Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI
logo-audidat-2024.png
TU PRIMERA CONSULTA LEGAL
CONTACTO
TU PRIMERA CONSULTA LEGAL
CONTACTO
Imagen de Manolo Perezagua Naharro

Manolo Perezagua Naharro

  • Licenciado en Derecho.
  • Dieciocho años de experiencia en el ámbito de la protección de datos personales.
  • Director Técnico-Jurídico de la Red de Consultoría Audidat, empresa con presencia en todo el territorio nacional especializada en servicios de consultoría, auditoría, formación y control en el ámbito de la normativa de protección de datos personales.
  • Curso de especialización en Ciberseguridad: Certified Cyber Security Professional, organizado por el Cyber Security Center (CSC).
  • Master in Business Administration Executive (MBA Executive) por la Escuela de Negocios de la Confederación de Empresarios de Albacete (FEDA) y Fundesem Business School.
  • Formación en sistemas de gestión de Compliance (UNE-ISO 19600:2015), impartidos por entidades de reconocido prestigio como AENORy Wolters Kluwer.
  • Formación en materia de Esquema Nacional de Seguridad, incluyendo los principios en que se sustenta, los requisitos mínimos de seguridad y la correspondiente auditoría e informe del estado de seguridad.
  • Especializado en la gestión de procedimientos ante la Agencia Española de Protección de Datos, habiendo ejercido también la abogacía con Número de Colegiación 2192 del Ilustre Colegio de la Abogacía de Albacete.
  • Amplia experiencia como conferenciante y formador en materia de privacidad y protección de datos de carácter personal, habiendo impartido múltiples cursos, seminarios y ponencias en el ámbito de su especialidad.
Baliza V16 conectada: la AEPD responde sobre datos y privacidad
noticias
Marisa Romero

Baliza V16 conectada: la AEPD responde sobre datos y privacidad

A partir del 1 de enero de 2026, la baliza V16 Conectada sustituirá obligatoriamente a los triángulos de emergencia. La Agencia Española de Protección de Datos (AEPD) confirma que la baliza no transmite datos de ubicación de forma continua ni mientras está apagada. La geolocalización es completamente anónima: la DGT no tiene manera de vincular la baliza con el comprador, el conductor o el vehículo. La baliza solo emite una alerta de posición al activarse, con el único fin de informar a los Centros de Gestión de Tráfico y mejorar la seguridad vial, no para sancionar. ¿Vigilancia o seguridad? La privacidad en la nueva señalización de emergencias La inminente obligatoriedad de la baliza V16 Conectada como sistema de señalización de emergencias en carretera, a partir del 1 de enero de 2026, ha generado inquietud entre los conductores, especialmente en lo relativo a la geolocalización y la privacidad de sus movimientos. La preocupación se centra en si el dispositivo, dotado de una tarjeta SIM que se conecta a la plataforma DGT 3.0, podría utilizarse para una vigilancia masiva o para la imposición automatizada de sanciones. Ante esta situación, la AEPD y la propia Dirección General de Tráfico (DGT) han emitido comunicados detallados para desmentir los rumores y explicar el funcionamiento real del dispositivo. El anonimato como principio de diseño Según la AEPD, la interpretación de que la DGT podría monitorizar permanentemente la ubicación de un vehículo es incorrecta. La agencia ha sido categórica al afirmar que “Mientras no se activa, la baliza no transmite ningún dato”. La comunicación con los Centros de Gestión de Tráfico se inicia únicamente después de que el conductor pulsa el dispositivo en caso de accidente o avería. Además, un aspecto crucial para la privacidad es la ausencia de datos personales asociados a la baliza: Sin registro de identidad: El comprador no tiene que registrar su identidad ni el producto en ninguna base de datos oficial. Sin vinculación al vehículo: La DGT no puede relacionar la señal de geolocalización recibida con un conductor o un vehículo específico. Alerta anónima: La DGT, a través de su Jefa del área de Telemática, ha confirmado que la administración no tiene forma de saber quién adquirió cada baliza, lo que garantiza que cualquier alerta enviada es anónima. Lo que la V16 realmente hace (y lo que no) Los temores sobre el uso sancionador de la V16 también han sido desmentidos oficialmente. El dispositivo solo emite datos mientras está encendido, y su propósito es exclusivamente informativo para terceros. Uso y objetivo de la baliza V16 La función primordial del dispositivo es alertar de la presencia de un vehículo inmovilizado en un punto exacto de la vía. Propósito: La baliza se limita a enviar la ubicación a los Centros de Gestión de Tráfico. Utilización de los datos: Esta información sirve para actualizar los paneles de mensaje variable y alertar a los sistemas de navegación compatibles, lo que permite una gestión más eficiente del tráfico y, crucialmente, mejora la seguridad. Funciones que no posee La AEPD subraya que la baliza no registra rutas, no funciona como un rastreador, y por tanto, no genera historiales de movimientos que puedan utilizarse para multar. No genera historiales de movimientos. No sustituye la llamada a los servicios de emergencia ni al seguro. No funciona como un sistema eCall. El conductor debe recordar que sigue siendo el responsable de contactar con los servicios de asistencia necesarios tras señalizar el incidente. La V16 y la reducción de riesgos El motivo principal de la obligatoriedad de la V16 a partir de 2026 es la seguridad vial, buscando reducir drásticamente los atropellos. Cada año, muchas personas fallecen al tener que descender de su vehículo para colocar los triángulos de emergencia. La baliza permite señalizar el incidente sin abandonar el habitáculo, disminuyendo significativamente el riesgo. La DGT recuerda a los conductores que para evitar fraudes, es esencial consultar la lista oficial y actualizada de modelos certificados por laboratorios autorizados.

Leer más »
diciembre 15, 2025
Phishing: antivirus y navegadores no son 100% seguros
noticias
Marisa Romero

