad económica, sino también a la sostenibilidad en el tiempo. Las compañías que logren incorporar esta visión lograrán adaptarse mejor a los desafíos del presente y futuro, impulsando la creación de valor y el fortalecimiento de toda la cadena de valor. En definitiva, el compliance no es solo un requisito, sino una oportunidad para liderar de forma responsable y sostenible en un mercado cada vez más competitivo.

Las empresas que registraron su Plan de Igualdad en 2021 deben renovarlo en 2025, conforme al Real Decreto 901/2020. La vigencia máxima de un Plan de Igualdad es de cuatro años, siendo obligatoria su actualización tras este periodo. El proceso de renovación incluye evaluación, diagnóstico, negociación y registro ante la autoridad laboral. No cumplir con esta obligación puede acarrear sanciones económicas y la pérdida de ayudas y contratos públicos. Una renovación imprescindible para seguir cumpliendo con la ley La igualdad de género en el entorno laboral no solo es una cuestión ética y social, sino una exigencia legal cada vez más estricta. En 2025, las empresas que implementaron su Plan de Igualdad en 2021 deberán renovarlo, tal como establece el Real Decreto 901/2020, que fija un plazo máximo de vigencia de cuatro años para estos planes. Este requisito afecta especialmente a las compañías con 50 o más personas trabajadoras, que están obligadas a contar con un Plan de Igualdad registrado y vigente. Su renovación garantiza que las medidas implantadas sigan siendo efectivas y que se adapten a las nuevas realidades de la empresa y su entorno. Pasos clave en la renovación del Plan de Igualdad Renovar el Plan de Igualdad no consiste solo en prorrogar el documento anterior. Se requiere una revisión integral de los objetivos alcanzados, las medidas implantadas y los nuevos retos en materia de igualdad. El proceso debe incluir las siguientes fases: Diagnóstico de situación actual, basado en datos actualizados y análisis objetivo. Evaluación del plan anterior, valorando los logros y áreas de mejora. Definición de nuevos objetivos y medidas, alineados con las necesidades actuales de la empresa. Negociación con la representación legal de los trabajadores, garantizando la participación efectiva. Registro y publicación del nuevo Plan de Igualdad ante la autoridad laboral. Seguimiento y evaluación periódica para asegurar su correcta implementación. Consecuencias del incumplimiento No renovar el Plan de Igualdad en el plazo previsto puede suponer un grave riesgo legal para la empresa. Las infracciones pueden ser sancionadas con multas económicas, cuya cuantía varía según la gravedad y el tamaño de la organización. Además, la empresa puede quedar excluida de procesos de contratación pública y de la concesión de subvenciones, lo que limita su desarrollo y competitividad. Cumplir con la normativa vigente en materia de igualdad es fundamental no solo para evitar sanciones, sino también para construir un entorno laboral justo y equitativo, mejorar la reputación corporativa y fortalecer la cultura interna.  

Las medianas empresas destinan menos del 4% de su presupuesto en tecnología a la ciberseguridad, pese al aumento de amenazas. Solo el 40% de las compañías prevé aumentar su inversión en los próximos meses. El 60% de las empresas tiene un nivel incipiente de madurez en ciberseguridad, sin procesos formalizados. La falta de apoyo directivo y de talento especializado frena la evolución hacia una protección más robusta. Preocupación creciente, pero sin inversión proporcional En pleno auge de las amenazas digitales, las medianas empresas españolas siguen dedicando un porcentaje muy reducido de sus recursos tecnológicos a la ciberseguridad. Así lo revela el Primer Barómetro de la Ciberseguridad en la Mediana Empresa, elaborado por Cylum (unidad de negocio de Factum), que indica que el gasto medio en esta área apenas alcanza el 4% del presupuesto total destinado a tecnologías de la información. A pesar de que la protección de datos, la resiliencia operativa y la formación en seguridad figuran entre las principales preocupaciones de los responsables de TI, solo un 40% de las empresas prevé incrementar su presupuesto de ciberseguridad en los próximos meses. El 60% restante planea mantenerlo sin cambios, lo que refleja una desconexión entre el riesgo percibido y las acciones estratégicas adoptadas. Madurez en ciberseguridad: un desafío pendiente El estudio también alerta sobre el bajo nivel de madurez de la mayoría de estas empresas en materia de ciberseguridad. Un 60% de los responsables de TI reconoce estar en