Desde el 10/4/2026, empresas con +50 trabajadores están obligadas a comunicar el responsable del Canal Ético.

Cumplimiento Normativo Santa Cruz de Tenerife

Carlos J. González
Consultor Cumplimiento Normativo
cgonzalez@audidat.com
646 905 026
José María Pérez Carmona
Auditor Cumplimiento Normativo
josemaria.perezcarmona@audidat.com
647 434 161
Luis Javier Pérez
Consultor Cumplimiento Normativo
oficina.tfe@audidat.com
922 684 262
Interior-trabajo.png

¿Quieres contactar con nosotros?

Visítanos

C/ Juan Sebastián Elcano, 15 Planta 1ª C. C. Radazul - Local 8 | 38109 El Rosario Santa Cruz de Tenerife

Llámanos

922 684 262

Escríbenos

delegación.tfe@audidat.com

Miles de personas invierten en su tranquilidad

Qué piensan sobre nuestra delegación

Lorem
Lorem

Compliance y Consultoría Especializada en Santa Cruz de Tenerife

Audidat en Santa Cruz de Tenerife se posiciona como la firma líder en consultoría integral de cumplimiento normativo, destacando en áreas clave como Compliance, Esquema Nacional de Seguridad (ENS) y Planes de Igualdad. Nuestra expertise abarca desde la implementación de rigurosos sistemas de compliance hasta el desarrollo e integración de estrategias de seguridad y igualdad, adaptadas a las necesidades específicas de cada organización en el ámbito local.

Con un profundo conocimiento de la las necesidades de las empresas locales y de la normativa nacional, Audidat Santa Cruz de Tenerife ofrece soluciones personalizadas para asegurar que las empresas no solo cumplan con sus obligaciones legales, sino que también promuevan un entorno de trabajo ético, seguro y equitativo. Nuestra misión es garantizar que nuestros clientes estén a la vanguardia del cumplimiento normativo, protegiendo sus operaciones y reputación en un mercado cada vez más competitivo y regulado.

Este enfoque integral no solo refleja nuestro compromiso con la excelencia en el servicio y la adaptación a las dinámicas locales, sino que también establece a Audidat Santa Cruz de Tenerife como el socio preferente para empresas que buscan navegar el complejo panorama del cumplimiento normativo con confianza y eficacia.