Phishing: antivirus y navegadores no son 100% seguros

El phishing se mantiene como la principal amenaza de fraude online, con ataques masivos y de corta duración que buscan robar datos y credenciales. Un análisis de antivirus y navegadores en Windows y Mac revela que ningún producto garantiza una protección del 100% contra las páginas maliciosas. Los antivirus mostraron una detección promedio del 85% en Windows y del 79% en Mac, con grandes diferencias entre marcas. La protección proporcionada solo por los navegadores es significativamente menor, con una media de detección en torno al 63-64%. Phishing: Un desafío de cumplimiento en constante evolución Cada año, miles de consumidores sufren pérdidas económicas al caer en sofisticados fraudes de suplantación de identidad. El phishing, que utiliza correos electrónicos, mensajes o páginas web que simulan ser entidades legítimas (bancos, empresas de mensajería, etc.), representa una de las ciberamenazas más graves para la seguridad de los datos personales y financieros. El éxito de estos ataques radica en su rapidez. Las páginas maliciosas pueden estar activas tan solo unas horas, y la mayoría de los fraudes e infecciones se materializan durante las primeras 24 horas tras el envío del ataque masivo. Esta celeridad subraya la importancia crítica de la eficacia y la velocidad en las herramientas de protección anti-phishing. Para evaluar la protección real ofrecida a los usuarios, se ha llevado a cabo un estudio que analizó el desempeño de 16 antivirus para Windows y 7 para Mac, junto con los navegadores más utilizados en ambos sistemas operativos, utilizando 200 páginas de phishing recientes y activas. 💻 El rendimiento real de la protección anti-phishing Los resultados del análisis indican una mejora en la protección ofrecida por el software en los últimos años. Sin embargo, también confirman que las promesas de «protección total» de los fabricantes no se cumplen. La realidad es que ningún producto logró bloquear el 100% de los ataques, lo que mantiene un riesgo residual significativo para el consumidor. Antivirus: Rendimiento dispar entre plataformas La eficacia de los antivirus varía notablemente no solo entre diferentes marcas, sino también entre sistemas operativos: En Windows: La media de detección de páginas de phishing por los antivirus analizados fue del 85%. Mejor desempeño: Antivirus para Windows bloqueó el 92% de las amenazas. Peor desempeño: Antivirus para Windows registró un 0% de detecciones. En Mac: La cifra de detección promedio desciende al 79%. Mejor desempeño: Dos antivirus para Mac alcanzaron el 88% de bloqueo. Peor desempeño: Antivirus para Mac solo detectó el 52% de los casos. Navegadores web: Una barrera insuficiente La protección que ofrecen los navegadores por sí mismos es considerablemente inferior a la de los suites antivirus, lo que indica que no deben ser la única defensa del usuario. La media de detección se situó en un 63% en Windows y en un 64% en Mac. Resultados destacados: Firefox y Edge en Windows, y Safari en Mac, mostraron el mejor rendimiento dentro de esta categoría. Resultados más bajos: Un navegador específico mostró los peores resultados en ambos sistemas, con una tasa de detección cercana al 60%. Incluso la combinación óptima de un buen antivirus y un navegador adecuado solo logra elevar la protección al 95% en los mejores escenarios. Esto implica que 1 de cada 20 ataques de phishing aún consigue penetrar las defensas de seguridad. Claves para la autoprotección y la acción en caso de fraude Dado que la tecnología no es infalible, la lucha contra el phishing requiere una combinación de buenas herramientas, prácticas informadas y alerta constante por parte del usuario. Desconfiar y verificar Es fundamental mantenerse en guardia contra las tácticas de ingeniería social de los ciberdelincuentes, quienes a menudo crean una sensación de urgencia («¡Tu cuenta será bloqueada!», «Confirma tus datos ya») para anular el pensamiento crítico de la víctima. Verificación directa: Nunca se debe hacer clic en enlaces o abrir archivos adjuntos de mensajes inesperados, especialmente si son alarmistas. Acceda siempre al servicio escribiendo manualmente la dirección web oficial en el navegador. Datos confidenciales: Ninguna entidad legítima (banco u organismo oficial) solicitará contraseñas o datos personales por correo electrónico, SMS o llamada. Use siempre los canales oficiales de la empresa para cualquier confirmación. Actuación ante la sospecha de ataque Si un usuario sospecha haber sido víctima de un ataque de phishing, la rapidez en la acción es esencial para minimizar los daños. Acción inmediata: Cambiar todas las contraseñas comprometidas, contactar de inmediato con la entidad bancaria para alertar del posible fraude y formalizar la denuncia. Reclamación: Si la entidad no procede a la devolución de los fondos sustraídos, el consumidor tiene derecho a reclamar y buscar asesoramiento especializado para defender sus derechos.  

Leer más »
diciembre 15, 2025
ENS y gestión de datos personales en clubes y federaciones
Esquema Nacional de Seguridad
Marisa Romero

ENS y gestión de datos personales en clubes y federaciones

Puede que pienses que, como club deportivo, federación o asociación, tu principal preocupación es la Ley de Protección de Datos (RGPD y LOPDGDD). Y es cierto. Pero lo que muchos no ven es que la gestión efectiva y segura de información sensible (como datos de salud de deportistas, historial médico, rendimiento o datos económicos de socios) requiere un marco de seguridad técnico robusto que vaya más allá del mero cumplimiento documental. Aquí es donde el Esquema Nacional de Seguridad (ENS) se vuelve vital. Aunque nació para el sector público, sus principios de seguridad son el estándar de facto para cualquier organización que maneje información crítica, y sus requisitos son perfectamente aplicables para garantizar la confidencialidad, integridad y disponibilidad de los datos personales. El riesgo de inacción no es solo una multa por RGPD; es la filtración de datos sensibles de deportistas o socios que dinamita la confianza y la reputación. El riesgo oculto: la intersección entre RGPD y ENS La mayoría cree que cumple al obtener el consentimiento. Pero el RGPD exige también la aplicación de medidas técnicas y organizativas apropiadas para garantizar la seguridad. ¿Estás seguro de que las apps de seguimiento de rendimiento, los sistemas de gestión de cuotas o las plataformas de e-learning que utilizáis cumplen con los niveles de seguridad adecuados? Este error lo hemos visto decenas de veces: se invierte en el front-end (la app o web), pero el back-end de seguridad que aloja los datos personales queda desprotegido o sin el control adecuado. Aplicar el Esquema Nacional de Seguridad en la gestión de datos personales de socios y deportistas te permite cubrir ese vacío técnico. 1. Clasificación de la información (RGPD + ENS) El primer paso es entender qué tienes y dónde lo tienes. No todos los datos son iguales. El ENS exige clasificar la información según tres dimensiones: Confidencialidad: Un dato de salud o un contrato de deportista de élite requiere un nivel alto. Integridad: La información de un resultado médico o la cuenta de cuotas debe ser exacta y no manipulable. Disponibilidad: El acceso a los historiales médicos de urgencia debe estar garantizado en todo momento. Los datos de salud son considerados de Categoría Especial por el RGPD, lo que automáticamente eleva el nivel de seguridad requerido por el ENS (generalmente a nivel Medio o Alto). Esto implica requisitos técnicos más estrictos, como el uso de cifrado, la gestión de identidades y la segregación de redes. 2. Control de accesos y la falsa sensación de seguridad En un club o federación, muchas personas necesitan acceso a datos: entrenadores, médicos, personal de administración, marketing. La mayoría cree que cumple con una contraseña. Lo que muchos no ven es que la gestión de accesos debe basarse en el principio de «necesidad de conocer». El ENS obliga a implementar: Autenticación robusta: No solo una contraseña, sino mecanismos de doble factor (2FA) para acceder a sistemas con datos sensibles. Segregación de funciones: Un administrador de cuotas no debe tener acceso a los historiales médicos, y viceversa. Revisión periódica de permisos: Cuando un deportista se va o un empleado cambia de rol, ¿se eliminan o ajustan sus permisos de forma inmediata? La inacción aquí es una fuente de brechas. 3. Auditoría y mejora continua: el coste oculto de la inacción La mayoría implementa medidas de seguridad y se olvida hasta que ocurre un problema. El ENS, como marco vivo, exige una evaluación continua del riesgo y la realización de auditorías periódicas de los sistemas de información. El coste oculto de no actuar ahora no es la auditoría en sí, sino lo que no se detecta. Si un software de gestión de entrenamiento (que contiene datos sensibles) tiene una vulnerabilidad y no es auditado, la brecha de datos que se derive no solo conllevará una sanción por RGPD, sino también un daño reputacional y la pérdida de la confianza de tus socios y deportistas. La seguridad no es un gasto, es un mecanismo de confianza Un incidente de seguridad en el sector deportivo o asociativo no solo afecta a la organización; tiene un impacto directo y muy sensible en las personas: la exposición de una lesión de alto nivel, el resultado de una prueba médica confidencial o el historial financiero de un socio. La implementación del Esquema Nacional de Seguridad te permite demostrar la diligencia debida en la protección de esta información. En Audidat, te ofrecemos el acompañamiento experto para evaluar tu situación actual, determinar el nivel de seguridad ENS requerido para tus sistemas que gestionan datos personales y construir un plan de adecuación práctico y alineado con el RGPD. Te ayudamos a transformar esta obligación en un mecanismo de confianza. Habla con un consultor para evaluar tu caso de forma personalizada. Preguntas Frecuentes (FAQs) ¿Qué nivel de ENS debo aplicar a los datos de salud de mis deportistas? Los datos de salud son considerados de Categoría Especial según el RGPD. Esto, aplicado al ENS, implica que los sistemas de información que los tratan deben estar, como mínimo, en el Nivel Medio de seguridad, y muy probablemente en Nivel Alto, dependiendo de la cantidad y el impacto que tendría una brecha. Esto debe determinarse mediante un análisis de riesgos formal. ¿El ENS se aplica también a las aplicaciones móviles que usamos para el seguimiento deportivo? Sí. Si la aplicación móvil o la plataforma de cloud que utilizáis (interna o externalizada) procesa, almacena o transmite datos personales sensibles de socios o deportistas, el sistema de información subyacente debe cumplir con las medidas de seguridad del ENS (o demostrar un nivel de seguridad equivalente), especialmente si el sistema es utilizado por entidades públicas o es proveedor de las mismas. La responsabilidad de la seguridad de los datos recae en tu organización (el responsable del tratamiento). ¿Qué es lo más importante que exige el ENS y que suele faltar en los clubes? La falta más común es la gestión de la continuidad de los sistemas de información. El ENS exige planes probados y actualizados para garantizar que, en caso de