una fase incipiente, con medidas básicas implementadas, sin procesos ni políticas formalizadas. Esto las deja en una posición vulnerable frente a un entorno de amenazas que evoluciona con rapidez. Entre las razones que explican esta situación, los encuestados destacan la falta de apoyo de la alta dirección, considerada entre moderada y baja, y la escasez de recursos económicos y humanos. Además, se evidencia una creciente dificultad para encontrar talento especializado, lo que dificulta aún más la adopción de soluciones avanzadas de protección digital. Un 40% avanza, pero necesita reforzar sus capacidades Frente a este panorama, el 40% restante de empresas se sitúa en un nivel intermedio de protección. Estas organizaciones ya cuentan con estrategias definidas y cierta capacidad de respuesta, pero todavía necesitan mejorar aspectos clave como la monitorización continua, la implementación de políticas más estrictas y la automatización de procesos para hacer frente a ciberincidentes. Iosu Arrizabalaga, CEO de Factum, subraya que “aunque aumenta la importancia de la ciberseguridad en las medianas empresas, el gasto destinado a su protección sigue siendo muy bajo si lo comparamos con las necesidades actuales y la magnitud de los ciberataques”. 2025: un año clave para la transformación digital segura Los expertos coinciden en que 2025 puede marcar un punto de inflexión para el sector. La adopción de tecnologías más avanzadas, el fortalecimiento del talento interno y el respaldo de la alta dirección serán factores determinantes para que la ciberseguridad deje de ser una asignatura pendiente y se convierta en un eje estratégico. Aquellas empresas que logren consolidar sus políticas de seguridad digital no solo estarán mejor preparadas ante amenazas, sino que también obtendrán una ventaja competitiva clave, generando mayor confianza entre clientes, socios y el mercado en general.

El 84% de las empresas españolas sufrió intentos de ciberataque en 2024, según el Estudio de Ciberseguridad de Zerod. El ransomware fue el ataque más común: el 44% de las compañías lo padecieron y el 40% de ellas pagó un rescate. Las startups enfrentan mayores dificultades por su falta de recursos y preparación ante exigencias normativas como el RGPD, ENS o la directiva NIS2. Invertir en estrategias proactivas, como el pentesting y la formación continua, es clave para mitigar riesgos y garantizar la continuidad del negocio. Una amenaza creciente en el ecosistema emprendedor La ciberseguridad se ha consolidado como uno de los retos estratégicos más relevantes para las empresas españolas. Según el Estudio de Ciberseguridad en las Empresas Españolas 2024, elaborado por Zerod, el 84% de las organizaciones sufrió al menos un intento de ciberataque durante el último año. Entre estos, el ransomware destaca como la amenaza más frecuente, afectando al 44% de las empresas, de las cuales el 40% admitió haber pagado un rescate para recuperar su información. La necesidad de reactivar operaciones rápidamente y el temor a la pérdida de datos críticos empujan a muchas compañías a ceder ante los ciberdelincuentes, lo que supone un alto coste económico y una grave afectación reputacional. Startups: un blanco vulnerable y rentable Mientras las grandes corporaciones refuerzan sus estructuras de seguridad, las startups y emprendedores continúan siendo objetivos prioritarios para los atacantes. La escasez de recursos y el desconocimiento técnico convierten a estos actores emergentes en blancos accesibles y lucrativos. Un ciberataque exitoso puede comprometer su operativa, reputación y viabilidad financiera hasta llevar al cierre de la empresa. A esta exposición se suma la creciente dificultad para cumplir con normativas como el Reglamento General de Protección de Datos (RGPD), el Esquema Nacional de Seguridad (ENS) o la ISO27001. El 53% de las empresas encuestadas reconoce tener problemas de adaptación a estas exigencias, una situación que podría agravarse con la próxima entrada en vigor de la directiva europea NIS2, que impondrá nuevas obligaciones a sectores esenciales y empresas tecnológicas. Aumento de la inversión en seguridad digital Frente a esta realidad, el 80% de las empresas ha incrementado su presupuesto en ciberseguridad durante el último año. Aunque muchas han reforzado sus sistemas perimetrales y copias de seguridad, destaca un crecimiento notable en las estrategias ofensivas. El 68% ya realiza pruebas de pentesting y el 70% ha establecido procesos formales de gestión de vulnerabilidades. Estas medidas han demostrado ser efectivas, reduciendo