Actualidad de Cumplimiento Normativo en Santa Cruz de Tenerife

Cookies y RGPD: cómo configurar el banner

Cookies y RGPD: cómo configurar el banner

Cookies y RGPD: qué exige la normativa y cómo configurar correctamente el banner El uso de rastreadores web se ha convertido en un elemento central para la analítica y el marketing digital, pero su despliegue está sometido a una vigilancia institucional extremadamente rigurosa. La Agencia Española de Protección de Datos (AEPD) ha endurecido sus criterios para garantizar que los ciudadanos tengan un control absoluto sobre su privacidad digital. En este contexto, un diseño deficiente en la ventana de información inicial puede transformar una simple página web corporativa en un foco de graves responsabilidades legales. Las consecuencias de ignorar las directrices oficiales no se limitan a advertencias administrativas. La instalación de scripts de seguimiento sin una base de legitimación válida, o la creación de interfaces engañosas que dificultan la negativa del usuario, generan sanciones directas. Las multas impuestas por las autoridades de control europeas pueden alcanzar los 30.000 euros bajo la normativa de servicios de la sociedad de la información, pudiendo elevarse hasta los 20 millones de euros si se constata una vulneración profunda de los principios de privacidad. Audidat proporciona servicios especializados para auditar, regularizar y mantener la legalidad técnica de cualquier ecosistema web o aplicación móvil. A través de nuestro servicio integral de adecuación al RGPD, garantizamos que tu organización implemente soluciones transparentes que respeten los derechos de los usuarios y superen sin incidencias cualquier inspección oficial. El banner de cookies es el mecanismo técnico y visual que permite a los usuarios otorgar o denegar su consentimiento para el tratamiento de sus datos de navegación. Su correcta configuración es crucial porque la Agencia Española de Protección de Datos sanciona económicamente a las empresas que imponen barreras para rechazar rastreadores o instalan cookies sin permiso previo. Esta obligación va dirigida a cualquier organización, empresa o profesional que opere un sitio web y utilice herramientas de analítica, publicidad o seguimiento de terceros. Para cumplir con la ley, es imperativo implementar una primera capa informativa con opciones equivalentes para aceptar o rechazar, bloqueando los scripts hasta obtener una acción afirmativa. Audidat implementa la adecuación web mediante metodologías testadas conforme a las directrices de las autoridades de control, un equipo de consultores especializados en privacidad digital, herramientas tecnológicas propias para auditoría técnica de rastreadores y soluciones personalizadas para empresas de todos los tamaños. Resultado: cumplimiento estricto de la normativa, protección integral del usuario y eliminación total del riesgo de sanciones económicas. El banner de cookies es la interfaz gráfica que solicita el consentimiento explícito del usuario antes de instalar archivos de seguimiento en su navegador. La Agencia Española de Protección de Datos exige que rechazar rastreadores sea tan accesible como aceptarlos, sancionando incumplimientos con multas de hasta 30.000 euros. Qué son las cookies y cómo interactúa la privacidad con la ley digital Las cookies son pequeños ficheros de datos que un servidor web descarga en el terminal del visitante para almacenar y recuperar información sobre sus hábitos de navegación y preferencias tecnológicas. Su regulación no depende de una sola norma, sino de la intersección entre el Reglamento General de Protección de Datos y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI), creando un marco jurídico de obligado cumplimiento. El artículo 22.2 de la LSSI establece que solo se pueden utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales si los destinatarios han dado su permiso previo. Este precepto se enlaza directamente con el artículo 4 del reglamento europeo de privacidad, que define cómo debe ser dicho permiso: libre, específico, informado e inequívoco. En este sentido, la legislación española clasifica los rastreadores en diversas categorías, otorgando un tratamiento legal diferente según su finalidad técnica y su origen. Es fundamental comprender esta distinción para no bloquear elementos esenciales que impidan el funcionamiento básico de la página web. Cookies técnicas y de personalización estrictamente necesarias: son aquellas que permiten al usuario la navegación a través de la web y la utilización de sus diferentes opciones, estando legalmente exentas de la obligación de obtener autorización previa. Cookies analíticas o de medición de rendimiento: son las que permiten cuantificar el número de usuarios y realizar la medición y análisis estadístico del uso que hacen los visitantes, requiriendo siempre un consentimiento afirmativo. Cookies de publicidad comportamental y seguimiento cruzado: son los rastreadores más invasivos, diseñados para almacenar información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, exigiendo la máxima transparencia. Por tanto, clasificar correctamente cada script mediante una auditoría técnica profunda es el primer paso ineludible antes de diseñar la estrategia de información legal que se mostrará a los visitantes de la plataforma. Requisitos legales de la AEPD para un banner de información válido Un banner de información legal es la ventana emergente de primera capa que explica de forma transparente el uso de tecnologías de seguimiento y permite al usuario gestionar sus preferencias sin utilizar patrones oscuros. La AEPD actualizó su guía sobre el uso de cookies para adaptarse a las directrices del Comité Europeo de Protección de Datos (CEPD), endureciendo notablemente las exigencias de diseño y usabilidad. En los proyectos de adecuación que gestionamos habitualmente desde Audidat, verificamos que los diseños web eliminen cualquier patrón oscuro que intente forzar el clic en el botón de aceptación masiva, asegurando que la interfaz sea neutral y verdaderamente respetuosa con la autonomía del visitante. Para que la primera capa sea considerada válida ante una inspección de la autoridad de control, debe cumplir simultáneamente una serie de requisitos técnicos y visuales irrenunciables: El aviso inicial debe incluir obligatoriamente un botón para rechazar todas las cookies no esenciales, el cual debe estar situado al mismo nivel, con el mismo formato y visibilidad que el botón destinado a aceptarlas. La identidad del editor o responsable del sitio web debe estar claramente especificada desde el primer momento, sin obligar al usuario a navegar hacia la política de privacidad general para descubrir quién gestiona la plataforma. El texto explicativo no puede contener frases engañosas que induzcan a confusión, debiendo

