Antes del 10 abril, empresas con más de 50 trabajadores tienen que comunicar el responsable del Canal Ético.
logo-audidat-2024.png
INTEGRA
AUDITORÍA SIN COSTE
CONTACTO
CONTACTO
Imagen de Manolo Perezagua Naharro

Manolo Perezagua Naharro

  • Licenciado en Derecho.
  • Dieciocho años de experiencia en el ámbito de la protección de datos personales.
  • Director Técnico-Jurídico de la Red de Consultoría Audidat, empresa con presencia en todo el territorio nacional especializada en servicios de consultoría, auditoría, formación y control en el ámbito de la normativa de protección de datos personales.
  • Curso de especialización en Ciberseguridad: Certified Cyber Security Professional, organizado por el Cyber Security Center (CSC).
  • Master in Business Administration Executive (MBA Executive) por la Escuela de Negocios de la Confederación de Empresarios de Albacete (FEDA) y Fundesem Business School.
  • Formación en sistemas de gestión de Compliance (UNE-ISO 19600:2015), impartidos por entidades de reconocido prestigio como AENORy Wolters Kluwer.
  • Formación en materia de Esquema Nacional de Seguridad, incluyendo los principios en que se sustenta, los requisitos mínimos de seguridad y la correspondiente auditoría e informe del estado de seguridad.
  • Especializado en la gestión de procedimientos ante la Agencia Española de Protección de Datos, habiendo ejercido también la abogacía con Número de Colegiación 2192 del Ilustre Colegio de la Abogacía de Albacete.
  • Amplia experiencia como conferenciante y formador en materia de privacidad y protección de datos de carácter personal, habiendo impartido múltiples cursos, seminarios y ponencias en el ámbito de su especialidad.
Evaluación de impacto en protección de datos (EIPD): Guía legal
Protección de datos
Marisa Romero

Evaluación de impacto en protección de datos (EIPD): Guía legal

El avance incesante de la digitalización corporativa ha impulsado la adopción masiva de tecnologías disruptivas, como la inteligencia artificial, el reconocimiento biométrico y el perfilado automatizado de usuarios. Esta sofisticación tecnológica introduce vulnerabilidades críticas en el ciclo de vida de la información, exponiendo a las organizaciones a amenazas de privacidad que, si no se previenen y gestionan desde la fase de diseño inicial, vulneran directa e irreparablemente los derechos fundamentales de los ciudadanos. La materialización de estos riesgos tecnológicos desemboca invariablemente en inspecciones rigurosas por parte de las autoridades de control, la paralización cautelar inmediata de las operaciones de tratamiento de datos y daños reputacionales a menudo irreversibles frente al mercado. El marco sancionador europeo tipifica como infracción muy grave la omisión de los análisis preventivos obligatorios, imponiendo multas que pueden alcanzar los 10 millones de euros o el 2 % de la facturación global según establece explícitamente el artículo 83.4 del Reglamento General de Protección de Datos. Para neutralizar este escenario de extrema contingencia legal, resulta jurídicamente indispensable integrar metodologías preventivas estandarizadas en las fases preliminares de cualquier proyecto corporativo que procese información personal. Este nivel de cumplimiento y responsabilidad proactiva exige ejecutar de forma exhaustiva una evaluacion de impacto para garantizar empíricamente que toda innovación tecnológica se despliegue y opere con las máximas garantías legales exigidas por la legislación europea y nacional vigente. La evaluación de impacto en protección de datos (EIPD) es un proceso analítico documentado preventivo que identifica, evalúa y mitiga sistemáticamente los riesgos severos para los derechos y libertades de las personas físicas. El artículo 35 del RGPD establece su obligatoriedad legal absoluta antes de iniciar cualquier tratamiento de información que, por su naturaleza o alcance, entrañe un alto riesgo. Naturaleza jurídica y alcance de la evaluación de impacto en protección de datos La naturaleza jurídica de la evaluación de impacto en protección de datos es la de un instrumento fiscalizador de responsabilidad proactiva corporativa que permite a las organizaciones demostrar documentalmente su diligencia técnica frente a operaciones de tratamiento complejas. Su ejecución no es un mero trámite administrativo o un formulario burocrático, sino la piedra angular del principio fundamental de privacidad desde el diseño y por defecto, regulado de forma imperativa en el artículo 25 del Reglamento General de Protección de Datos aplicable a toda entidad. El Comité Europeo de Protección de Datos (CEPD) subraya en sus directrices consolidadas que este análisis preventivo profundo debe concebirse obligatoriamente como una herramienta de toma de decisiones corporativas continuada a lo largo del tiempo. Las empresas incurren en un error sistémico grave cuando consideran que el documento es estático; la realidad operativa dicta que cualquier actualización de software, cambio en la finalidad de la recolección o migración de servidores a terceros países obliga a reabrir y actualizar el documento para reflejar el nuevo escenario de exposición a amenazas. Históricamente, antes de la entrada en vigor del actual marco europeo en 2018, la gestión de la privacidad se basaba en la simple inscripción reactiva de ficheros en los registros públicos de los organismos reguladores nacionales. En el actual ecosistema digital, la autoridad transfiere el peso de la prueba metodológica directamente a la empresa, que debe ser capaz de evidenciar, ante un requerimiento judicial o una inspección de oficio, que previó el peligro de fuga o alteración de la información y adoptó medidas criptográficas y organizativas para minimizar dicho peligro. Para que este documento alcance la madurez probatoria exigida en procesos sancionadores, la entidad debe asegurar que la redacción incluya la participación activa no solo del departamento legal, sino de los responsables de ingeniería de sistemas, arquitectura de datos y seguridad de la información. Un análisis que carezca de profundidad técnica real en la descripción de los flujos de red o las bases de datos de producción será desestimado sistemáticamente por los inspectores de la autoridad supervisora, considerándolo un ejercicio cosmético que agrava la falta de diligencia empresarial. Listados oficiales y criterios sobre cuándo es obligatoria la evaluación de impacto Los criterios sobre cuándo es obligatoria la evaluación de impacto son las directrices condicionales, publicadas por el Grupo de Trabajo del Artículo 29 y asumidas por el CEPD, que determinan qué características operativas elevan una base de datos a la categoría de tratamiento de alto riesgo. La regla general imperativa estipula que, si un proyecto informático o comercial cumple al menos dos de los nueve criterios de riesgo estandarizados en Europa, el responsable del tratamiento está legalmente forzado a ejecutar este procedimiento auditor antes del despliegue en producción. Estos nueve criterios actúan como un sistema de alerta temprana. Incluyen escenarios como la evaluación sistemática y el perfilado automatizado con efectos jurídicos, el control exhaustivo a gran escala de zonas de acceso público, el procesamiento de categorías especiales de datos (como el historial clínico biométrico), el cruce indiscriminado de conjuntos de información de distinto origen, y la aplicación de soluciones tecnológicas innovadoras, como los sistemas de inteligencia artificial generativa o el reconocimiento facial en tiempo real para el acceso a instalaciones corporativas. Para reducir al máximo la incertidumbre jurídica de las compañías, los reguladores nacionales han emitido guías de aplicación estricta en sus respectivos territorios de jurisdicción soberana. Escenario tecnológico del tratamiento de datos Nivel de riesgo normativo estimado Obligatoriedad legal de evaluación de impacto Implementación de control horario biométrico Riesgo severo por procesamiento de categoría especial Ejecución obligatoria antes del despliegue técnico Perfilado publicitario masivo para decisiones automatizadas Riesgo alto por vulneración del derecho a la no discriminación Ejecución obligatoria sin excepciones admisibles Sistema CCTV corporativo a gran escala en zonas públicas Riesgo elevado por monitorización sistemática del comportamiento Ejecución obligatoria según listado del supervisor Envío de boletines informativos a clientes fidelizados Riesgo bajo o residual en contexto corporativo estándar Exento, salvo cruce con bases de datos externas Gestión automatizada de currículums con inteligencia artificial Riesgo extremo por evaluación automatizada sin sesgos probados Ejecución obligatoria y revisión continua del modelo   La Agencia Española de Protección de Datos (AEPD) publicó en 2019 un listado oficial exhaustivo que especifica