Leer más »
diciembre 15, 2025
5 consejos clave para fortalecer el programa de compliance penal
Compliance corporativo
Marisa Romero

5 consejos clave para fortalecer el programa de compliance penal

Puede que pienses que tu programa de compliance penal está completo simplemente porque redactaste un código ético y designaste a un responsable. Sin embargo, en el complejo panorama regulatorio actual, la mera existencia de un modelo de prevención de delitos (MPD) no es suficiente. La jurisprudencia y la Fiscalía han elevado el listón, exigiendo que estos programas sean reales, efectivos y probables para eximir a la persona jurídica de responsabilidad penal. Lo que muchos no ven es que un programa débil o de papel es casi tan peligroso como no tener ninguno, pues genera una falsa sensación de protección que puede desmoronarse en el momento de la verdad. El desafío no es cumplir, sino demostrar que se cumple activamente. Un programa de compliance debe ser un organismo vivo, que se audita, se mejora y se adapta a los riesgos cambiantes de tu sector. Ignorar las deficiencias internas es el camino más directo hacia un incidente con consecuencias penales o reputacionales. 5 consejos clave que transforman tu programa de compliance en una defensa real Para evitar que tu MPD sea considerado un mero adorno en caso de un incidente, es crucial ir más allá de los requisitos mínimos. Estos cinco puntos son la base sobre la que debe construirse una defensa penal eficaz: 1. Mapeo de riesgos continuo y dinámico ¿Estás seguro de que los riesgos identificados hace tres años siguen siendo los riesgos críticos hoy? La mayoría de las empresas se quedan con una matriz de riesgos estática. El error invisible aquí es no integrar la evolución del negocio (nuevos mercados, digitalización, partners internacionales) en la evaluación de riesgos. Un programa de compliance debe incorporar revisiones periódicas y ad hoc para detectar zonas grises donde los delitos podrían materializarse. Esto incluye no solo los delitos típicos (cohecho, fraude), sino aquellos específicos de tu industria. 2. El canal de denuncias: más allá del buzón de sugerencias Tener un canal de denuncias es obligatorio, pero su efectividad es lo que realmente importa. Este error lo hemos visto decenas de veces: el canal existe, pero el personal no confía en él, no lo conoce o teme represalias. Un canal fuerte debe garantizar anonimato real, ser accesible a todos los niveles (incluidos partners y proveedores) y, fundamentalmente, debe tener un protocolo de investigación y respuesta claro y rápido. La inacción o la gestión inadecuada de una denuncia es una señal de alarma para el juez. 3. Formación segmentada y demostrable La mayoría cree que cumple con una sesión anual de formación. Sin embargo, una formación de talla única es ineficaz. El compliance debe entenderse y aplicarse según la función. No necesita la misma formación el equipo de ventas (riesgo de soborno/fraude) que el equipo de sistemas (riesgo de hacking o revelación de secretos). La clave está en la segmentación, la especialización y, sobre todo, en la capacidad de demostrar que el personal entendió y asimiló el contenido, no solo que asistió. 4. Auditoría y certificación: la prueba de fuego Un MPD sin auditoría es una promesa. Un MPD auditado es una evidencia. La normativa (y los tribunales) valora la existencia de un mecanismo de verificación periódica de la efectividad del programa. Las auditorías internas y, preferiblemente, externas, no solo detectan fallos, sino que demuestran el compromiso de la alta dirección. Esto es crítico, ya que un programa de compliance es la única herramienta de que dispone la persona jurídica para probar su diligencia y evitar o mitigar la pena. 5. El Órgano de Compliance (OC): independencia y recursos El responsable de compliance (u Órgano de Compliance) debe tener la autoridad, autonomía y recursos necesarios para desempeñar su función sin injerencias. Asignar la función a un directivo ya sobrecargado o que carece de independencia es un error de bulto. Si el OC no puede acceder a la información, si sus decisiones son constantemente filtradas o si carece de presupuesto para la formación o las auditorías, el programa se cae por su propio peso. La falta de dotación de recursos es vista como una falta de compromiso real. Tu programa de compliance: de la teoría a la exención penal La inacción o la falsa sensación de cumplimiento tienen un coste oculto que puede ser catastrófico: la imputación de la empresa. En el momento en que se abre una investigación, no hay tiempo para arreglar el MPD. La defensa penal de tu empresa dependerá de la calidad, la implementación y la prueba de efectividad de tu programa. En Audidat, somos conscientes de que el objetivo no es acumular documentos, sino construir una barrera legal efectiva. Te acompañamos desde el diagnóstico de riesgos hasta la implementación y certificación de tu modelo, asegurando que tu sistema cumpla con las exigencias más altas de la Fiscalía y los tribunales. Evaluamos tu caso de forma personalizada, identificando esas debilidades invisibles y transformando tu programa de compliance en una prueba de diligencia inexpugnable. Habla con un consultor para entender cómo podemos ayudarte a asegurar la responsabilidad penal de tu empresa. Preguntas Frecuentes (FAQs) ¿Qué significa que un programa de compliance sea «efectivo» para la Fiscalía? Significa que el programa no solo existe en papel, sino que se implementa activamente, se conoce en toda la organización y ha sido diseñado específicamente para prevenir los delitos que son potencialmente cometibles por la empresa. La Fiscalía valorará si se han tomado medidas disciplinarias cuando se detectan incumplimientos, si hay un órgano de compliance con recursos, y si se audita y revisa periódicamente. ¿Es obligatorio certificar el programa de compliance con una norma (ej. ISO 37301)? La certificación no es obligatoria por ley en España, pero es altamente recomendable y valorada. Una certificación externa (como la basada en UNE 19601 o ISO 37301) es una prueba objetiva e independiente de que el diseño y la implementación del programa cumplen con estándares de calidad y rigor reconocidos. Esto refuerza significativamente la posición de la empresa ante una investigación judicial. ¿Puede una PYME tener un programa de compliance penal? Sí, la ley no exime a ninguna persona