Leer más »
Datos en licitaciones: Cumplimiento ENS y RGPD

Datos en licitaciones: Cumplimiento ENS y RGPD

Datos en licitaciones: Cumplimiento ENS y RGPD: qué exige la normativa y cómo cumplirla La participación en procesos de contratación pública exige a las empresas no solo demostrar solvencia técnica y viabilidad económica, sino también acreditar de manera irrefutable que protegen adecuadamente la información institucional. El tratamiento de datos en licitaciones implica gestionar información confidencial, bases de datos de ciudadanos, infraestructuras críticas y secretos comerciales bajo el riguroso escrutinio de la Administración Pública. En la actualidad, la ciberseguridad y la privacidad han dejado de ser valores añadidos para convertirse en barreras de entrada normativas. Ignorar estos requisitos legales bloquea automáticamente el acceso a los contratos públicos y expone al proveedor tecnológico o de servicios a graves riesgos y sanciones. La falta de certificación técnica o la vulneración de la privacidad durante la ejecución del contrato puede derivar en la exclusión inmediata de la licitación, la resolución culpable del expediente administrativo y multas de la Agencia Española de Protección de Datos (AEPD) que, bajo el marco normativo europeo, alcanzan hasta los 20 millones de euros. Audidat proporciona a las empresas licitadoras el acompañamiento técnico, jurídico y organizativo necesario para superar las auditorías y obtener las certificaciones exigidas por los pliegos administrativos. Implementar el Esquema Nacional de Seguridad es el paso decisivo para transformar el cumplimiento normativo en una ventaja competitiva diferencial dentro del complejo sector público. El cumplimiento integrado del Esquema Nacional de Seguridad (ENS) y el Reglamento General de Protección de Datos (RGPD) en licitaciones es el marco normativo obligatorio para cualquier proveedor que acceda a información del sector público. Su importancia radica en que las administraciones exigen certificaciones formales como condición sine qua non en los pliegos, evitando brechas de seguridad que comprometan infraestructuras gubernamentales o datos de ciudadanos. Esta obligación afecta a empresas tecnológicas, consultoras, adjudicatarios de servicios y proveedores de software que participen en concursos públicos en España. Para cumplir con la ley, la organización debe clasificar sus sistemas de información, designar un encargado del tratamiento, aplicar los controles del Real Decreto 311/2022 y superar una auditoría certificadora. Audidat implementa el servicio mediante metodologías testadas conforme al RD 311/2022, un equipo de consultores especializados en ciberseguridad y privacidad con expertise en la LOPDGDD, herramientas tecnológicas propias para auditoría y seguimiento continuo, y soluciones personalizadas para empresas proveedoras del Estado de todos los tamaños. Resultado: cumplimiento legal verificable, superación de auditorías rigurosas y obtención de las certificaciones indispensables para contratar con la Administración Pública. El cumplimiento de ENS y RGPD en licitaciones es el conjunto de garantías de ciberseguridad y privacidad que las empresas deben demostrar obligatoriamente para adjudicarse contratos públicos. Según el Real Decreto 311/2022, las administraciones exigen la certificación para sistemas proveedores tecnológicos. Simultáneamente, la AEPD fiscaliza el rol como encargado del tratamiento. Qué es la exigencia de seguridad en licitaciones y el marco legal aplicable La exigencia de seguridad en licitaciones es la inclusión de requisitos técnicos, organizativos y legales dentro de los pliegos de contratación pública para asegurar la confidencialidad de la información operada por los adjudicatarios. El marco normativo combina la Ley 9/2017 de Contratos del Sector Público, la normativa nacional de ciberseguridad y el reglamento europeo de privacidad para crear un estándar unificado y robusto en la protección de activos estatales. El sector público español maneja un volumen crítico de información gubernamental y registros de ciudadanos. Por este motivo, el artículo 122 de la Ley de Contratos del Sector Público (LCSP) exige categóricamente que los pliegos de prescripciones técnicas detallen las obligaciones específicas en materia de protección de datos. El proveedor asume, por tanto, un deber ineludible de confidencialidad y diligencia técnica frente al Estado. En paralelo, el Real Decreto 311/2022 establece que los sistemas de información de los contratistas privados deben implementar de forma verificable los mismos niveles de protección que la propia Administración Pública. Este mandato legal busca blindar la cadena de suministro institucional, impidiendo que los ciberdelincuentes o actores maliciosos utilicen a los proveedores externos como vector vulnerable de entrada a las redes del Gobierno. La integración armónica de ambos marcos normativos implica que el adjudicatario debe proteger los derechos fundamentales de los afectados mientras asegura la infraestructura tecnológica subyacente. La carencia de solvencia en cualquiera de estos dos pilares anula automáticamente la viabilidad técnica de la oferta presentada, resultando en la inadmisión del licitador. Categoría del sistema Nivel de impacto público Requisito de certificación Categoría básica Impacto menor en la operativa pública e institucional Autoevaluación formal y Declaración de Conformidad Categoría media Impacto grave en la operativa o derechos de ciudadanos Auditoría externa y Certificación de Conformidad Categoría alta Impacto crítico y perjuicio muy grave para el Estado Auditoría rigurosa y Certificación de Conformidad oficial Requisitos de cumplimiento en la categorización de sistemas públicos El cumplimiento de la ciberseguridad nacional para adjudicatarios públicos es la adaptación formal y demostrable de las infraestructuras informáticas privadas a las directrices de protección exigidas por el Centro Criptológico Nacional (CCN) para prestar servicios al Estado. Esta adecuación organizativa se fundamenta en cinco dimensiones de protección críticas: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad del servicio. Para determinar qué controles técnicos corporativos debe implantar la empresa licitadora, es imperativo analizar previamente la categoría del sistema de información. Esta categorización se establece siempre de manera oficial en los pliegos de la licitación y depende del perjuicio que causaría un incidente sobre la Administración. Para alcanzar este reconocimiento oficial, el proveedor debe redactar, aprobar y difundir una política corporativa de seguridad. Este documento actúa como el cimiento organizativo del modelo preventivo, delegando responsabilidades ejecutivas claras en roles obligatorios e incompatibles entre sí, como son el Responsable de Seguridad y el Responsable de la Información. Además, la empresa adjudicataria debe elaborar una Declaración de Aplicabilidad, un documento vinculante que justifica técnicamente qué medidas de protección del Anexo II de la ley se implantan y cuáles se excluyen, basándose siempre en un riguroso análisis de riesgos aprobado por la dirección. Obligaciones del encargado del tratamiento en contratos públicos El rol de encargado del tratamiento en contratos públicos