Leer más »
abril 24, 2026
Manual básico de protección de datos: cómo cumplir la ley
Protección de datos
Marisa Romero

Manual básico de protección de datos: cómo cumplir la ley

Las empresas actuales operan en un entorno digital donde la recopilación, almacenamiento y análisis de información personal es constante y masivo. Esta hiperconexión genera una exposición significativa a riesgos legales y operativos si la organización no establece un control estructurado sobre el flujo de los datos que maneja diariamente. La ausencia de políticas claras y documentadas desemboca frecuentemente en brechas de seguridad y denuncias ciudadanas. Estas negligencias desencadenan inspecciones exhaustivas de la autoridad de control y sanciones económicas severas que, sumadas al daño reputacional, pueden comprometer gravemente la viabilidad financiera y la confianza del mercado en la organización. Para evitar estos escenarios críticos, la implementación de un marco normativo interno es absolutamente esencial. Este proceso estructural requiere la intervención técnica especializada en protección de datos para garantizar que todos los procedimientos corporativos se alineen de forma estricta con la compleja legislación europea y nacional vigente. El manual básico de protección de datos es un documento corporativo integral que establece las directrices, políticas y procedimientos internos necesarios para garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). El artículo 83 del RGPD prevé multas administrativas de hasta 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optando por la de mayor cuantía, por el incumplimiento de estas normativas. Qué es el manual básico de protección de datos corporativo El manual básico de protección de datos corporativo es el eje documental de cumplimiento normativo que estructura, define y evidencia todas las obligaciones legales de la compañía respecto al tratamiento de información personal. Su existencia materializa el principio de responsabilidad proactiva o accountability, exigiendo a las empresas no solo cumplir la ley, sino ser capaces de demostrar dicho cumplimiento en todo momento. Históricamente, el cumplimiento se basaba en la mera inscripción de ficheros ante los organismos reguladores. En la actualidad, el enfoque es eminentemente preventivo y basado en el riesgo. El manual ya no es un documento estático, sino un sistema de gestión dinámico que debe auditarse y actualizarse continuamente. La Agencia Española de Protección de Datos (AEPD) ha reiterado en múltiples resoluciones sancionadoras que la simple redacción de políticas sin una implantación real en los flujos de trabajo carece de valor jurídico atenuante. Por tanto, el manual debe reflejar con exactitud la operativa diaria de los empleados y los sistemas informáticos. Un componente crucial de esta documentación es la definición de los roles y responsabilidades internas. Desde la alta dirección hasta el personal administrativo, cada estamento de la empresa debe conocer sus límites y obligaciones en el acceso y manipulación de bases de datos. La falta de este corpus documental debilita la posición procesal de la empresa ante cualquier reclamación. Cuando un ciudadano interpone una denuncia, la primera actuación de la autoridad de control es requerir las políticas internas; si estas no existen o están desfasadas, la intencionalidad o negligencia grave en la infracción se presume casi automáticamente. Principios rectores ineludibles en el manual básico de protección de datos Los principios rectores ineludibles en el manual básico de protección de datos son los mandatos imperativos establecidos en el artículo 5 del RGPD que condicionan la legalidad de cualquier recopilación, estructuración o conservación de información personal en la organización. Toda la arquitectura documental debe cimentarse sobre estos pilares innegociables. El diseño de cualquier nuevo producto, servicio o campaña de marketing debe someterse a la criba de estos principios desde su concepción. Es lo que la normativa denomina privacidad desde el diseño y por defecto, una obligación que previene la recopilación excesiva y los usos indebidos antes de que ocurran. Para integrar correctamente estos mandatos en la cultura organizativa, el manual debe detallar procedimientos específicos que vigilen las siguientes áreas críticas: El principio de licitud, lealtad y transparencia exige que la información proporcionada al interesado sobre el uso de su información personal sea concisa, fácilmente accesible y esté redactada en un lenguaje claro y sencillo, libre de tecnicismos legales confusos. El principio de minimización obliga a las organizaciones a limitar la recolección de información exclusivamente a aquellos datos que resulten adecuados, pertinentes y estrictamente necesarios para los fines concretos y explícitos del tratamiento. El principio de limitación del plazo de conservación impone la eliminación segura o anonimización irreversible de la información personal una vez que los fines que motivaron su recogida inicial hayan sido plenamente alcanzados por la empresa. El principio de integridad y confidencialidad requiere la aplicación de medidas técnicas y organizativas apropiadas para garantizar una seguridad adecuada contra el tratamiento no autorizado o ilícito, así como contra su pérdida, destrucción o daño accidental. El incumplimiento de estos principios fundamentales acarrea las sanciones más severas contempladas en el régimen disciplinario europeo. La jurisprudencia de la AEPD muestra una especial contundencia contra aquellas empresas que recaban datos masivamente sin un propósito justificado. Bases de legitimación en el manual básico de protección de datos Las bases de legitimación en el manual básico de protección de datos son las condiciones legales excluyentes recogidas en el artículo 6 del RGPD que otorgan validez jurídica al tratamiento de información personal por parte de una entidad pública o privada. Sin la concurrencia de al menos una de estas bases, cualquier tratamiento es ilícito por definición. El consentimiento expreso es la base más conocida, pero no siempre es la más adecuada ni la única disponible. El manual debe mapear meticulosamente qué base legal ampara cada actividad de tratamiento, evitando la sobreutilización del consentimiento cuando otras bases resultan más seguras y proporcionales. La ejecución de un contrato es la base natural para gestionar nóminas, facturación de clientes o entregas de pedidos. En estos escenarios, solicitar el consentimiento es un error técnico que puede generar indefensión si el titular decide retirarlo, impidiendo a la empresa cumplir con sus obligaciones precontractuales o contractuales. El interés legítimo es otra base fundamental, especialmente utilizada en videovigilancia corporativa o prevención de fraude. Sin embargo, el manual debe incluir