Leer más »
diciembre 15, 2025
Desafíos de seguridad comunes sin cumplimiento ENS
Esquema Nacional de Seguridad
Marisa Romero

Desafíos de seguridad comunes sin cumplimiento ENS

Desafíos de seguridad más comunes en empresas sin cumplimiento ENS La mayoría de las organizaciones, incluso las que manejan información sensible, tienden a subestimar los riesgos diarios que acechan a su infraestructura digital. Puede que pienses que, por no trabajar directamente para la Administración Pública o no manejar datos especialmente críticos, estás a salvo. Pero esta es una de las falsas sensaciones de seguridad más peligrosas. Lo que muchos no ven es que el cumplimiento del Esquema Nacional de Seguridad (ENS) no es solo una obligación legal para un sector; es un mapa de ruta esencial para proteger la información que realmente importa, tanto la tuya como la de tus clientes. El peligro no se encuentra solo en el hackeo espectacular, sino en la suma de pequeños errores e inacciones que, con el tiempo, dejan grietas enormes. ¿Estás seguro de que la externalización de servicios que has hecho cumple con los niveles de seguridad que exige la norma? Un fallo en la cadena de suministro tecnológica es, a menudo, el punto débil más explotado. Abordar estos problemas de forma proactiva es fundamental, y para ello, el Esquema Nacional de Seguridad ofrece las herramientas para establecer una cultura de prevención y respuesta. Dolores y errores invisibles que te exponen El error lo hemos visto decenas de veces: la creencia de que tener un buen antivirus y una copia de seguridad es suficiente. La realidad de los desafíos de seguridad más comunes en empresas sin un ENS implementado es mucho más compleja y se centra en fallos estructurales: La Falsa Sensación de Cumplimiento en la Nube: Muchos migran a la nube pensando que el proveedor se encarga de todo. No es así. La responsabilidad compartida implica que tu empresa debe asegurar la información y la configuración dentro de la nube. Un error de configuración sencillo puede exponer terabytes de datos. La Gestión Inadecuada de Accesos: ¿Quién tiene acceso a qué? La mayoría cree que cumple, pero la ausencia de un control estricto de accesos y la falta de segregación de funciones (solo dar el acceso estrictamente necesario) es una de las principales puertas de entrada para ataques internos o externos tras un phishing. El coste oculto de no actuar ahora se materializa en la pérdida de confianza y las multas derivadas de una brecha. La Inacción ante el Parcheo y Actualizaciones: Dejar para mañana una actualización de seguridad es como dejar la puerta de la oficina abierta. Los cibercriminales se enfocan en vulnerabilidades ya conocidas para las que existe un parche. La falta de una política estricta de gestión de configuración y cambios es un riesgo constante. La Confusión en la Continuidad del Negocio: ¿Tu plan de recuperación ante desastres (DRP) está realmente probado? Muchas empresas tienen un documento en un cajón, pero cuando ocurre un incidente real (un incendio, un ataque de ransomware), se dan cuenta de que el DRP es inservible. El ENS exige pruebas y simulacros para garantizar una capacidad de respuesta efectiva y minimizar el tiempo de inactividad. Riesgos reales de inacción y consecuencias normativas Aunque el ENS se centra en el sector público o en aquellos proveedores que tratan con este, sus principios son la base de cualquier seguridad moderna, y su incumplimiento, incluso indirecto, tiene consecuencias. Las organizaciones que no alinean sus procesos con las medidas de seguridad del ENS (o normativas similares como el RGPD, que exige un nivel de seguridad técnica acorde) se enfrentan a: Pérdida Operacional y Financiera: Un ataque de ransomware que paralice la actividad de tu empresa puede suponer días o semanas sin facturar. El coste de la inactividad supera con creces la inversión en prevención. Sanciones y Reclamaciones: El incumplimiento de las medidas de seguridad exigidas por el marco normativo de protección de datos personales (RGPD) puede derivar en multas de hasta 20 millones de euros o el 4 % de la facturación global, si la brecha se debe a una negligencia en la seguridad. Deterioro de la Imagen Corporativa: La filtración de datos de clientes o la parálisis por un ciberataque daña irreversiblemente la reputación, haciendo que los clientes y partners duden de tu capacidad para proteger sus intereses. La normativa establece que la seguridad no es opcional. Implica una evaluación constante y un enfoque de mejora continua que solo puede garantizarse mediante un marco de trabajo reconocido. La solución no es un producto, es un acompañamiento estratégico El verdadero desafío de seguridad para tu empresa no es tecnológico, sino de gestión, compromiso y conocimiento experto. La tentación es comprar más software, pero la solución real pasa por implementar un sistema de gestión de seguridad de la información que te permita identificar dónde están tus debilidades reales y qué acciones prioritarias debes tomar. Si no tienes un plan claro para mitigar los desafíos de seguridad más comunes, estás asumiendo un riesgo que no es necesario. Habla con un consultor de Audidat. Evaluamos tu caso de forma personalizada para ofrecerte una hoja de ruta específica y sin compromisos que te permita cumplir con el marco de seguridad más exigente. Entendemos tu negocio y sabemos cómo integrar las exigencias de seguridad de alto nivel de forma práctica y eficiente. El cumplimiento del Esquema Nacional de Seguridad es tu mejor seguro, y en Audidat, te acompañamos para que esa implementación sea una ventaja competitiva y no una carga burocrática. Descubre cómo en Esquema Nacional de Seguridad. Preguntas Frecuentes (FAQs) ¿Qué diferencia al ENS de otros marcos de seguridad como ISO 27001? El ENS (Esquema Nacional de Seguridad) es un marco normativo de obligado cumplimiento en España para todas las entidades del sector público y sus proveedores que manejan información sensible. A diferencia de la ISO 27001, que es un estándar internacional de buenas prácticas y voluntario, el ENS es ley, tiene un enfoque muy estructurado en categorías de sistemas y niveles de seguridad (Básico, Medio y Alto) y se centra en la protección de la información tratada electrónicamente en el ámbito público. Si no trabajo con la Administración Pública, ¿por qué