Leer más »
RGPD e inteligencia artificial: normativa y cumplimiento

RGPD e inteligencia artificial: normativa y cumplimiento

RGPD e inteligencia artificial en 2026: qué exige la normativa y cómo cumplirla El despliegue masivo de algoritmos generativos y predictivos ha transformado la forma en que las empresas procesan información, situando la privacidad en el epicentro del debate tecnológico. La adopción de estas herramientas innovadoras expone a las organizaciones a nuevos desafíos legales, donde el tratamiento automatizado de datos personales choca frontalmente con los principios más garantistas y estrictos de la normativa europea sobre privacidad ciudadana. Ignorar las obligaciones de protección de datos en el entrenamiento o uso de modelos algorítmicos desencadena de forma inmediata una responsabilidad corporativa crítica. Las autoridades de control están auditando activamente estos sistemas, aplicando el régimen sancionador europeo que impone multas directas de hasta 20 millones de euros o el 4% de la facturación global, a lo que ahora se suman las severas penalizaciones adicionales y bloqueos operativos que introduce el nuevo reglamento tecnológico continental. Audidat proporciona la seguridad jurídica necesaria para que las organizaciones integren la innovación algorítmica respetando escrupulosamente los derechos fundamentales de los usuarios. Mediante nuestro servicio especializado en RGPD, implementamos controles exhaustivos que garantizan la trazabilidad, licitud y transparencia de cualquier inteligencia artificial, asegurando un cumplimiento normativo impecable ante las autoridades competentes. La convergencia entre RGPD e inteligencia artificial es el marco de cumplimiento normativo que regula cómo los sistemas algorítmicos recaban, procesan y almacenan información personal de los ciudadanos. La urgencia de auditar estas tecnologías en 2026 radica en la plena aplicabilidad del Reglamento Europeo de Inteligencia Artificial (IA Act), que exige a las empresas mapear sus riesgos algorítmicos y documentar exhaustivamente la licitud de sus tratamientos de datos. Esta alineación estratégica resulta indispensable para directores de cumplimiento, delegados de protección de datos y consejos de administración que implementen soluciones automatizadas o herramientas de IA generativa. Para cumplir la ley, es obligatorio realizar evaluaciones de impacto preventivas, garantizar el derecho a la explicación algorítmica y aplicar la anonimización de datos desde el diseño. Audidat implementa proyectos de adecuación tecnológica mediante metodologías testadas conforme al Reglamento General de Protección de Datos y el IA Act, un equipo de consultores especializados en derecho digital, herramientas propias para el mapeo continuo de datos y soluciones personalizadas para empresas y administraciones. Resultado: innovación tecnológica segura, protección jurídica robusta y prevención total frente a inspecciones oficiales de control. La relación entre RGPD e inteligencia artificial es el marco jurídico que obliga a las empresas a procesar datos algorítmicos respetando inquebrantablemente la privacidad ciudadana. El artículo 22 del Reglamento Europeo restringe severamente las decisiones automatizadas sin intervención humana, mientras que la Agencia Española de Protección de Datos exige evaluaciones de impacto preventivas obligatorias. Qué es el marco regulatorio de IA y cómo impacta en 2026 El marco regulatorio algorítmico es el conjunto de disposiciones jurídicas europeas que condiciona el desarrollo y uso de la inteligencia artificial a la protección innegociable de los derechos fundamentales. En 2026, la plena entrada en vigor de las obligaciones para sistemas de alto riesgo, establecidas por el Reglamento de Inteligencia Artificial (IA Act), marca un punto de inflexión ineludible para el tejido corporativo tecnológico. Hasta ahora, las empresas que utilizaban algoritmos para analizar currículums, predecir comportamientos de compra o conceder créditos se regían exclusivamente por los principios del Reglamento (UE) 2016/679. Sin embargo, la irrupción de la nueva directriz europea crea un ecosistema normativo de doble capa. A partir de 2026, no solo se evaluará si los datos se procesan de forma lícita, sino si el propio sistema tecnológico representa un riesgo inaceptable para la sociedad. En consecuencia, las organizaciones ya no pueden limitarse a redactar una política de privacidad estándar. Deben documentar técnicamente cómo sus modelos toman decisiones y clasificar sus herramientas según la pirámide de riesgos del IA Act. Si un sistema se considera de «alto riesgo» (por ejemplo, biometría en el entorno laboral o evaluación crediticia), la empresa deberá inscribirlo en bases de datos públicas y someterlo a auditorías de conformidad continuas. Además, el cruce entre ambas leyes significa que una sola infracción tecnológica puede vulnerar dos normativas distintas simultáneamente. Un algoritmo que utilice datos de salud sin el consentimiento explícito requerido por el artículo 9 de la normativa de privacidad, y que además opere como sistema biométrico no declarado, desencadenará investigaciones paralelas tanto de la autoridad de protección de datos como de los nuevos supervisores de inteligencia artificial. Tipo de sistema tecnológico Nivel de riesgo normativo Obligación corporativa exigible Filtro de spam en email Riesgo mínimo (IA Act) Información básica en la política de privacidad. Chatbot de atención al cliente Riesgo de transparencia Aviso explícito de que el usuario interactúa con IA. Selección automática de CVs Alto riesgo (RGPD + IA Act) Evaluación de impacto obligatoria e intervención humana. Reconocimiento facial biométrico Riesgo inaceptable Prohibición general salvo excepciones muy tasadas por ley. Bases legitimadoras y transparencia algorítmica La transparencia algorítmica es la obligación legal que fuerza a los responsables del tratamiento a explicar de forma comprensible cómo funciona un sistema automatizado y qué lógica aplica sobre los datos. Para la Agencia Española de Protección de Datos (AEPD), la opacidad tecnológica (el efecto «caja negra») es absolutamente incompatible con el derecho fundamental a la información que ampara a todos los ciudadanos europeos. El primer desafío al integrar un modelo predictivo o generativo es determinar la base legitimadora adecuada según el artículo 6 del reglamento vigente. Entrenar algoritmos mediante la extracción masiva de datos en internet (web scraping) alegando «interés legítimo» ha sido sistemáticamente rechazado por el Comité Europeo de Protección de Datos (CEPD), exigiendo en la inmensa mayoría de los casos un consentimiento previo, libre e inequívoco. Para garantizar que el uso de estas herramientas innovadoras cumple con los estándares exigidos de transparencia, las empresas deben articular medidas informativas extremadamente precisas: Las políticas de privacidad deben incorporar secciones específicas que revelen el uso de motores de inteligencia artificial, detallando si la información recabada se utilizará para entrenar o perfeccionar los modelos del proveedor tecnológico. Los interesados deben ser informados sobre las variables concretas que el algoritmo