Leer más »
abril 24, 2026
Retos regulatorios en centros de datos: protección de datos e IA
noticias
Marisa Romero

Retos regulatorios en centros de datos: protección de datos e IA

El sector de centros de datos en España experimenta un crecimiento anual cercano al 20%, consolidándose como un hub estratégico de infraestructura digital, pero enfrentando un entorno normativo de alta complejidad. La calificación legal del operador como «encargado del tratamiento» frente al cliente, así como la implementación de medidas de seguridad física (videovigilancia y biometría), exigen un análisis jurídico riguroso y proporcional. La integración de sistemas de inteligencia artificial para monitorizar infraestructuras críticas sitúa a muchos centros bajo el nuevo Reglamento de IA, clasificando parte de su tecnología como de «alto riesgo». Anticipar el cumplimiento normativo en materia de gobernanza, supervisión humana y gestión de riesgos desde la fase de diseño es esencial para garantizar la viabilidad y sostenibilidad de las operaciones. El rol del operador ante la normativa de protección de datos La actividad de los centros de datos plantea una controversia fundamental: ¿deben considerarse encargados del tratamiento de los datos personales de sus clientes? Aunque técnicamente muchos operadores se limitan a proporcionar servicios de infraestructura —espacio físico, energía y conectividad—, la jurisprudencia de la Agencia Española de Protección de Datos (AEPD) tiende a ser más expansiva. Cuando existe un acceso, incluso potencial o indirecto, a los datos personales alojados en los sistemas de los clientes, la relación suele estructurarse bajo un contrato de encargo del tratamiento. Esto obliga al operador a formalizar obligaciones adicionales, como la gestión de subcontratistas, el reporte detallado de medidas de seguridad y una colaboración constante con el cliente para garantizar la integridad de los datos bajo el Reglamento General de Protección de Datos (RGPD). Seguridad física, biometría y el criterio de la AEPD La seguridad en los centros de datos no es un aspecto accesorio; es un requisito crítico. Sin embargo, la implementación de controles físicos mediante videovigilancia y biometría para proteger estas infraestructuras ha sido objeto de una estricta vigilancia regulatoria. Videovigilancia: Es una práctica aceptada, siempre que se respete el principio de proporcionalidad y se evite la conservación de imágenes más allá del plazo legal de 30 días. Sistemas biométricos: Al tratarse de categorías especiales de datos con un nivel de protección reforzado, su uso ha sido tradicionalmente restrictivo. No obstante, la AEPD comienza a abrir la puerta a su utilización en entornos de seguridad crítica o al servicio de Administraciones Públicas, siempre que no existan alternativas menos intrusivas y se realicen evaluaciones de impacto exhaustivas. Inteligencia Artificial: de la optimización al riesgo regulatorio Los centros de datos modernos dependen de herramientas avanzadas de IA para gestionar parámetros críticos como la temperatura, la humedad y el consumo energético. Esta automatización conlleva que ciertos sistemas de IA sean clasificados como de alto riesgo bajo el nuevo Reglamento de Inteligencia Artificial europeo, particularmente aquellos que actúan como componentes de seguridad en infraestructuras digitales críticas, tales como alarmas contra incendios o controles de presión de agua. La aplicación plena de esta normativa, prevista para agosto de 2026, impondrá exigencias profundas en el diseño y despliegue tecnológico. Esto incluye la obligación de implementar mecanismos de gestión de riesgos, garantizar una supervisión humana efectiva y realizar un control de calidad constante sobre los datos que alimentan estos sistemas. Hacia una estrategia de cumplimiento proactivo El crecimiento exponencial de los centros de datos en España obliga a sus operadores a integrar el cumplimiento legal como un pilar fundamental de su estrategia de negocio. Ya no basta con garantizar la eficiencia técnica o energética; la capacidad de responder a los retos del marco regulatorio sobre datos e IA definirá la competitividad del sector. La gestión del cumplimiento normativo debe abordarse desde la fase de diseño, lo que implica una gobernanza preventiva. Aquellos operadores que logren alinear sus infraestructuras con las crecientes exigencias de transparencia, evaluación técnica y seguridad, no solo evitarán sanciones, sino que consolidarán su posición como socios de confianza en la economía digital europea.

Leer más »
abril 20, 2026
Brecha de seguridad en la AEPD: filtran por error DNI y firmas de trabajadores
noticias
Marisa Romero

Brecha de seguridad en la AEPD: filtran por error DNI y firmas de trabajadores

La Agencia Española de Protección de Datos (AEPD) remitió por error un documento con datos personales sensibles, incluyendo DNI y firmas, a un destinatario no autorizado. El incidente ocurrió durante un procedimiento administrativo cuando se envió información confidencial de diez personas al reclamante del expediente. Aunque la AEPD califica el suceso como un error administrativo sin consecuencias graves, ha sido obligada a facilitar la fecha en la que registró internamente la brecha. La institución sostiene que los datos no eran especialmente sensibles y que ya eran parcialmente conocidos por el receptor, minimizando así el impacto del fallo. Un fallo administrativo con repercusiones en la privacidad La Agencia Española de Protección de Datos (AEPD), autoridad responsable de velar por el cumplimiento de la normativa en esta materia, ha reconocido una violación de seguridad en el tratamiento de datos personales. Este incidente, que la institución ha calificado internamente como un fallo administrativo accidental, supuso la exposición de información sensible de diez trabajadores, contraviniendo los protocolos de confidencialidad que la propia entidad supervisa. El suceso se originó en el contexto de un procedimiento administrativo ya abierto entre la AEPD y un ciudadano. Dicho afectado, que participaba como parte interesada, recibió por equivocación un requerimiento que la Agencia debía haber enviado a una entidad externa. El error radicó en la inclusión de anexos que contenían datos personales identificativos, tales como nombres, apellidos, números de DNI y firmas manuscritas de los integrantes de la empresa destinataria. Proceso de solicitud y transparencia informativa Tras percatarse de la recepción de dicha información, el ciudadano solicitó formalmente el acceso a los registros relativos a la gestión de este incidente. El proceso administrativo fue evolucionando, con una petición inicial que abarcaba diversos expedientes internos. Finalmente, el reclamante focalizó su requerimiento en un dato concreto: la fecha exacta en la que la Agencia comunicó la brecha de seguridad. La respuesta inicial de la AEPD concedió únicamente un acceso parcial a la información solicitada. Si bien la entidad confirmó la existencia de la brecha y su correspondiente documentación interna, se negó a facilitar la fecha pedida. La Agencia fundamentó esta negativa argumentando que la divulgación de tal información podría afectar a sus funciones de control, inspección e investigación, además de señalar que proporcionar un dato aislado podría derivar en una interpretación incompleta del contexto. 
 Resolución administrativa y análisis de riesgo La resolución del conflicto administrativo ha determinado que la AEPD deberá facilitar al solicitante la fecha en la que se comunicó internamente la brecha. No obstante, el acceso se restringe estrictamente a este dato temporal, sin permitir la consulta de otros contenidos, registros o detalles adicionales sobre la tramitación específica del incidente. La postura oficial de la AEPD sostiene que el error no ha ocasionado daños ni perjuicios tangibles a las diez personas afectadas. Según la argumentación de la Agencia, gran parte de los datos comprometidos, incluidos los nombres, apellidos y ocho de los números de DNI, ya obraban en poder del reclamante debido a su participación en un procedimiento anterior. En consecuencia, la institución determinó que no era preciso implementar actuaciones adicionales, al considerar que no existía un riesgo relevante para los derechos y libertades de las personas cuyos datos fueron expuestos en este fallo.