Leer más »
diciembre 15, 2025
Sanciones RGPD: Guía para evitar multas de Protección de Datos
Protección de datos
Miguel Villalba

Sanciones RGPD: Guía para evitar multas de Protección de Datos

Cumplimiento normativo y Protección de datos: cómo evitar las sanciones RGPD en la empresa El Reglamento General de Protección de Datos (RGPD) de la Unión Europea ha supuesto uno de los cambios normativos más significativos de las últimas décadas, generando una incertidumbre considerable entre empresas de todos los tamaños. El principal desafío reside en la complejidad de su aplicación y en la necesidad de transformar procesos internos que, tradicionalmente, no habían priorizado la seguridad y la privacidad de los datos personales. Prácticamente cualquier organización que trate información de clientes, empleados o proveedores (nombres, correos, datos de salud, etc.) se enfrenta al riesgo de un incumplimiento involuntario o de ser víctima de una brecha de seguridad que dispare las alarmas. La no observancia de las directrices del RGPD no es un asunto menor. Las consecuencias de una infracción pueden ir desde una pérdida de reputación y confianza por parte del público, hasta la imposición de sanciones RGPD millonarias, que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocio global anual de la empresa. Este riesgo financiero y reputacional convierte la adaptación a la normativa no solo en una obligación legal, sino en una prioridad estratégica ineludible para la supervivencia y sostenibilidad de cualquier negocio en el entorno digital actual. Este artículo tiene como objetivo principal desgranar el marco sancionador del RGPD y proporcionar una guía profesional y detallada sobre los fallos más comunes que conducen a estas penalizaciones. El lector obtendrá un conocimiento profundo sobre las obligaciones esenciales y las medidas prácticas necesarias para establecer un sistema de cumplimiento robusto. Además, exploraremos cómo un servicio de Protección de datos puede actuar como el recurso clave para minimizar la exposición al riesgo y asegurar que la gestión de datos de su empresa cumple con los estándares más exigentes. Las sanciones RGPD son multas administrativas impuestas por las Autoridades de Control (en España, la AEPD) a aquellas organizaciones que incumplen las disposiciones del Reglamento, dividiéndose en dos categorías de gravedad, que van desde los 10 hasta los 20 millones de euros, o un porcentaje de la facturación global de la empresa, según el tipo de infracción cometida. La anatomía de las sanciones RGPD: gravedad e importe Comprender la estructura de las sanciones RGPD es el primer paso para poder evitarlas. El reglamento establece una clara distinción entre dos niveles de infracciones, cada uno con su propio techo de multa, que los convierte en la herramienta coercitiva más potente a disposición de las autoridades de control europeas. Esta estructura busca ser disuasoria y garantizar que las empresas tomen muy en serio la protección de los derechos de los ciudadanos. Infracciones de nivel 1: el umbral inferior de las sanciones Este grupo engloba las infracciones consideradas de menor gravedad, aunque sus cuantías no son triviales en absoluto. Se relacionan con el incumplimiento de las obligaciones meramente administrativas y organizativas, que, si bien son fundamentales, no siempre afectan directamente a los derechos y libertades de los interesados. Límite máximo de la multa: Hasta 10 millones de euros o, en el caso de una empresa, el 2% de su volumen de negocio total anual global del ejercicio financiero anterior, optándose por la cuantía superior. Ejemplos de infracciones de nivel 1: No realizar una Evaluación de Impacto de Protección de Datos (EIPD) cuando es obligatoria. Fallo en la designación de un Delegado de Protección de Datos (DPD), si la ley lo exige. Incumplimiento de la obligación de mantener los registros de actividades de tratamiento (RAT). No notificar una brecha de seguridad a la Autoridad de Control en el plazo de 72 horas. No aplicar medidas técnicas y organizativas adecuadas para garantizar la seguridad. Infracciones de nivel 2: las multas más elevadas Las infracciones más graves atentan directamente contra los principios fundamentales de la normativa y contra los derechos de los ciudadanos. Es aquí donde las sanciones RGPD alcanzan su máximo potencial, reflejando el daño potencial a la privacidad de los interesados. Límite máximo de la multa: Hasta 20 millones de euros o, en el caso de una empresa, el 4% de su volumen de negocio total anual global del ejercicio financiero anterior, eligiéndose siempre la cifra más alta. Ejemplos de infracciones de nivel 2: Incumplimiento de los principios básicos para el tratamiento de datos, como la licitud, lealtad y transparencia. Tratamiento de datos sin contar con una base jurídica válida (consentimiento, interés legítimo, etc.). Violación de los derechos de los interesados (acceso, rectificación, supresión, oposición, etc.). Transferencias internacionales de datos personales sin las garantías adecuadas. Incumplimiento de las órdenes o las limitaciones impuestas por la Autoridad de Control. ¿Cómo determinan las autoridades el importe de las sanciones RGPD? El hecho de que una infracción grave tenga un límite de 20 millones de euros no significa que todas las multas alcancen ese importe. La Agencia Española de Protección de Datos (AEPD), al igual que sus homólogas europeas, aplica una serie de criterios de graduación (recogidos en el Artículo 83 del RGPD) para individualizar la sanción y garantizar que esta sea efectiva, proporcionada y disuasoria. Criterios clave para la graduación de las multas La evaluación es multifactorial y tiene en cuenta tanto la naturaleza de la infracción como la actitud y la capacidad de reacción de la organización responsable. Los criterios más influyentes incluyen: Criterio de Graduación Descripción e Impacto en la Multa Naturaleza, gravedad y duración Se evalúa el número de afectados, la categoría de los datos (especialmente sensibles) y el tiempo que duró la infracción. Mayor gravedad = Mayor multa. Intencionalidad o negligencia ¿Fue un error involuntario o una acción deliberada? La negligencia grave aumenta significativamente la sanción. Medidas adoptadas Si el responsable ha tomado medidas paliativas inmediatas para minimizar los daños. Esto puede ser un atenuante clave. Grado de cooperación Cooperación con la Autoridad de Control durante la investigación. La obstrucción es un agravante. Tipo de datos personales El tratamiento de datos sensibles (salud, opiniones políticas, datos biométricos, etc.) siempre eleva el riesgo de la sanción. Beneficios obtenidos Si la infracción