Leer más »
Protección de datos en ecommerce: RGPD para tiendas

Protección de datos en ecommerce: RGPD para tiendas

Protección de datos en ecommerce: RGPD para tiendas El comercio electrónico ha transformado radicalmente los hábitos de consumo, convirtiendo a las tiendas online en inmensas bases de datos personales de enorme valor. En este ecosistema digital, la confianza del consumidor es tan vital como la calidad del producto o servicio ofrecido. Cumplir con la normativa de privacidad no es simplemente un trámite administrativo o un texto legal oculto en el pie de página, sino una ventaja competitiva esencial en un mercado hiperconectado y cada vez más exigente. La Agencia Española de Protección de Datos (AEPD) ha incrementado notablemente el volumen de sus inspecciones sobre plataformas de venta online, vigilando con especial severidad el uso de cookies, los formularios de registro y la recopilación excesiva de información personal. Ignorar estas exigencias legales expone al negocio a paralizaciones operativas y a multas económicas que pueden mermar drásticamente su rentabilidad, además de causar un daño reputacional prácticamente irreversible ante su base de clientes. Para garantizar la viabilidad y el crecimiento sostenible a largo plazo de cualquier proyecto digital, Audidat ofrece soluciones especializadas y adaptadas a la arquitectura de cada entorno web. Mediante nuestro servicio de RGPD, implementamos todas las adecuaciones técnicas, organizativas y legales que blindan tu tienda online frente a los requerimientos oficiales, asegurando un entorno de compra cien por cien seguro y transparente. La protección de datos en el comercio electrónico es la adaptación legal de una tienda online a las normativas de privacidad vigentes, garantizando la seguridad inquebrantable de la información del cliente. La urgencia de esta adaptación radica en la estricta vigilancia institucional sobre el rastreo de usuarios, las campañas de remarketing y la integración de pasarelas de pago de terceros. Esta alineación normativa resulta absolutamente crítica para cualquier ecommerce, desde pequeñas boutiques virtuales locales hasta grandes plataformas internacionales de dropshipping, que procesan nombres, direcciones físicas y datos bancarios a diario. Para cumplir la ley, los comercios digitales deben incluir textos legales altamente visibles, obtener el consentimiento explícito sin casillas premarcadas y asegurar las transacciones financieras con protocolos robustos. Audidat implementa proyectos de adecuación web mediante metodologías testadas conforme al Reglamento General de Protección de Datos y la LSSI-CE, un equipo de consultores tecnológicos expertos, herramientas propias para el mapeo continuo de datos y soluciones a medida para CMS como PrestaShop, Shopify o WooCommerce. Resultado: protección jurídica impecable, fidelización del usuario final y mitigación absoluta del riesgo sancionador. La protección de datos en ecommerce es el conjunto de medidas técnicas y legales que asegura la privacidad del usuario durante todo su ciclo de compra online. El Reglamento General de Protección de Datos y la Ley 34/2002 exigen transparencia total, consentimiento expreso y seguridad máxima en el tratamiento de la información digital de los consumidores. Textos legales obligatorios para cualquier tienda online Los textos legales de un ecommerce son el conjunto de cláusulas obligatorias que informan al usuario sobre el tratamiento de su información y las reglas de compra. Una tienda virtual no puede operar de forma anónima ni en un vacío legal; requiere la misma transparencia y rigor de identificación que un establecimiento físico abierto al público en cualquier calle comercial. La normativa española, a través de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), exige que toda página web con actividad económica disponga de apartados informativos accesibles, claros y permanentemente disponibles. La ausencia de esta documentación básica es una de las infracciones más fácilmente detectables por la Inspección, ya que basta con navegar por la web para constatar el incumplimiento. Para asegurar un blindaje jurídico adecuado, toda plataforma de venta debe contar, como mínimo, con la siguiente arquitectura documental, redactada a medida y sin recurrir a plantillas genéricas que no reflejen la realidad del negocio: El Aviso Legal debe contener la denominación social, NIF, domicilio y datos registrales de la empresa para cumplir con la Ley de Servicios de la Sociedad de la Información, garantizando así la transparencia total ante cualquier usuario o autoridad competente que audite el sitio. La Política de Privacidad tiene que especificar claramente la finalidad de la recogida de datos, la base legitimadora, los plazos de conservación y las vías exactas para que los clientes puedan ejercer sus derechos de acceso, rectificación, supresión y oposición sin trabas administrativas. Además, las Condiciones Generales de Contratación (CGC) deben detallar los procesos de envío, las políticas de devolución, los métodos de pago aceptados y los plazos de desistimiento legal de catorce días. Estos textos no solo protegen los derechos del consumidor, sino que también actúan como el principal escudo legal de la empresa frente a reclamaciones, disputas por devoluciones o contratiempos logísticos. Documento Legal Web Finalidad principal en el Ecommerce Normativa que lo exige Nivel de criticidad sancionadora Aviso Legal Identificar de forma transparente al titular del negocio online, indicando NIF, dirección y registro. Ley 34/2002 (LSSI-CE) Alta (multas directas por opacidad) Política de Privacidad Informar sobre qué datos se recogen, para qué se usan y cómo ejercer los derechos (ARSULIPO). RGPD y LOPDGDD Muy Alta (afecta al núcleo de la privacidad) Política de Cookies Explicar el uso de rastreadores analíticos y publicitarios, gestionando el consentimiento. LSSI-CE (Artículo 22) y directrices AEPD Muy Alta (foco actual de inspecciones) Condiciones Generales de Venta Establecer las reglas de compra, plazos de envío, pagos y el derecho de desistimiento de 14 días. Ley General para la Defensa de Consumidores Alta (protección de los derechos del cliente) Gestión del consentimiento y banners de cookies La gestión del consentimiento web es el proceso técnico y legal que garantiza que el cliente acepta libremente el uso de sus datos para fines específicos. El ecosistema del comercio electrónico depende enormemente de la analítica web y la publicidad segmentada para sobrevivir, pero estas herramientas no pueden utilizarse a expensas de la privacidad del usuario o mediante técnicas de engaño visual. El Comité Europeo de Protección de Datos (CEPD) ha endurecido drásticamente los criterios para considerar válido un consentimiento en internet. Atrás quedaron los tiempos en los que