Leer más »
abril 20, 2026
Externalizar el ENS vs uso interno: qué conviene a tu empresa
Esquema Nacional de Seguridad
Marisa Romero

Externalizar el ENS vs uso interno: qué conviene a tu empresa

El ecosistema de la contratación pública española ha impuesto un nivel de exigencia tecnológica que obliga a las empresas proveedoras a replantear por completo su estrategia de ciberseguridad corporativa. Al enfrentarse a los severos requisitos del marco regulatorio nacional para poder licitar o mantener contratos con la administración, los consejos de administración y los directores de tecnología se topan invariablemente con un dilema organizativo crítico que definirá el futuro operativo de la compañía: asumir el complejo reto de adecuar todos los sistemas informáticos utilizando exclusivamente sus propios recursos internos o, por el contrario, delegar esta inmensa responsabilidad técnica y jurídica en firmas consultoras externas altamente especializadas. Esta decisión gerencial no es un simple debate sobre la distribución cotidiana de las cargas de trabajo, sino una elección estratégica fundamental que impacta directamente y a largo plazo en la viabilidad financiera de las operaciones del negocio. Optar por un modelo de gestión inadecuado para la estructura y el tamaño real de la organización desencadena consecuencias económicas y legales devastadoras a muy corto plazo. Si una pequeña o mediana empresa intenta asumir la implantación de estas normativas con un departamento informático generalista y saturado, el resultado más habitual es la generación de documentación puramente cosmética, la mala configuración de las defensas perimetrales y, en última instancia, el suspenso fulminante en la auditoría de certificación oficial. Este fracaso técnico y procedimental supone la expulsión automática de los procesos de licitación pública, la pérdida irrecuperable de los contratos ya adjudicados y la gravísima exposición del patrimonio corporativo a expedientes sancionadores por parte de las autoridades competentes debido a una negligencia manifiesta en la custodia de los datos sensibles de los ciudadanos. Para neutralizar de raíz estos inminentes riesgos de exclusión comercial y garantizar que la adaptación tecnológica se ejecute con precisión quirúrgica sin incurrir en sobrecostes ocultos, la decisión más inteligente y protectora para el patrimonio societario es apoyarse en especialistas externos que dominen a la perfección los entresijos de la regulación estatal. Externalizar este delicado proceso a través de un servicio experto en la adecuación integral al ENS permite a la empresa delegar por completo la pesada carga burocrática, asegurar el cumplimiento estricto de la segregación de funciones exigida por la ley y afrontar las temidas inspecciones oficiales con la absoluta tranquilidad de contar con un blindaje jurídico y técnico totalmente inquebrantable ante cualquier auditor independiente. Externalizar el ENS es el proceso estratégico mediante el cual una empresa delega el diseño, la implantación y el mantenimiento de las medidas de ciberseguridad exigidas por el Real Decreto 311/2022 en una firma consultora independiente. Esta práctica garantiza la objetividad en la evaluación de los riesgos tecnológicos, asegura la separación legal de funciones directivas y acelera la obtención de la certificación oficial. El dilema de la gestión interna de la ciberseguridad corporativa La gestión interna de la ciberseguridad es el modelo organizativo que asigna la enorme responsabilidad de proteger los sistemas de información y redactar las políticas de cumplimiento normativo exclusivamente a los empleados adscritos a la plantilla estructural de la propia empresa. Aunque este enfoque autárquico puede parecer a priori, para los directores financieros menos experimentados, una forma intuitiva de ahorrar sustanciales costes de consultoría externa, en la inmensa mayoría de las ocasiones prácticas se convierte en una peligrosa trampa financiera y operativa para las pequeñas y medianas empresas españolas que no disponen de presupuestos tecnológicos millonarios. El principal obstáculo de la gestión puramente interna radica en la abrumadora carga de trabajo administrativo y procedimental que exige la redacción del marco normativo corporativo. El personal del departamento de sistemas informáticos, habituado a solucionar incidencias diarias de conectividad, gestionar las bases de datos y proporcionar soporte ofimático a los usuarios, se ve repentinamente forzado a paralizar sus funciones habituales para dedicarse a interpretar farragosos textos legales. Esta desviación de los recursos humanos internos provoca inevitablemente un colapso en el mantenimiento de las operaciones comerciales de la empresa, generando retrasos insoportables en los proyectos de digitalización que realmente aportan valor económico al negocio central de la organización. Además del colapso operativo, la gestión interna adolece crónicamente de la falta de conocimientos hiperespecializados que demanda la actual legislación estatal sobre protección de infraestructuras críticas. Las directrices de la serie STIC publicadas por el Centro Criptológico Nacional (CCN) exigen la aplicación de controles criptográficos avanzados para sistemas categorizados como de nivel medio o alto, un grado de sofisticación técnica que requiere perfiles profesionales de ciberinteligencia que rara vez se encuentran en la plantilla base de una pyme tradicional. Intentar suplir esta grave carencia técnica mediante la formación acelerada del personal interno resulta ineficaz y peligrosamente lento frente a la presión de los plazos que imponen los pliegos de contratación de las administraciones públicas. Finalmente, el sesgo de confirmación inherente a cualquier autoevaluación corporativa compromete de manera letal la objetividad del proceso de adecuación preventiva. Cuando son los propios administradores de la red informática quienes deben auditar y juzgar la eficacia real de las medidas de seguridad que ellos mismos han configurado previamente, resulta humanamente imposible que identifiquen con la frialdad necesaria sus propios errores de arquitectura tecnológica o sus negligencias en la asignación de permisos de acceso. Este defecto de forma estructural conduce irremediablemente a la empresa a presentar un sistema profundamente viciado ante la auditoría externa final, garantizando el fracaso en la obtención de la certificación gubernamental. Externalización integral del cumplimiento normativo y tecnológico La externalización integral del cumplimiento es la delegación completa y contractual de las obligaciones legales, organizativas y técnicas de protección de datos en un equipo multidisciplinar de expertos auditores y juristas ajenos a la plantilla estructural de la compañía. Este modelo moderno de gestión de riesgos transfiere íntegramente el monumental peso del desarrollo normativo y la vigilancia cibernética continua a profesionales que viven inmersos en el ecosistema diario de las auditorías oficiales, garantizando así a la empresa cliente un nivel de actualización jurídica y destreza tecnológica que resulta materialmente imposible de replicar para un departamento informático tradicional de carácter puramente generalista. El mayor beneficio

