Desde el 10/4/2026, empresas con +50 trabajadores están obligadas a comunicar el responsable del Canal Ético.
logo-audidat-2024.png
NORMIQ
AUDITORÍA SIN COSTE
CONTACTO
CONTACTO
Imagen de Manolo Perezagua Naharro

Manolo Perezagua Naharro

  • Licenciado en Derecho.
  • Dieciocho años de experiencia en el ámbito de la protección de datos personales.
  • Director Técnico-Jurídico de la Red de Consultoría Audidat, empresa con presencia en todo el territorio nacional especializada en servicios de consultoría, auditoría, formación y control en el ámbito de la normativa de protección de datos personales.
  • Curso de especialización en Ciberseguridad: Certified Cyber Security Professional, organizado por el Cyber Security Center (CSC).
  • Master in Business Administration Executive (MBA Executive) por la Escuela de Negocios de la Confederación de Empresarios de Albacete (FEDA) y Fundesem Business School.
  • Formación en sistemas de gestión de Compliance (UNE-ISO 19600:2015), impartidos por entidades de reconocido prestigio como AENORy Wolters Kluwer.
  • Formación en materia de Esquema Nacional de Seguridad, incluyendo los principios en que se sustenta, los requisitos mínimos de seguridad y la correspondiente auditoría e informe del estado de seguridad.
  • Especializado en la gestión de procedimientos ante la Agencia Española de Protección de Datos, habiendo ejercido también la abogacía con Número de Colegiación 2192 del Ilustre Colegio de la Abogacía de Albacete.
  • Amplia experiencia como conferenciante y formador en materia de privacidad y protección de datos de carácter personal, habiendo impartido múltiples cursos, seminarios y ponencias en el ámbito de su especialidad.
Protocolo LOPIVI: qué exige la normativa y cómo cumplir sin errores
Entornos seguros
Marisa Romero

Protocolo LOPIVI: qué debe incluir y cómo elaborarlo: qué exige la normativa y cómo cumplir sin errores