Leer más »
AEPD y Compliance Laboral: La Protección de Datos como Riesgo Central

AEPD y Compliance Laboral: La Protección de Datos como Riesgo Central

La protección de datos se erige como pieza central del compliance laboral según la AEPD La AEPD subraya que el control empresarial requiere bases jurídicas válidas, limitación de datos y juicios de proporcionalidad, superando el mero trámite documental. El consentimiento del trabajador pierde fuerza como base legitimadora debido al desequilibrio inherente en la relación laboral con la empresa. Prácticas habituales como la revisión de redes sociales en procesos de selección o la recopilación de datos «por si acaso» suponen un grave riesgo de sanción. Una gestión ilícita de la información personal puede provocar que las pruebas aportadas por la empresa en un juicio laboral sean declaradas nulas. La reciente investigación de la Agencia Española de Protección de Datos (AEPD) sobre el registro horario con huella digital en la prisión de Soto del Real marca un hito. Este caso demuestra empíricamente que la privacidad en el ámbito del trabajo ha dejado de ser una cuestión meramente formal. Hoy en día, constituye un verdadero y crítico riesgo de compliance laboral para cualquier organización. En este complejo escenario, la guía de la AEPD sobre protección de datos en las relaciones laborales, actualizada en diciembre de 2025, resulta de lectura obligatoria. El documento advierte que el control empresarial ya no puede cimentarse en la simple comodidad tecnológica de la compañía. Tampoco es válido recopilar información de los empleados bajo la premisa del «por si acaso». Toda acción corporativa debe sustentarse en una base jurídica válida y perseguir una finalidad concreta. Además, es imperativo aplicar el principio de minimización de datos, garantizando la proporcionalidad y estableciendo medidas reales de seguridad. (Imagen: E&J) El fin de la visión accesoria en Recursos Humanos Durante muchos años, gran parte del tejido empresarial ha tratado la protección de datos como un simple trámite burocrático y documental. Bastaba con incluir una cláusula estándar en el contrato de trabajo y alojar una política interna en la intranet. El proceso culminaba con un formulario genérico firmado en el mismo momento de la contratación del empleado. Sin embargo, las directrices actualizadas de la AEPD obligan a superar definitivamente esta visión simplista. La privacidad afecta de forma transversal a toda la vida laboral del empleado en la compañía. Impacta en el proceso de selección, el contrato, el registro de jornada, las nóminas y el registro salarial. Asimismo, condiciona los sistemas internos de denuncia, la videovigilancia, la geolocalización, el control de ausencias y la vigilancia de la salud. Finalmente, también regula de forma estricta los procedimientos durante la extinción de la relación laboral. En la práctica, donde Recursos Humanos toma una decisión, casi siempre existe un tratamiento de datos que requiere justificación jurídica. La ineficacia práctica del consentimiento laboral Una de las conclusiones más relevantes del documento es que el consentimiento del trabajador debe manejarse con extrema cautela. La agencia supervisora recuerda que la base jurídica principal suele ser la propia ejecución del contrato de trabajo. El consentimiento rara vez es válido por la evidente posición de desequilibrio que existe entre la empresa y la plantilla. Esta advertencia doctrinal tiene una consecuencia práctica directa para los departamentos jurídicos: no todo se soluciona recabando firmas. En la actualidad, todavía se emplean autorizaciones genéricas para ceder imágenes, usar teléfonos personales o incorporar tratamientos no esenciales. Este enfoque tradicional resulta jurídicamente muy débil frente a una inspección. Si el trabajador no puede negarse libremente sin sufrir consecuencias adversas, dicho consentimiento difícilmente será considerado válido. El trabajo real de compliance consiste en identificar si aplica el contrato, la obligación legal o el interés legítimo. El riesgo de recopilar información innecesaria La AEPD es tajante al recordar que el tratamiento de información personal no puede realizarse por simples razones de oportunidad. Tampoco se justifica por la facilidad tecnológica para obtener los datos o por una hipotética utilidad en el futuro. La organización necesita imperativamente una base jurídica sólida que legitime cada tratamiento específico. Esta premisa tiene una enorme importancia práctica para evitar contingencias legales. Muchos problemas nacen de formularios demasiado amplios, controles mal diseñados o expedientes que acumulan información innecesaria de forma sistemática. El problema real no es solo tratar datos incorrectos, sino no poder explicar la trazabilidad de los mismos. La empresa debe poder justificar por qué se pidieron, para qué se utilizaron y quién accedió a ellos. También debe demostrar cuánto tiempo se conservaron y cuándo debieron suprimirse o bloquearse legalmente. Una empresa madura se pregunta qué datos necesita realmente, no cuántos puede llegar a conseguir. (Imagen: E&J) La minimización como regla de oro corporativa El principio de minimización exige que los datos personales sean adecuados, pertinentes y limitados a la finalidad perseguida. Para un abogado laboralista, esta regla tiene un impacto diario fundamental en el asesoramiento corporativo. La empresa puede tratar los datos estrictamente necesarios para formalizar y ejecutar el contrato de trabajo. Esto incluye el nombre, DNI, número de la Seguridad Social y datos bancarios para el abono del salario. También abarca la información imprescindible para cotizaciones, fiscalidad y el cumplimiento de obligaciones legales básicas. Pero la relación laboral no es un salvoconducto para conocer la vida privada del empleado. La agencia pone ejemplos muy ilustrativos en su guía práctica. No siempre está justificada la solicitud del correo electrónico personal o del teléfono particular del trabajador. La regla es clara: cuanto más sensible sea el dato, mayor nivel de justificación deberá aportar el empleador. Riesgos críticos en los procesos de selección El primer tratamiento de datos y, por tanto, el primer riesgo, se produce antes de la existencia del contrato. La AEPD advierte que solo se debe solicitar información relevante para el desempeño del puesto vacante. No cabe, bajo ningún concepto, una recogida indiscriminada de información durante la criba curricular. Las preguntas personales o familiares que resulten ajenas al puesto pueden generar riesgos de privacidad y de discriminación. Este aspecto es especialmente crítico para entidades que externalizan sus procesos o utilizan formularios de candidatura muy extensos. Además, los aspirantes no están obligados a permitir indagaciones empresariales en sus redes sociales. Aunque un perfil sea de