Leer más »
abril 20, 2026
Cuánto cuesta el ENS para una pyme: opciones y desglose
Esquema Nacional de Seguridad
Marisa Romero

Cuánto cuesta el ENS para una pyme: opciones y desglose

La participación en el mercado público español ha experimentado una transformación tecnológica sin precedentes, donde la ciberseguridad ha dejado de ser una simple recomendación técnica para convertirse en una barrera de entrada infranqueable. Las pequeñas y medianas empresas que suministran bienes o servicios a cualquier administración pública se encuentran ahora frente a la exigencia ineludible de demostrar que sus infraestructuras digitales son completamente seguras y resistentes a ciberataques. Este nuevo escenario regulatorio genera una profunda incertidumbre en los consejos de administración y direcciones financieras de las pymes, que perciben la adecuación a estos altos estándares como un gasto inasumible y desproporcionado para su volumen de negocio. El desconocimiento sobre las partidas económicas reales y la falta de planificación estratégica abocan a muchas organizaciones a cometer errores financieros catastróficos. Intentar afrontar procesos de licitación pública sin disponer de los certificados de seguridad exigidos en los pliegos de condiciones administrativas conlleva la exclusión automática e inmediata del concurso, la pérdida irrecuperable de contratos que sostienen la facturación anual y un grave deterioro del posicionamiento corporativo. Además, tratar de implementar las medidas técnicas de forma improvisada a última hora multiplica los costes operativos, paraliza la actividad diaria de la plantilla y suele derivar en la adquisición de soluciones de software sobredimensionadas que la empresa realmente no necesita para cumplir con su nivel de riesgo real. Para optimizar esta inversión ineludible y garantizar que cada euro destinado a ciberseguridad ofrezca un retorno tangible en términos de cumplimiento y protección de datos, es vital abordar el proyecto mediante una metodología analítica y estructurada. Contar con el asesoramiento experto en la implantación del ENS permite a la pyme dimensionar económicamente el proyecto de forma realista, priorizando aquellas medidas organizativas y tecnológicas que son estrictamente obligatorias para su categoría, evitando sobrecostes innecesarios y asegurando la obtención ágil de la certificación oficial. El coste de implantación del Esquema Nacional de Seguridad es una inversión financiera y tecnológica que varía en función del tamaño de la organización y la complejidad de sus sistemas de información. Para una pyme estándar, el desembolso inicial de adecuación técnica y documental suele oscilar entre los cuatro mil y los quince mil euros, cifra a la que posteriormente deben sumarse las tasas obligatorias de la entidad certificadora externa. La categorización del sistema y su impacto directo en el presupuesto La categorización del sistema de información es el procedimiento analítico que determina el nivel de seguridad técnico y organizativo exigible a una entidad corporativa. Esta fase inicial del proyecto actúa como el pilar fundamental sobre el que se estructurará todo el presupuesto posterior de adecuación, ya que define matemáticamente la cantidad exacta de controles y medidas de protección que la empresa estará obligada a implementar por ley. El Real Decreto 311/2022, que regula y actualiza este marco normativo a nivel estatal, establece tres categorías posibles para los sistemas de información: básica, media y alta. La asignación de una categoría u otra no es una decisión voluntaria de la dirección de la empresa, sino el resultado estricto de evaluar el impacto que tendría un incidente de seguridad sobre las dimensiones de confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad de los datos manejados. Si una pyme tecnológica gestiona datos de salud de ciudadanos para una consejería autonómica, el impacto de una brecha será calificado como alto, arrastrando al sistema a la categoría más restrictiva y costosa. Desde una perspectiva puramente financiera, la diferencia de costes entre categorías es abismal. Mientras que un sistema de categoría básica exige la implementación de setenta y tres medidas de seguridad fundamentales, un sistema categorizado como alto requiere el despliegue de más de cien controles técnicos altamente complejos, muchos de los cuales exigen la compra de licencias de software de grado militar y la contratación de perfiles profesionales hiperespecializados en ciberinteligencia. El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia, publica periódicamente las guías de la serie STIC para ayudar a las entidades a interpretar estas exigencias legales. La lectura y aplicación meticulosa de las directrices emanadas del CCN-CERT resultan indispensables para no errar en la valoración inicial del sistema. Un error en esta fase, asumiendo una categoría inferior a la real, provocará el rechazo fulminante durante la evaluación final, obligando a la empresa a reiniciar el proceso y duplicando los honorarios de la consultoría y de la auditoría técnica. El diseño documental y la segregación de funciones normativas El diseño del marco documental corporativo es el proceso de ingeniería organizativa que formaliza y aprueba todas las políticas de ciberseguridad internas de la compañía. Lejos de ser un simple trámite administrativo o la creación de manuales vacíos de contenido, esta fase exige redefinir los flujos de trabajo de toda la plantilla para garantizar que la seguridad esté integrada desde el diseño y por defecto en cada operación comercial, administrativa o técnica que realice la entidad. La norma exige imperativamente el nombramiento formal de diferentes roles para evitar conflictos de interés en la toma de decisiones tecnológicas. La ley obliga a separar la figura del responsable del sistema, encargado de la operatividad diaria de los servidores y aplicaciones, de la figura del responsable de seguridad, quien tiene la potestad exclusiva de dictaminar si el nivel de riesgo técnico asumido por la empresa es aceptable. En las pequeñas y medianas empresas, donde las plantillas son reducidas, esta segregación de funciones supone un verdadero reto económico, ya que obliga a la gerencia a reorganizar su organigrama directivo o a subcontratar ciertos roles de supervisión externa para mantener la independencia exigida por la legislación. Para que este complejo entramado organizativo sea verdaderamente válido ante una inspección oficial, la organización debe redactar, aprobar e implantar un cuerpo normativo exhaustivo que documente todos los procesos críticos. Las partidas económicas destinadas a esta fase de consultoría procedimental cubren habitualmente la elaboración de los siguientes documentos ineludibles: Redacción minuciosa de la política de seguridad de la información, aprobada formalmente en acta por el máximo órgano de administración de la persona jurídica o consejo directivo. Elaboración detallada de la