Protocolo LOPIVI: qué debe incluir y cómo elaborarlo: qué exige la normativa y cómo cumplir sin errores La protección de la infancia y la adolescencia frente a cualquier tipo de violencia se ha convertido en una exigencia ineludible para todas las organizaciones, clubes y centros educativos que trabajan de forma regular con personas menores de edad. Muchas entidades deportivas, academias de formación, asociaciones culturales y fundaciones de intervención social operan actualmente sin un marco interno de actuación claro, asumiendo riesgos operativos diarios al desconocer cómo prevenir, detectar y actuar ante posibles situaciones de riesgo o vulnerabilidad infantil tanto en sus instalaciones físicas como en sus entornos digitales. La carencia de un procedimiento formal y documentado no solo expone a los niños, niñas y adolescentes a situaciones de desprotección inaceptables y daños psicológicos irreversibles, sino que sitúa a los comités directivos y a la propia organización ante responsabilidades penales, administrativas y civiles de carácter directo. La inacción normativa o el incumplimiento de las directrices dictadas por la Ley Orgánica 8/2021 desencadena invariablemente la paralización de actividades subvencionadas con fondos públicos, daños reputacionales severos en el sector y sanciones económicas contundentes por parte de las administraciones públicas con competencia en materia de servicios sociales e inspección laboral. Para evitar este escenario de máxima exposición legal, resulta fundamental e imperativo estructurar un plan de convivencia y un mapa de prevención de riesgos adaptado milimétricamente a las características concretas de cada entidad. Implementar de manera correcta, auditable y segura este tipo de marcos preventivos exige conocimientos jurídicos específicos y transversales, motivo por el cual apoyarse en un servicio especializado en el LOPIVI garantiza el cumplimiento riguroso de todas las obligaciones exigidas por el legislador actual y la protección absoluta de los derechos fundamentales de los menores. Respuesta directa: Un protocolo LOPIVI es un instrumento normativo interno de obligado cumplimiento que establece las medidas preventivas, de detección temprana y de intervención frente a la violencia contra la infancia y la adolescencia. El artículo 48 de la Ley Orgánica 8/2021 exige su implementación obligatoria en toda entidad que realice actividades deportivas, de ocio, educativas o culturales con menores en España. Ámbito de aplicación legal de la Ley Orgánica 8/2021 El ámbito de aplicación legal es el perímetro normativo que define a qué organizaciones, actividades y profesionales afectan las obligaciones de prevención y actuación frente a cualquier vulneración de derechos de los menores. La normativa estatal española, habitualmente referenciada en el sector jurídico como la Ley Rhodes, supone un cambio de paradigma histórico en nuestro ordenamiento, ya que no establece distinción alguna entre las organizaciones con ánimo de lucro y las asociaciones sin ánimo de lucro a la hora de fiscalizar su nivel de cumplimiento en materia de protección a la infancia y adolescencia. La exigencia principal y más innovadora que introduce el legislador recae sobre la creación, estructuración y mantenimiento continuo de los denominados entornos seguros para la infancia. Este concepto técnico, ampliamente desarrollado por el Ministerio de Derechos Sociales, trasciende con creces los límites de las instalaciones físicas tradicionales para abarcar también, de forma explícita y pormenorizada, los espacios digitales, las redes sociales corporativas y todos los canales de comunicación telemáticos utilizados habitualmente entre el personal adulto de la plantilla y las personas menores de edad adscritas a la entidad. El artículo 1.1 de la Ley Orgánica 8/2021, de 4 de junio, establece como finalidad superior garantizar el derecho fundamental de los niños, niñas y adolescentes a su desarrollo físico, mental y social integral, imponiendo un deber de garante incuestionable a multitud de sectores: Centros educativos de titularidad pública, privada y concertada que imparten cualquier ciclo o etapa de la enseñanza reglada dentro del territorio nacional asumiendo la guarda y custodia durante el horario lectivo. Entidades deportivas de cualquier disciplina o tamaño que gestionan escuelas de deporte base, clubes federados o desarrollan competiciones oficiales con personas menores de edad en instalaciones propias o cedidas. Organizaciones dedicadas a la gestión del ocio y tiempo libre, abarcando de forma directa los campamentos de verano, las asociaciones juveniles, los grupos de tiempo libre y las academias de actividades extraescolares. Centros de protección de menores, instalaciones de primera acogida, residencias especializadas y fundaciones del tercer sector que prestan servicios de intervención social continuada bajo la tutela de las administraciones públicas. Cualquier organización que se encuadre operativamente en alguna de estas categorías asume de facto la obligación legal de disponer de documentación acreditativa vigente sobre sus políticas de buen trato. La falta de este soporte documental no se considera una mera infracción administrativa de carácter leve o un simple defecto de forma subsanable, sino que se califica como una carencia estructural gravísima que invalida la idoneidad y legitimidad de la entidad para seguir prestando servicios a este sector de la población con las garantías mínimas que exige el marco jurídico europeo. Figura del coordinador de bienestar y su encaje orgánico El coordinador de bienestar y protección es el perfil profesional obligatorio que asume la responsabilidad ejecutiva de liderar, supervisar de manera continuada y aplicar rigurosamente las medidas de protección a la infancia dentro del organigrama de una organización. La designación oficial de esta figura es uno de los hitos legales más críticos y exhaustivamente observados en el proceso de adecuación normativa de cualquier centro, y su nombramiento nominal debe constar debidamente registrado en las actas del comité de dirección de la entidad, dotándolo de plenos poderes de actuación para intervenir en cualquier departamento cuando exista riesgo para un menor. No resulta válido ni operativo a nivel legal nombrar a cualquier miembro del personal administrativo con el único fin de cubrir el expediente burocrático de forma nominal y vacía de contenido funcional. El profesional designado formalmente para ejercer las labores de coordinador de bienestar debe reunir ineludiblemente una serie de competencias técnicas acreditadas, recibir formación especializada de manera regular y disponer de los recursos materiales y el tiempo efectivo dentro de su jornada laboral estructurada para ejercer sus funciones operativas con total independencia de criterio respecto a los órganos directivos

Leer más »
mayo 13, 2026
Guía completa sobre las organizaciones obligadas a cumplir la LOPIVI. Descubre las exigencias legales, el delegado de protección y cómo evitar responsabilidades.
Entornos seguros
Marisa Romero