Leer más »
diciembre 10, 2025
Consultoría de Protección de Datos RGPD LOPD para Empresas
Protección de datos
Miguel Villalba

Consultoría de Protección de Datos RGPD LOPD para Empresas

El desafío de la protección de datos en la era digital El vertiginoso avance tecnológico ha traído consigo una avalancha de datos personales, transformando la manera en que las empresas interactúan con sus clientes y empleados. Sin embargo, esta revolución de la información presenta un desafío formidable: el cumplimiento normativo. Hoy, más que nunca, los empresarios, directores de recursos humanos y responsables de tecnología se enfrentan a la ardua tarea de proteger la información sensible, no solo como una obligación ética, sino como un requisito legal ineludible. La falta de un marco de seguridad y legal sólido expone a cualquier organización, independientemente de su tamaño o sector, a vulnerabilidades críticas. La relevancia de abordar este problema con seriedad se mide en el riesgo de severas repercusiones. La legislación vigente, principalmente el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), establece un marco estricto cuyo incumplimiento puede acarrear sanciones millonarias por parte de la Agencia Española de Protección de Datos (AEPD). Más allá de las multas, una brecha de seguridad o una gestión deficiente de los datos destruyen la confianza del cliente y erosionan la reputación corporativa, afectando directamente la continuidad del negocio. Este artículo tiene como propósito fundamental desgranar la complejidad de la normativa y ofrecer una guía práctica sobre cómo una Consultoría de Protección de Datos RGPD LOPD para Empresas se convierte en el aliado estratégico esencial. Explicaremos en detalle las obligaciones legales, los procesos de implementación necesarios y cómo el servicio de Protección de datos de Audidat puede blindar legalmente a su organización, transformando el cumplimiento de una carga a una ventaja competitiva. Una consultoría de protección de datos RGPD LOPD para empresas se define como el servicio profesional especializado que acompaña a una organización en la adaptación, implementación y mantenimiento de todos los requisitos legales establecidos por el Reglamento General de Protección de Datos (RGPD) europeo y la legislación española vigente, la LOPDGDD. Su objetivo es garantizar la legalidad en el tratamiento de datos personales, minimizando riesgos y evitando sanciones. La consultoría de protección de datos RGPD LOPD para empresas: Un pilar de la gestión moderna En el entorno empresarial actual, la gestión de la privacidad ha pasado de ser un mero trámite administrativo a un componente estructural de la estrategia de negocio. Contar con una Consultoría de Protección de Datos RGPD LOPD para Empresas ya no es una opción, sino una necesidad imperiosa para cualquier entidad que maneje datos de clientes, empleados, proveedores o cualquier otro interesado. Esta asesoría especializada no solo se encarga de la documentación legal, sino que también implementa procesos, forma al personal y actúa como un vigilante constante del cumplimiento normativo. La complejidad del marco legal exige un conocimiento profundo y actualizado. El RGPD, al ser un reglamento de aplicación directa en toda la Unión Europea, establece principios como la privacidad desde el diseño (Privacy by Design) y por defecto (Privacy by Default), que requieren una revisión integral de todos los sistemas y procesos internos. La LOPDGDD, por su parte, complementa el reglamento europeo, aterrizándolo a la realidad española y detallando aspectos como los derechos digitales. ¿Por qué externalizar la consultoría de protección de datos rgpd lopd para empresas? Delegar la responsabilidad de la adaptación legal a un consultor externo ofrece beneficios tangibles que justifican la inversión, especialmente para pymes y grandes empresas que carecen de un departamento legal interno especializado en esta materia. Experiencia y actualización: Los consultores manejan un conocimiento técnico y legal especializado, manteniéndose al día de las constantes interpretaciones y guías de la AEPD. Ahorro de recursos: Permite a la empresa enfocarse en su core business, liberando tiempo y personal que, de otro modo, deberían dedicarse a tareas complejas de cumplimiento. Visión externa e imparcial: Un consultor aporta una perspectiva objetiva sobre las debilidades y riesgos de la organización, identificando áreas de mejora que los equipos internos podrían pasar por alto. Reducción de riesgos: La implementación por parte de expertos minimiza el riesgo de errores que podrían desencadenar inspecciones o sanciones. Fases clave en la implementación de la consultoría de protección de datos rgpd lopd La adaptación al marco normativo no es un evento único, sino un proceso continuo que requiere de una metodología estructurada. Una Consultoría de Protección de Datos RGPD LOPD para Empresas bien ejecutada se desarrolla a través de varias fases bien definidas, cada una con objetivos específicos para asegurar una implementación total y efectiva. 1. Auditoría inicial y análisis de riesgos La primera fase es un diagnóstico exhaustivo de la situación actual de la empresa. El consultor realiza un inventario de todos los tratamientos de datos personales que se llevan a cabo. Identificación de flujos de datos: Se mapea el ciclo de vida del dato, desde la recogida (formularios web, cookies, currículums) hasta su almacenamiento y posterior eliminación. Inventario de activos: Se documentan los sistemas de información, bases de datos y ubicaciones de almacenamiento donde residen los datos. Análisis de riesgos: Se evalúan los niveles de riesgo asociados a cada tratamiento (por ejemplo, el tratamiento de datos de salud es de alto riesgo) y se determina la necesidad de realizar una Evaluación de Impacto en la Protección de Datos (EIPD). 2. Desarrollo e implementación de la documentación legal Una vez conocido el riesgo, se procede a la creación o actualización de toda la documentación exigida por la normativa. La documentación debe ser rigurosa y estar alineada con los procesos reales de la organización. Documento clave Propósito principal Registro de Actividades de Tratamiento (RAT) Inventario detallado y obligatorio de cómo, por qué y qué datos se tratan. Cláusulas y textos legales Adaptación de avisos de privacidad, políticas de cookies y textos de consentimiento. Contratos de encargado de tratamiento Regulación legal de las relaciones con terceros que acceden a datos de la empresa (proveedores, software de nóminas, hosting). Protocolos de brechas de seguridad Procedimiento documentado para la notificación y gestión de incidentes de seguridad a la AEPD.   3. Implementación de

Leer más »
diciembre 10, 2025
Fases del Plan de Igualdad: Guía paso a paso y obligatoria
Plan de igualdad
Miguel Villalba