los incidentes graves en un 45%. Sin embargo, los ataques de phishing siguen aumentando. El 61% de las empresas detectó intentos de suplantación de identidad a través del correo electrónico corporativo, lo que subraya la necesidad de capacitar al personal en buenas prácticas digitales para evitar que el factor humano se convierta en el eslabón débil. Claves para una ciberseguridad integral Para startups y emprendedores, adoptar un enfoque integral de la ciberseguridad es esencial. Esto implica combinar tecnología, formación, talento y cumplimiento normativo. Medidas como la autenticación multifactor (MFA), la formación continua en ciberamenazas y la actualización periódica de sistemas pueden marcar la diferencia. Asimismo, se recomienda realizar auditorías de seguridad, establecer protocolos de respuesta ante incidentes y considerar servicios como los vCISO (Chief Information Security Officer virtual), que proporcionan liderazgo estratégico en seguridad sin los costes de una contratación a tiempo completo. Una prioridad ineludible de cara a 2025 De cara al futuro, la ciberseguridad debe consolidarse como una prioridad estratégica. Será crucial reforzar las políticas internas sobre gestión de accesos y protección de datos, así como impulsar programas formativos adaptados a todos los niveles de la organización. La adaptación a los marcos normativos en evolución, como NIS2 y ENS, exigirá auditorías frecuentes para garantizar el cumplimiento legal y evitar sanciones. Además, contar con protocolos de respuesta estructurados permitirá minimizar el impacto de los ataques y facilitar la recuperación operativa. La ciberseguridad ha dejado de ser un tema técnico exclusivo del área informática: hoy es un factor estratégico que incide directamente en la continuidad del negocio y la confianza de inversores y clientes. Para startups y emprendedores, la mejor defensa es una preparación adecuada y proactiva que refuerce su resiliencia y competitividad en un entorno digital cada vez más exigente.

La ICO británica aclara conceptos equivocados sobre el uso de datos personales en el desarrollo de IA generativa. El tratamiento incidental de datos personales sigue estando sujeto al RGPD. No existen excepciones para la IA en la normativa de protección de datos. Las organizaciones deben aplicar principios de transparencia y protección desde el diseño. La importancia de la protección de datos en la IA generativa La Information Commissioner’s Office (ICO), autoridad británica en protección de datos, ha publicado una serie de aclaraciones sobre conceptos erróneos comunes detectados tras una consulta pública sobre el uso de IA generativa. Estas aclaraciones buscan guiar a los desarrolladores hacia el cumplimiento normativo en protección de datos, dada la creciente relevancia de estos sistemas en el ámbito digital. 1. El tratamiento «incidental» también se considera tratamiento de datos personales Aunque algunos desarrolladores aseguren que el tratamiento de datos personales es accidental o no intencionado, esto no exime del cumplimiento del RGPD. Cualquier uso de datos personales, incluso incidental, está sujeto a la normativa de protección de datos. Es esencial evaluar de forma precisa si los modelos de IA manejan datos personales y aplicar las medidas correspondientes. 2. La práctica común no justifica el incumplimiento de expectativas razonables El hecho de que ciertas prácticas sean habituales no implica que sean aceptables desde la perspectiva de los interesados. Usar datos personales para entrenar modelos de IA sin informar debidamente a los usuarios —por ejemplo, mediante técnicas como el web scraping— contraviene el principio de transparencia del RGPD. Es clave comunicar de manera clara y accesible el uso que se dará a los datos. 3. Diferencia clave entre «PII» y «datos personales» Muchas organizaciones centran su cumplimiento en torno a la «información de identificación personal» (PII), pero el concepto legal relevante en el RGPD es más amplio: “dato personal” abarca cualquier información que pueda identificar directa o indirectamente a una persona física. Ignorar esta diferencia puede conducir a errores de cumplimiento. 4. La jurisprudencia sobre motores de búsqueda no es aplicable a la IA generativa Algunos intentan aplicar decisiones judiciales relacionadas con buscadores al contexto de la IA generativa. Sin embargo, esta comparación no es válida. A diferencia de un buscador, la IA generativa sintetiza y crea nuevo contenido, lo que implica otros riesgos y obligaciones legales, especialmente en cuanto al ejercicio de derechos como el de supresión. 