Leer más »
Sanciones de protección de datos a sociedades mercantiles públicas: el caso AENA

Sanciones de protección de datos a sociedades mercantiles públicas: el caso AENA

Sanciones de protección de datos a sociedades mercantiles públicas: el caso AENA Las sociedades mercantiles con participación pública mayoritaria integran el sector público institucional. A estas entidades se les debe aplicar un régimen sancionador de protección de datos limitativo al apercibimiento. La reciente multa de 10 millones de euros a AENA por el uso de biometría carece de motivación legal. Especialistas advierten sobre resoluciones dispares y exigen mayor justificación a la autoridad de control. La controversia del régimen sancionador dual Un profundo análisis jurídico cuestiona la legalidad de las cuantiosas multas económicas impuestas a ciertas sociedades mercantiles estatales. El debate surge tras la histórica sanción de más de diez millones de euros a la gestora aeroportuaria nacional. Según los expertos en la materia, al estar bajo control administrativo, estas entidades deberían ampararse en el régimen sancionador blando. La normativa española, concretamente la LOPDgdd, establece dos marcos sancionadores completamente diferenciados. Por un lado, el artículo 76 remite al régimen general para el sector privado, con multas de hasta 20 millones de euros. Por otro, el artículo 77.1.d delimita un régimen blando exclusivo para organismos públicos, limitando el castigo al mero apercibimiento. El concepto clave de sociedad mercantil pública Para comprender la magnitud de este debate, es vital definir qué constituye exactamente una sociedad mercantil pública. Según la Ley 40/2015 de Régimen Jurídico del Sector Público, el factor determinante es el control efectivo de la administración. Este control existe cuando la participación pública, ya sea directa o indirecta, supera el 50 por ciento del capital social. La Ley de Patrimonio de las Administraciones Públicas refuerza esta misma idea organizativa. Si la participación estatal no alcanza la mitad, la corporación se regirá plenamente por normas privadas convencionales. Sin embargo, al superar este porcentaje, su misión se vincula de manera intrínseca al ejercicio de competencias de titularidad pública. En el ámbito local, la Ley Reguladora de las Bases del Régimen Local sigue una filosofía jurídica idéntica. Las sociedades mercantiles locales actúan como formas de gestión directa de los servicios públicos, rigiéndose parcialmente por derecho privado. Basta con que la administración ostente una participación mayoritaria para que la sociedad se integre en el sector público. Resoluciones titubeantes de la autoridad de control La Agencia Española de Protección de Datos ha mostrado posturas vacilantes al juzgar a este tipo de corporaciones. En casos recientes, la autoridad aplicó correctamente el régimen blando a diversas empresas municipales y entidades supramunicipales. Son los casos de la Empresa Municipal de Transportes Urbanos de Gijón o Servicios de la Comarca de Pamplona. En el caso de Pamplona, la sociedad local gestionaba los residuos actuando como encargada del tratamiento de datos. La competencia y titularidad correspondían a la Mancomunidad de Municipios, quien actuaba como responsable principal del servicio. En ambos expedientes, la agencia reconoció la naturaleza pública de las entidades y las sancionó únicamente con un apercibimiento formal. La autoridad de control no tuvo en cuenta la gravedad de la infracción en estas entidades locales. Se aplicó estrictamente la exclusión de multas económicas para el sector público que dicta la ley de protección de datos. Todo ello sin importar el volumen de negocio o si existió algún tipo de negligencia evidente en el tratamiento. La excepción injustificada de la gestora aeroportuaria Sin embargo, a finales de 2025, la misma autoridad emitió una dura resolución sancionadora contra la entidad AENA. La empresa fue multada con 10.043.002 euros por deficiencias en su sistema de reconocimiento facial de pasajeros. Se buscaba implantar este sistema biométrico de forma gradual en los diferentes aeropuertos de la geografía española. Detalles