Fases del Plan de Igualdad: Guía paso a paso y obligatoria

El camino crítico para implementar con éxito las fases del plan de igualdad en su empresa El principal desafío que enfrentan hoy las empresas en España no es solo la obligatoriedad legal de implantar un Plan de Igualdad, sino la complejidad práctica y la correcta articulación de sus diferentes fases. Muchas organizaciones, especialmente las pymes que acaban de alcanzar el umbral de los 50 trabajadores, se encuentran perdidas ante la cascada regulatoria (Real Decreto 901/2020 y 902/2020) y la necesidad de asegurar una hoja de ruta que sea no solo legalmente válida, sino también efectiva para reducir la brecha de género real. La falta de conocimiento detallado sobre los pasos a seguir puede llevar a un esfuerzo administrativo estéril o, peor aún, a un documento que no se ajuste a la realidad de la plantilla. La relevancia de abordar este proceso con rigor es incalculable, ya que un Plan de Igualdad mal ejecutado o incompleto conlleva riesgos directos y graves. Estos riesgos van desde sanciones económicas que pueden ascender a cuantías significativas por infracciones muy graves, hasta un deterioro en el clima laboral, la pérdida de acceso a contratos con el sector público (por no estar inscrito en el registro oficial), y un impacto negativo en la reputación corporativa que ahuyenta el talento. Por lo tanto, comprender y aplicar correctamente las fases del plan de igualdad se convierte en una prioridad estratégica para la continuidad y el buen gobierno de la empresa. Este artículo está diseñado para ser su guía profesional y detallada a través de cada una de las fases críticas del Plan de Igualdad, desde la negociación inicial hasta el registro y la evaluación. Explicaremos con precisión las exigencias normativas, las mejores prácticas y cómo la asistencia experta de un Plan de igualdad puede transformar un requisito legal complejo en una palanca de mejora para su organización. El Plan de Igualdad es un conjunto ordenado de medidas adoptadas en una empresa, tras realizar un diagnóstico de situación, para alcanzar la igualdad de trato y oportunidades entre mujeres y hombres y eliminar la discriminación por razón de sexo. Sus fases principales son: la constitución de la Comisión Negociadora, la elaboración del Diagnóstico, el diseño y la aprobación del Plan, su registro, la implantación, y el seguimiento y evaluación. Del compromiso a la negociación: La fase inicial de un plan de igualdad La fase de arranque es crucial porque establece la base de legitimidad y el marco de acción del futuro plan. Sin un compromiso firme de la dirección y una comisión negociadora correctamente constituida, todo el proceso posterior carecerá de validez legal y de eficacia interna. Constitución de la comisión negociadora La primera fase formal y obligatoria es la creación de la Comisión Negociadora. La composición de esta comisión es vital, ya que es el órgano que, por un lado, representa al empleador y, por otro, a los trabajadores. Representación de la empresa: La dirección tiene la obligación de nombrar a sus representantes, asegurando que tengan la capacidad de tomar decisiones. Representación de los trabajadores: Debe estar integrada por los representantes legales de los trabajadores (RLT) si existen (comité de empresa o delegados de personal). Si la empresa no cuenta con RLT, la ley establece un procedimiento especial que implica la convocatoria a los sindicatos más representativos del sector. Principio de paridad: Es un principio exigido. La comisión debe intentar tener una composición equilibrada entre mujeres y hombres, reflejando el compromiso con la igualdad desde el inicio. La negociación no solo define los aspectos formales (calendario, metodología, reglas de funcionamiento), sino que también culmina con la firma del acta de constitución de la comisión, documento que marca el inicio oficial de las fases del plan de igualdad. Compromiso y ámbito de aplicación La dirección debe emitir una declaración formal de compromiso con la igualdad. Este compromiso debe ser público y conocido por toda la plantilla. Es importante definir con claridad el ámbito de aplicación del plan (generalmente, toda la empresa), su vigencia (máximo de cuatro años), y la metodología de trabajo que se seguirá. Este paso asegura que el plan tenga el respaldo jerárquico necesario para su correcta ejecución. El diagnóstico de igualdad: La piedra angular de las fases del plan de igualdad El Real Decreto 901/2020 exige que cualquier Plan de Igualdad se fundamente en un Diagnóstico de Situación exhaustivo, riguroso y cuantitativo. Esta es la fase donde se recoge y analiza la información que revela la existencia y magnitud de las desigualdades de género en la organización. Un diagnóstico deficiente implica un plan ineficaz o nulo. Recogida y tratamiento de datos Para que el diagnóstico sea válido, debe abarcar obligatoriamente una serie de materias clave, siempre con datos desagregados por sexo. La normativa detalla las áreas críticas a examinar: Proceso de selección y contratación: Análisis de los criterios, pruebas y resultados por género. Clasificación profesional: Distribución de hombres y mujeres por grupos y categorías profesionales. Esto es fundamental para identificar techos de cristal y suelos pegajosos. Formación: Acceso y participación en acciones formativas por sexo. Promoción profesional: Criterios, mecanismos y resultados de los procesos de ascenso. Condiciones de trabajo: Incluyendo auditoría retributiva, jornada, horarios, y conciliación. Nota: La auditoría retributiva es, de por sí, un proceso separado y obligatorio (RD 902/2020). Debe justificar la brecha salarial, si existe, mediante un análisis exhaustivo de todos los conceptos (salario base, complementos, extras) y los sistemas de valoración de puestos de trabajo. Análisis e identificación de la brecha La mera recopilación de datos no es suficiente. El diagnóstico debe incluir un análisis interpretativo que identifique las causas subyacentes de las desigualdades. Se deben extraer conclusiones objetivas que señalen dónde y por qué se produce la discriminación directa o indirecta. Indicador Objetivo del análisis Ejemplos de Desigualdad Presencia Distribución de hombres/mujeres por departamentos y niveles. Alta concentración femenina en puestos de menor remuneración (suelo pegajoso). Acceso Sesgos en los procesos de reclutamiento. Candidatas mejor preparadas son rechazadas en áreas masculinizadas. Retribución Brecha salarial por puesto de igual valor. Diferencias salariales

Leer más »
diciembre 10, 2025
Incumplimiento Plan de Igualdad: Infracciones y Sanciones
Plan de igualdad
Miguel Villalba