Leer más »
abril 20, 2026
Requerimiento Inspección de Trabajo: plan de igualdad
Ética corporativa
Marisa Romero

Requerimiento Inspección de trabajo: plan de igualdad

Recibir una notificación certificada del Ministerio de Trabajo genera una paralización inmediata en cualquier departamento de recursos humanos o consejo de administración. Cuando el documento es un requerimiento específico para auditar las políticas de paridad de la compañía, significa que la administración pública ha detectado, mediante el cruce automatizado de datos con la Seguridad Social, que la organización ha superado el umbral legal de plantilla sin haber notificado la existencia de su normativa interna de género. Esta situación no es un simple aviso rutinario, sino el inicio formal de un procedimiento de investigación que coloca a la empresa bajo la lupa directa de las autoridades sancionadoras del Estado. Ignorar esta notificación, responder con evasivas o presentar documentación incompleta descargada de internet desencadena consecuencias corporativas devastadoras a muy corto plazo. La Ley sobre Infracciones y Sanciones en el Orden Social (LISOS) califica en su artículo 8.17 la falta de este documento normativo como una infracción muy grave, imponiendo multas que pueden alcanzar los 225.018 euros. Más allá del impacto financiero directo que supone la liquidación de la multa, la corporación expedientada se enfrenta a la pérdida fulminante de bonificaciones a la contratación, la exclusión automática de licitaciones públicas y la imposibilidad de acceder a subvenciones europeas durante años, ahogando su capacidad de crecimiento en el mercado. Para gestionar esta crisis regulatoria con plenas garantías de éxito, paralizar la imposición de multas y regularizar la situación laboral de la corporación, es estrictamente necesario contar con la intervención urgente de juristas especializados en derecho laboral y auditoría retributiva. Delegar la respuesta a la administración en un servicio experto de Plan de Igualdad asegura que cada documento entregado al subinspector cumpla con los severos estándares exigidos por la jurisprudencia actual, protegiendo el patrimonio de la empresa y demostrando una verdadera voluntad de subsanación ante los poderes públicos. Un requerimiento de la Inspección de Trabajo sobre el plan de igualdad es una notificación oficial y vinculante que exige a la empresa acreditar documentalmente el cumplimiento de sus obligaciones en materia de paridad. El Real Decreto 901/2020 establece que las empresas con cincuenta o más trabajadores deben tener este documento registrado para evitar sanciones. El requerimiento oficial y el alcance de las campañas de vigilancia El requerimiento oficial es un acto administrativo que inicia un procedimiento de comprobación para verificar el grado de cumplimiento de la normativa laboral dentro de una corporación. Este documento, que suele llegar a través de la sede electrónica de la empresa (Dirección Electrónica Habilitada), marca un punto de no retorno jurídico. Desde el instante en que el representante legal de la compañía abre la notificación, comienzan a correr plazos perentorios e improrrogables para aportar todas las pruebas documentales que exige el ministerio. Durante los últimos años, la Inspección de Trabajo y Seguridad Social (ITSS) ha abandonado el modelo tradicional de inspecciones aleatorias presenciales para abrazar la analítica de datos masiva. Utilizando algoritmos de inteligencia artificial que cruzan diariamente la información de afiliación a la Seguridad Social, la Agencia Tributaria y el Registro de Acuerdos Colectivos (REGCON), la autoridad laboral identifica de forma matemática y automática a aquellas entidades que, habiendo superado los cincuenta empleados de media anual, no han inscrito su normativa de paridad. Esto significa que el requerimiento no es fruto de la casualidad o de la denuncia de un empleado descontento, sino de una campaña de vigilancia sistemática y teledirigida de alcance nacional. El artículo 46 de la Ley Orgánica 3/2007 define los planes de igualdad como un conjunto ordenado de medidas adoptadas después de realizar un diagnóstico de situación exhaustivo. La inspección no se conforma con verificar la existencia de un documento genérico con buenas intenciones; el subinspector encargado del expediente exigirá evidencias tangibles de que se ha realizado ese diagnóstico cuantitativo profundo, prestando especial atención a las actas de constitución de la mesa negociadora y a las auditorías de brecha salarial desglosadas por grupos profesionales y categorías equivalentes. Frente a esta presión inspectora, la celeridad en la reacción corporativa es el factor más determinante para el archivo del expediente. Si la corporación no dispone del documento terminado, pero logra acreditar de manera indubitada que los trámites de negociación con las fuerzas sindicales se iniciaron meses antes de recibir la notificación estatal, el inspector actuante suele conceder plazos adicionales de gracia para la finalización de los trabajos, valorando positivamente la buena fe contractual y la diligencia debida del órgano de administración. Fases críticas del procedimiento de inspección laboral El procedimiento de inspección es la secuencia legal de trámites que comienza con la notificación de la autoridad y culmina con el archivo del expediente o la imposición de una sanción. Este itinerario procesal está fuertemente tasado por la Ley Ordenadora del Sistema de Inspección de Trabajo, otorgando a los funcionarios públicos amplias facultades de investigación, requerimiento de información confidencial y personación física en los centros de trabajo sin necesidad de aviso previo a la gerencia. Comprender la cronología de este procedimiento resulta vital para no cometer errores irreversibles en la estrategia de defensa de la compañía. Una vez que el requerimiento inicial ha sido emitido y notificado correctamente, la empresa queda sometida a las siguientes actuaciones obligatorias que debe sortear con máxima precaución técnica: Recepción y análisis exhaustivo de la notificación oficial para identificar exactamente qué documentos legales exige el subinspector y los plazos perentorios otorgados para su presentación telemática. Recopilación íntegra de la documentación corporativa requerida, incluyendo los justificantes oficiales de convocatoria a los sindicatos más representativos del sector de actividad correspondiente. Comparecencia presencial o telemática ante la autoridad laboral competente para defender las actuaciones realizadas y demostrar la firme voluntad de cumplimiento de la dirección corporativa. Recepción del acta de liquidación o acta de infracción definitiva, contra la cual la empresa afectada podrá presentar las alegaciones y recursos jurídicos pertinentes en los plazos estipulados. Las actas de infracción levantadas por la Inspección de Trabajo y Seguridad Social gozan de presunción de certeza jurídica, lo que invierte la carga de la prueba hacia la empresa expedientada durante

Leer más »
abril 20, 2026
Consultora de compliance penal: cómo elegir la adecuada
Compliance corporativo
Marisa Romero