5. Los modelos de IA pueden incorporar y retener datos personales Aunque algunos desarrolladores sostienen que sus modelos no almacenan datos personales, en realidad pueden retener información del entrenamiento. Esta información puede ser recuperable, lo que plantea implicaciones importantes respecto a la minimización de datos y al derecho de supresión establecido en el RGPD. 6. Protección de datos y su relación con otros marcos normativos La protección de datos no debe utilizarse para interpretar la legalidad en otros marcos jurídicos. Si bien el tratamiento ilícito en otros ámbitos puede implicar una infracción del RGPD, las autoridades de protección de datos no son competentes para pronunciarse sobre otras normativas distintas a la de protección de datos. 7. No existe una excepción para la IA en el RGPD Algunos desarrolladores han sugerido que la IA generativa debería tener un tratamiento especial dentro del RGPD, pero esto no es correcto. No existen excepciones ni exenciones generales: si se tratan datos personales, debe cumplirse íntegramente la normativa. Además, debe aplicarse la protección de datos desde el diseño y por defecto en todo el proceso de desarrollo y uso de la IA. Una aportación clave La publicación de la ICO representa una aportación clave para clarificar las obligaciones legales en el desarrollo de IA generativa. Estas orientaciones ayudan a evitar malentendidos y a garantizar el respeto a los derechos de los ciudadanos. Desde la AEPD se considera importante difundir estos mensajes para reforzar la responsabilidad de quienes desarrollan y utilizan sistemas de IA. Esta información complementa otros recursos publicados por la AEPD, como: Nota técnica EDPS-AEPD: 10 Malentendidos sobre el Machine Learning (sep 2022) Requisitos para Auditorías de Tratamientos que incluyan IA (ene 2021) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (feb 2020) Guía de Privacidad desde el Diseño (oct 2019)

El ENS establece los requisitos imprescindibles para garantizar la seguridad de la información en el sector público y privado. Es obligatorio para organismos públicos y empresas que gestionan datos o prestan servicios a la administración. Su correcta implantación mejora la protección, la reputación y el cumplimiento normativo. Audidat acompaña a las organizaciones en todo el proceso de adecuación al ENS. El origen y la necesidad del ENS El Esquema Nacional de Seguridad surge como respuesta a la necesidad de proteger la información en un entorno digital en constante crecimiento. Su principal objetivo es asegurar el acceso, la integridad, la disponibilidad, la autenticidad y la trazabilidad de los datos que manejan las administraciones públicas y las empresas que colaboran con ellas. Para ello, establece un marco normativo común con medidas organizativas, operativas y tecnológicas que refuerzan la ciberseguridad y aseguran un funcionamiento fiable de los sistemas de información. ¿Cómo afecta el ENS a las empresas? Aunque el ENS se dirige principalmente a organismos públicos, también es de aplicación obligatoria para empresas que prestan servicios tecnológicos o gestionan información para la administración. Estas entidades deben implementar controles adecuados, realizar evaluaciones periódicas de riesgos y superar auditorías que verifiquen el cumplimiento de los requisitos. Desde Audidat, ofrecemos un acompañamiento integral en este proceso: desde el diagnóstico inicial hasta la certificación, asegurando una implantación eficiente, adaptada a la realidad de cada empresa. Formación y concienciación: capacitar al personal es clave El componente humano es uno de los factores más críticos en cualquier sistema de seguridad. Por eso, el ENS pone especial énfasis en la formación y concienciación del personal. Capacitar a los empleados en buenas prácticas de ciberseguridad, así como en el conocimiento de los protocolos establecidos, es fundamental para reducir errores, prevenir incidentes y fomentar una cultura organizacional centrada en la protección de la información. Beneficios del ENS Más allá del cumplimiento normativo, adoptar el ENS aporta beneficios estratégicos a cualquier organización: Refuerza la confianza de clientes, ciudadanos y administraciones. Aumenta la protección frente a amenazas internas y externas. Impulsa la mejora continua de los procesos de seguridad. Alinea a la organización con estándares exigentes a nivel nacional e internacional. La certificación ENS actúa también como un distintivo de calidad que diferencia a la empresa en el mercado.