Incumplimiento Plan de Igualdad: Infracciones y Sanciones

El precio de la negligencia: analizando el incumplimiento del plan de igualdad, sus infracciones y sanciones en España En el entorno empresarial actual, el concepto de igualdad de oportunidades ha pasado de ser una mera aspiración ética a una obligación legal con repercusiones muy serias. El principal desafío que enfrentan hoy muchas organizaciones no es la intención de ser equitativas, sino la complejidad técnica y documental que conlleva la implementación y el seguimiento riguroso de un Plan de Igualdad. Este desafío es especialmente palpable para las empresas que, por tamaño o sector, están obligadas legalmente a tenerlo y que, a menudo, carecen de los recursos o el conocimiento interno especializado para asegurar su cumplimiento continuado y efectivo, poniendo en riesgo la estabilidad legal y reputacional de la compañía. La relevancia de abordar este problema radica en que el incumplimiento del Plan de Igualdad no es un error administrativo menor, sino una falta grave o muy grave ante la Inspección de Trabajo y Seguridad Social. Las consecuencias de no actuar son claras: no solo se pone en peligro el clima laboral y la cohesión interna, sino que la empresa se expone directamente a un régimen sancionador que puede traducirse en multas económicas cuantiosas, además del deterioro irreparable de la imagen de marca y la pérdida de acceso a ayudas y contrataciones públicas, lo que impacta directamente en la cuenta de resultados y la viabilidad futura. Este artículo ha sido diseñado para servir como una guía exhaustiva y profesional que desglosa el marco normativo del Plan de Igualdad en España y las implicaciones legales del incumplimiento del plan de igualdad: infracciones y sanciones. A lo largo de las siguientes secciones, profundizaremos en el régimen sancionador, las cuantías de las multas y los pasos prácticos para evitar caer en la ilegalidad, destacando el Plan de igualdad como el instrumento clave para garantizar la conformidad con la ley y promover un entorno laboral justo. El incumplimiento del Plan de Igualdad se refiere a cualquier omisión, acción o falta que contravenga las obligaciones establecidas en el Real Decreto-Ley 6/2019 y el Real Decreto 901/2020. Esto incluye desde no haberlo registrado o implementado, hasta fallar en su seguimiento y evaluación periódica. Las infracciones se clasifican y sancionan según lo dispuesto en la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS). La obligatoriedad del plan de igualdad y el impacto del incumplimiento El Plan de Igualdad se ha consolidado como una herramienta fundamental para asegurar la igualdad efectiva entre hombres y mujeres en el ámbito laboral, pero su carácter no es meramente voluntario. La legislación española, a través de normativas como la Ley Orgánica 3/2007 para la igualdad efectiva de mujeres y hombres y el Real Decreto 901/2020, establece con precisión qué empresas están obligadas a implementarlo y registrarlo. Ignorar esta obligación o ejecutarla de forma deficiente es el primer paso hacia el incumplimiento del plan de igualdad: infracciones y sanciones. ¿Cuándo es obligatorio un plan de igualdad y qué implica no tenerlo? La obligación de contar con un Plan de Igualdad se determina, principalmente, por el número de personas trabajadoras en la plantilla: Empresas de 50 o más personas trabajadoras: La obligación es automática y permanente. El Real Decreto 901/2020 exige su elaboración, negociación con la representación legal de las personas trabajadoras (RLT) y su posterior registro en el REGCON (Registro de Convenios y Acuerdos Colectivos de Trabajo). Empresas con menos de 50 personas trabajadoras: La obligatoriedad puede derivarse de un convenio colectivo de aplicación o por sustitución de sanciones accesorias impuestas por la autoridad laboral. El simple hecho de no disponer de un plan siendo legalmente exigible ya constituye una infracción grave sancionable. Sin embargo, el incumplimiento va más allá de la mera ausencia, abarcando la falta de contenido, el no realizar el diagnóstico preceptivo, o la omisión de las medidas de seguimiento y evaluación necesarias. Fases críticas donde se produce el incumplimiento El Plan de Igualdad es un proceso vivo que requiere un compromiso constante. El incumplimiento puede ocurrir en cualquiera de sus etapas, y es crucial identificar los puntos más sensibles: Diagnóstico de situación: No recopilar y analizar correctamente la información desagregada por sexo sobre la situación de la plantilla (remuneración, promoción, selección, etc.) invalida todo el plan. Negociación: No negociar de buena fe el plan con la RLT o no constituir la comisión negociadora de forma correcta. Registro: No registrar el plan, una vez acordado, en el Registro de Planes de Igualdad (REGCON) en el plazo establecido. Implementación y seguimiento: Fallar en la puesta en marcha de las medidas acordadas, no realizar el seguimiento periódico o no evaluar los resultados cada cuatro años. El régimen sancionador: clasificación de infracciones y cuantías de multas El análisis del incumplimiento del plan de igualdad: infracciones y sanciones obliga a consultar el texto de la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS), que clasifica las conductas ilícitas en el ámbito de la igualdad de oportunidades. Las sanciones se gradúan en función de si la infracción es leve, grave o muy grave. En la práctica, la mayoría de los incumplimientos relacionados con el Plan de Igualdad se tipifican como graves o muy graves. Infracciones graves y muy graves en materia de igualdad La Inspección de Trabajo es el organismo competente para la vigilancia y sanción de estos incumplimientos. La LISOS establece en su artículo 7, punto 13, y artículo 8, puntos 12, 13 y 14, las principales causas de sanción. Infracciones Graves: No realizar o aplicar correctamente el diagnóstico de situación o el plan de igualdad cuando sean obligatorios. Incumplir las obligaciones relativas al registro salarial y auditoría retributiva, elementos troncales del Plan de Igualdad. No entregar a la RLT los datos del registro salarial solicitados. Aplicar o mantener medidas de discriminación indirecta. Infracciones Muy Graves: No elaborar ni aplicar el Plan de Igualdad siendo legalmente obligatorio. Es la infracción más común y directamente relacionada con la ausencia del plan. Cualquier decisión unilateral de la empresa que implique discriminación directa o

Leer más »
diciembre 10, 2025

¡Será un placer asesorarte!

Contacta con un experto

Déjanos tus datos y te asesoraremos de forma personalizada en menos de 48h sin ningún tipo de compromiso.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

Te ayudamos

Coméntanos tu problema para asignarte un consultor especializado y darte una solución jurídica en menos de 48hs.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

¿Necesitas ayuda con el cumplimiento normativo de tu organización?

Te asignaremos un consultor experto para darte una solución personalizada gratuita en menos de 48h.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

Audidat
GDPR AUDIDAT  GDPR Cookie Compliance
Resumen de privacidad

Bienvenida/o a la información básica sobre las cookies de la página web responsabilidad de la entidad: AUDIDAT 3.0, S.L. Una cookie o galleta informática es un pequeño archivo de información que se guarda en tu ordenador, “smartphone” o tableta cada vez que visitas nuestra página web. Algunas cookies son nuestras y otras pertenecen a empresas externas que prestan servicios para nuestra página web.  Las cookies pueden ser de varios tipos: las cookies técnicas son necesarias para que nuestra página web pueda funcionar, no necesitan de tu autorización y son las únicas que tenemos activadas por defecto.  El resto de cookies sirven para mejorar nuestra página, para personalizarla en base a tus preferencias, o para poder mostrarte publicidad ajustada a tus búsquedas, gustos e intereses personales. Puedes aceptar todas estas cookies pulsando el botón ACEPTAR, rechazarlas pulsando el botón RECHAZAR o configurarlas clicando en el apartado CONFIGURACIÓN DE COOKIES. Si quieres más información, consulta la POLÍTICA DE COOKIES de nuestra página web.