Consultora de compliance penal: cómo elegir la adecuada

El tejido empresarial contemporáneo se enfrenta a un escrutinio legal sin precedentes, donde cualquier irregularidad operativa puede desencadenar consecuencias devastadoras para la supervivencia de la compañía. Los administradores, directivos y consejos de administración operan en un entorno de máxima exigencia, donde el desconocimiento de la ley o la delegación incontrolada de funciones ya no sirven como excusa válida ante las autoridades. En este contexto de riesgo corporativo extremo, el mayor desafío de las organizaciones no es únicamente cumplir con la normativa, sino ser capaces de demostrar de forma inequívoca y documentada que han puesto todos los medios necesarios para prevenir, detectar y reaccionar ante cualquier conducta delictiva originada en su seno. La falta de un sistema preventivo adecuado, o la implantación de un modelo superficial y deficiente, deja a la organización completamente desprotegida ante la justicia y expone su patrimonio a contingencias inasumibles a corto plazo. La imputación penal de la persona jurídica arrastra consigo una grave crisis reputacional inmediata, la pérdida fulminante de la confianza de inversores y clientes estratégicos, y sanciones económicas que pueden paralizar definitivamente la actividad comercial. A esto se suma el riesgo inminente de que los propios administradores se enfrenten a responsabilidades personales y patrimoniales solidarias por no haber ejercido el debido deber de vigilancia y control sobre sus subordinados directos, un escenario que destruye el valor corporativo construido durante años de esfuerzo. Para neutralizar de raíz estas amenazas y establecer un perímetro de seguridad jurídica verdaderamente infranqueable, las empresas necesitan el respaldo técnico de verdaderos expertos en derecho penal corporativo, huyendo definitivamente de soluciones estandarizadas que carecen de rigor. Este proceso de blindaje legal requiere obligatoriamente el acompañamiento de un servicio especializado en Compliance que audite los procesos internos de forma exhaustiva, evalúe las vulnerabilidades específicas del modelo de negocio y diseñe un entramado de políticas de integridad que funcione como una auténtica prueba de descargo eximente ante los tribunales de justicia. Una consultora de compliance penal es una firma especializada en derecho corporativo que diseña, implementa y audita modelos de prevención de delitos. Su objetivo principal es eximir o atenuar la responsabilidad penal de la persona jurídica frente a posibles investigaciones judiciales. El artículo 31 bis del Código Penal español establece que las personas jurídicas son penalmente responsables de los delitos cometidos en su nombre o por su cuenta por sus representantes legales o empleados. El papel de la consultora de compliance penal en la corporación Una consultora de compliance penal es una firma de asesoramiento jurídico que diseña, implementa y audita sistemas de prevención para proteger a las organizaciones frente a responsabilidades criminales. Su intervención va mucho más allá de la simple redacción de manuales teóricos, constituyéndose como un socio estratégico ineludible que analiza la intrincada realidad operativa de la empresa para identificar exactamente dónde residen las amenazas legales latentes. La función principal de estos peritos es traducir las complejas exigencias del ordenamiento punitivo a procesos de negocio cotidianos, trazables y totalmente comprensibles para toda la plantilla, desde la alta dirección hasta los operarios de base de la entidad. El desarrollo de un modelo preventivo eficaz y real exige un profundo conocimiento tanto del derecho penal económico como de la auditoría de gestión organizativa, una dualidad técnica que solo los despachos altamente especializados pueden ofrecer con totales garantías de éxito. La consultoría externa se encarga de cartografiar detalladamente el mapa de riesgos de la entidad, determinando con precisión matemática la probabilidad de ocurrencia y el impacto financiero potencial de delitos tan graves como el blanqueo de capitales, las estafas continuadas, los delitos contra la hacienda pública, el cohecho internacional o las infracciones contra el medio ambiente. Sin este análisis pormenorizado y adaptado milimétricamente a la singularidad del sector de la empresa, cualquier medida de control posterior carece de fundamento lógico y de cualquier tipo de validez procesal. La Sentencia 154/2016 del Tribunal Supremo determinó por primera vez que la responsabilidad penal de la empresa es independiente de la de las personas físicas que cometieron el acto ilícito. Esto significa que la administración de justicia examinará minuciosamente si la corporación contaba con una verdadera cultura de respeto a la legalidad vigente, un extremo probatorio que los asesores externos ayudan a construir sólidamente mediante la instauración de órganos de control interno independientes, la redacción de códigos éticos vinculantes y la creación de protocolos de toma de decisiones corporativas que resulten completamente transparentes y auditables. El trabajo integral de la firma consultora se extiende también de manera crítica al ámbito formativo y de concienciación activa de la plantilla, asegurando de forma fehaciente que las políticas de integridad no queden olvidadas en un cajón directivo. Las sesiones de capacitación presencial y online diseñadas por estos expertos proporcionan a los empleados de todos los niveles jerárquicos las herramientas necesarias para identificar dilemas éticos complejos y reportar conductas operativas irregulares a través de los canales internos habilitados para ello, fomentando un clima de seguridad psicológica corporativa inquebrantable. Riesgos de elegir un asesoramiento inexperto o basado en plantillas El asesoramiento inexperto es un servicio legal deficiente que expone a las corporaciones a graves contingencias judiciales al generar documentación estandarizada sin ningún valor probatorio real. En el mercado actual de servicios jurídicos, prolifera peligrosamente la oferta de proveedores de bajo coste que prometen auditar e implementar sistemas de cumplimiento normativo corporativo en un tiempo récord y a precios irreales, basando su cuestionable metodología en la entrega masiva de manuales genéricos de «copiar y pegar». Esta práctica negligente, lejos de proteger jurídicamente a la empresa contratante, crea una falsa sensación de seguridad interna que resulta sumamente perjudicial para la libertad y el patrimonio del órgano de administración societario. A este peligroso fenómeno se le conoce comúnmente en la jurisprudencia y la doctrina jurídica como cumplimiento de fachada o make-up compliance, una simulación organizativa superficial que los tribunales de la jurisdicción penal identifican rápidamente y castigan con una contundencia extrema. Cuando una entidad mercantil sufre una investigación judicial o policial, el juez de instrucción competente no se limita en absoluto a

Leer más »
abril 20, 2026
Código ético empresarial: normativa y claves de redacción
Compliance corporativo
Marisa Romero