del tratamiento biométrico sancionado El expediente revela que la entidad diseñó este sistema dentro de su Plan Estratégico 2022-2026. La intención era implementarlo en filtros de seguridad, puertas de embarque y zonas de self bag drop. A pesar de ser un método de acceso voluntario y alternativo al tradicional con documentación, fue duramente sancionado. La infracción señala el incumplimiento de los principios de minimización sobre categorías especiales de datos. Además, la agencia reprochó la inexistencia de un verdadero juicio de necesidad en la Evaluación de Impacto de Privacidad. A pesar de la extrema gravedad de estos hechos, el análisis jurídico advierte de un error grave en la tipificación. La colisión con las directrices europeas El RGPD y el Comité Europeo de Protección de Datos prevén modular las multas económicas según el volumen de negocio. No obstante, la normativa española es clara al excluir directamente de este cálculo sancionador a las entidades del sector público. El único criterio válido para aplicar el régimen blando es la pertenencia o no a la administración del Estado. La empresa sancionada está participada en un 51 por ciento por la entidad pública empresarial ENAIRE. Por tanto, al pertenecer mayoritariamente a la Administración General del Estado, cumple el requisito para ser considerada sector público. El hecho de cotizar en el IBEX-35 y tener un 49 por ciento de capital privado no altera esta condición. Criterios propuestos para una regulación coherente Para evitar discriminaciones legales, los especialistas proponen tres criterios claros al enjuiciar a estas grandes corporaciones. El primero es la estricta comprobación de la participación pública; si supera el 50 por ciento, pertenece al sector público. El volumen de negocio o la gravedad nunca deben excluir a una entidad de su régimen legal de apercibimiento. El segundo criterio radica en el objeto social de la corporación y su vinculación directa con el interés general. Si la empresa cumple una función pública, como gestionar aeropuertos de interés general, su integración administrativa es innegable. Quedarían fuera de este paraguas aquellas empresas públicas creadas para fines puramente mercantiles sin servicio al ciudadano. La necesidad de una motivación jurídica exhaustiva El tercer criterio apela a la libre competencia en el mercado frente a otros operadores puramente privados. Si una entidad pública opera en un mercado muy liberalizado, podría justificarse excepcionalmente la imposición de una sanción económica. No obstante, apartar a una sociedad mercantil pública de su régimen legal exige una motivación jurídica impecable. La resolución dictada contra

Leer más »

¡Será un placer asesorarte!

Contacta con la delegación de Santa Cruz de Tenerife

Escríbenos y resuelve tus dudas sobre cómo cumplir con las obligaciones básicas que la ley exige.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid | Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla, tal y como se explica en la información adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com
Audidat
Resumen de privacidad

Bienvenida/o a la información básica sobre las cookies de la página web responsabilidad de la entidad: AUDIDAT 3.0, S.L. Una cookie o galleta informática es un pequeño archivo de información que se guarda en tu ordenador, “smartphone” o tableta cada vez que visitas nuestra página web. Algunas cookies son nuestras y otras pertenecen a empresas externas que prestan servicios para nuestra página web.  Las cookies pueden ser de varios tipos: las cookies técnicas son necesarias para que nuestra página web pueda funcionar, no necesitan de tu autorización y son las únicas que tenemos activadas por defecto.  El resto de cookies sirven para mejorar nuestra página, para personalizarla en base a tus preferencias, o para poder mostrarte publicidad ajustada a tus búsquedas, gustos e intereses personales. Puedes aceptar todas estas cookies pulsando el botón ACEPTAR, rechazarlas pulsando el botón RECHAZAR o configurarlas clicando en el apartado CONFIGURACIÓN DE COOKIES. Si quieres más información, consulta la POLÍTICA DE COOKIES de nuestra página web.