Código ético empresarial: normativa y claves de redacción

La gestión corporativa actual exige a las organizaciones ir mucho más allá del simple cumplimiento normativo básico, enfrentándose al enorme desafío de documentar y aplicar una cultura de integridad que sea verificable ante terceros. Los administradores y directivos ya no pueden operar basándose únicamente en la confianza mutua, sino que necesitan establecer reglas documentadas que guíen el comportamiento de cada persona que interactúa con la compañía, desde el empleado recién incorporado hasta el socio comercial más estratégico. La ausencia de directrices claras y exigibles no solo deteriora gravemente el clima laboral y erosiona la reputación de la marca en el mercado, sino que expone a la empresa a consecuencias legales devastadoras. El principal riesgo es la imputación penal de la propia persona jurídica por delitos cometidos en su seno o en su beneficio, una realidad judicial que puede culminar en multas millonarias, la suspensión de las actividades o la prohibición definitiva para contratar con las administraciones públicas si no se acredita un modelo de prevención eficaz y operativo. Para mitigar estos riesgos inminentes y establecer un marco de actuación completamente seguro, es imprescindible estructurar políticas internas sólidas que alineen la estrategia de negocio con la más estricta legalidad vigente. Este proceso requiere apoyarse en un servicio especializado de Compliance Penal que garantice la trazabilidad de cada decisión corporativa, asegurando que la empresa cuente con las defensas jurídicas adecuadas frente a cualquier inspección regulatoria o procedimiento judicial adverso. Un código ético empresarial es un documento normativo interno que establece los principios, valores y reglas de conducta obligatorias para todos los miembros de una organización. Su función principal es prevenir la comisión de infracciones y asegurar el cumplimiento normativo integral. Según la Circular 1/2016 de la Fiscalía General del Estado, constituye la piedra angular de cualquier modelo de prevención penal válido. El código ético empresarial en el marco del compliance normativo El código ético empresarial es el reglamento interno fundamental que vertebra la prevención de riesgos legales en una corporación. Su función principal es establecer el estándar primario de comportamiento del cual derivan y se nutren todas las políticas y procedimientos específicos de la empresa. La redacción de este documento no es una simple declaración de intenciones o un ejercicio de marketing corporativo. Se trata de una auténtica norma de obligado cumplimiento interno que tiene plenos efectos jurídicos tanto en el ámbito laboral como en el penal. El artículo 31 bis del Código Penal español establece que las personas jurídicas pueden ser penalmente responsables de los delitos cometidos por sus representantes o empleados, a menos que cuenten con modelos de prevención idóneos donde el código ético actúa como el eje central de defensa. Para que este documento tenga verdadera fuerza eximente en un proceso penal, debe estar permanentemente vivo y comunicado a toda la plantilla. El Tribunal Supremo, en su histórica Sentencia 154/2016, que fue pionera en delimitar la responsabilidad penal de la persona jurídica, determinó que el mero hecho de contar con un manual preventivo no exime de la pena si no se demuestra una verdadera cultura de cumplimiento en la que el código se aplica disciplinariamente ante cualquier desviación. La figura del oficial de cumplimiento, comúnmente conocido como compliance officer, resulta determinante en este entorno. Este órgano interno tiene la misión de vigilar la eficacia del código, supervisar su cumplimiento y promover su actualización. Sin la supervisión activa y constante de este rol independiente, el código normativo pierde su vigencia práctica, convirtiéndose en papel mojado ante cualquier tribunal de justicia. Requisitos fundamentales según la norma UNE 19601 La norma UNE 19601 es el estándar técnico nacional español que establece los requisitos para certificar un sistema de gestión de compliance penal eficaz. Su objetivo es proporcionar a las organizaciones una metodología auditable y estandarizada que demuestre ante los jueces y reguladores la diligencia debida en la prevención de delitos corporativos. Desarrollada por la Asociación Española de Normalización, esta norma traduce las complejas exigencias del Código Penal a un lenguaje de gestión empresarial comprensible y aplicable. La obtención de una certificación bajo este estándar, aunque no es obligatoria por ley, aporta una presunción de idoneidad muy valorada por la judicatura y por las contrapartes en operaciones de fusiones y adquisiciones corporativas. Para que un código ético esté perfectamente alineado con las exigencias de este estándar técnico, la organización debe implementar y evidenciar una serie de requisitos ineludibles: Aprobación formal por la alta dirección: el órgano de administración de la empresa debe suscribir el documento mediante un acta formal, asumiendo el liderazgo absoluto y garantizando la asignación de recursos económicos y humanos para su despliegue efectivo. Identificación exhaustiva de comportamientos prohibidos: el texto debe detallar con absoluta claridad aquellas conductas que la organización no tolera bajo ninguna circunstancia, haciendo especial hincapié en los riesgos penales identificados en la evaluación previa de la compañía. Establecimiento de un régimen disciplinario riguroso: es legalmente imperativo diseñar un sistema sancionador interno que castigue de manera proporcional y efectiva cualquier vulneración de las directrices marcadas, respaldándose siempre en la legislación laboral vigente. Obligación de reporte y protección frente a represalias: el estándar exige que todos los miembros de la plantilla comuniquen cualquier sospecha fundada de infracción a través de canales habilitados, garantizando la total inmunidad del informante de buena fe. El cumplimiento de estos puntos permite a la organización no solo protegerse jurídicamente, sino también acceder a ventajas competitivas significativas, como la mejora de la reputación corporativa, el aumento de la confianza de los inversores internacionales y el acceso preferente a licitaciones públicas de gran envergadura. Estructura y contenido obligatorio de un código de conducta La estructura de un código de conducta es el esquema organizativo interno que clasifica las normas y procedimientos aplicables a la empresa. Su propósito es garantizar la comprensión inmediata, la aplicabilidad diaria y la vigencia jurídica del documento en el complejo entorno corporativo actual. Un diseño organizativo deficiente o excesivamente teórico convierte el texto en un trámite puramente formal sin capacidad real para mitigar los riesgos legales a los que se enfrenta

Leer más »
abril 20, 2026

¡Será un placer asesorarte!

Contacta con un experto

Déjanos tus datos y te asesoraremos de forma personalizada en menos de 48h sin ningún tipo de compromiso.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

¿Necesitas ayuda con el cumplimiento normativo de tu organización?

Te asignaremos un consultor experto para darte una solución personalizada gratuita en menos de 48h.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

Audidat
GDPR AUDIDAT  GDPR Cookie Compliance
Resumen de privacidad

Bienvenida/o a la información básica sobre las cookies de la página web responsabilidad de la entidad: AUDIDAT 3.0, S.L. Una cookie o galleta informática es un pequeño archivo de información que se guarda en tu ordenador, “smartphone” o tableta cada vez que visitas nuestra página web. Algunas cookies son nuestras y otras pertenecen a empresas externas que prestan servicios para nuestra página web.  Las cookies pueden ser de varios tipos: las cookies técnicas son necesarias para que nuestra página web pueda funcionar, no necesitan de tu autorización y son las únicas que tenemos activadas por defecto.  El resto de cookies sirven para mejorar nuestra página, para personalizarla en base a tus preferencias, o para poder mostrarte publicidad ajustada a tus búsquedas, gustos e intereses personales. Puedes aceptar todas estas cookies pulsando el botón ACEPTAR, rechazarlas pulsando el botón RECHAZAR o configurarlas clicando en el apartado CONFIGURACIÓN DE COOKIES. Si quieres más información, consulta la POLÍTICA DE COOKIES de nuestra página web.