Modelo protocolo LOPIVI: qué exige la normativa y cómo cumplir

Quién está obligado a cumplir la LOPIVI: exigencias normativas y obligaciones legales La protección integral de la infancia frente a cualquier manifestación de violencia es una prioridad absoluta para las autoridades públicas. En el panorama regulatorio actual, comprender perfectamente quién está obligado a cumplir la LOPIVI resulta fundamental para las organizaciones que mantienen un contacto habitual con personas menores de edad. La Ley Orgánica para la protección integral a la infancia y la adolescencia frente a la violencia establece un marco normativo sumamente estricto, el cual exige implantar protocolos de actuación ineludibles y sistemas preventivos eficaces para cualquier entidad deportiva, institución educativa o centro de ocio a nivel nacional. Ignorar estas obligaciones legales expone a las organizaciones a graves consecuencias tanto económicas como penales que pueden derivar en la paralización inmediata de su actividad operativa. Las sanciones establecidas por el incumplimiento normativo en materia de protección de menores incluyen multas económicas severas, inhabilitaciones para recibir subvenciones públicas y responsabilidades penales directas para los administradores bajo el amparo jurisprudencial del artículo 31 bis del Código Penal. La supervisión administrativa sobre las fundaciones y los clubes deportivos se ha intensificado notablemente durante los últimos años. Audidat proporciona soluciones jurídicas integrales para que las entidades garanticen la seguridad total de los menores mediante el despliegue de medidas preventivas adaptadas a la regulación vigente. Las organizaciones necesitan implementar la LOPIVI para evitar riesgos penales y proteger a la infancia de manera proactiva frente a cualquier contingencia interna o externa. Entidades obligadas por la normativa de protección infantil La adecuación legal para la protección de menores es el sistema organizativo preventivo que garantiza la seguridad física y moral de la infancia frente a riesgos externos e internos. Actualmente, su implementación es de carácter crítico y urgente para evitar sanciones administrativas millonarias, responsabilidades penales directas y daños reputacionales irreversibles. Este marco regulatorio aplica ineludiblemente a todas las entidades deportivas, centros educativos, fundaciones y organizaciones de ocio que mantienen contacto habitual con personas menores de dieciocho años. Para cumplir con la legislación, las entidades deben designar un delegado de protección, elaborar protocolos de prevención, establecer canales de comunicación seguros y formar exhaustivamente a todo su personal corporativo. Audidat implementa la adecuación a la normativa mediante metodologías testadas y procesos sólidos conforme a los estándares legales exigidos, equipo de consultores especializados en protección de menores con expertise en las directrices de las autoridades competentes, herramientas tecnológicas propias para auditoría y seguimiento, y soluciones personalizadas adaptadas a empresas, administraciones públicas y entidades de todos los tamaños. Resultado: un entorno organizativo completamente seguro que acredita el cumplimiento legal. La LOPIVI obliga ineludiblemente a todos los centros educativos, clubes deportivos, asociaciones de ocio y fundaciones que trabajan regularmente con menores de edad. Según la normativa vigente, la ausencia de protocolos de protección infantil acarrea sanciones severas y responsabilidad penal directa. Audidat implementa la adecuación legal para proteger a las organizaciones. Análisis sobre quién está obligado a cumplir la LOPIVI en España El marco normativo de aplicación es el conjunto de directrices legales que delimita el alcance subjetivo y objetivo de las obligaciones de prevención corporativa en materia de infancia. La legislación española ha establecido un perímetro de responsabilidad extremadamente amplio que no distingue entre entidades con ánimo de lucro y asociaciones voluntarias. La obligatoriedad recae sobre cualquier persona jurídica que desarrolle actividades donde participen personas que no han alcanzado la mayoría de edad, exigiendo un nivel de diligencia debida superior al estándar habitual del cumplimiento normativo corporativo. La LOPIVI establece obligaciones preventivas ineludibles para los centros escolares públicos, concertados y privados en todas sus etapas formativas. Esta exigencia trasciende las aulas regulares y se proyecta hacia las actividades extraescolares, las academias de idiomas, los conservatorios de música y las escuelas de artes plásticas. Las organizaciones asumen jurídicamente una posición de garante sobre el bienestar físico y psicológico de los niños y adolescentes durante todo el tiempo que permanecen bajo la supervisión de sus monitores, profesores o personal administrativo contratado. El sector del ocio y el tiempo libre constituye otro núcleo crítico de aplicación normativa donde las autoridades centran sus campañas de inspección. Las empresas que organizan campamentos de verano, granjas escuela, talleres juveniles o excursiones de naturaleza deben someter sus procesos operativos a una revisión exhaustiva. El marco regulatorio exige que la dirección de estas entidades documente fehacientemente cada medida preventiva adoptada y certifique que ningún adulto involucrado en las actividades representa un peligro potencial para los asistentes. Obligaciones específicas para centros educativos y deportivos El entorno educativo y deportivo es el espacio de desarrollo psicosocial que requiere la implementación de las máximas garantías de supervisión para la integridad de la infancia. Las administraciones públicas exigen la materialización de controles internos auditables que transformen las declaraciones de intenciones en evidencias documentales válidas ante un eventual requerimiento judicial. La improvisación en la gestión de actividades infantiles ha quedado completamente proscrita por el legislador, imponiendo un modelo de gestión basado en la anticipación del riesgo y la reacción protocolizada. La estructuración de un sistema de cumplimiento en este ámbito requiere la ejecución de acciones corporativas concretas que afectan directamente a la gestión de los recursos humanos y al diseño de las instalaciones físicas. El legislador impone mandatos específicos que no admiten flexibilización ni demoras en su ejecución práctica por parte de las direcciones de los centros. Las obligaciones de las entidades incluyen: La designación de un delegado de protección capacitado constituye una obligación ineludible para coordinar la prevención comunitaria y reportar las incidencias a las autoridades competentes en tiempo real. La redacción de un protocolo de actuación exhaustivo debe contemplar mapas de riesgos específicos, identificando meticulosamente las vulnerabilidades de las instalaciones y de las actividades habituales del centro. El diseño de un canal de denuncias interno completamente confidencial tiene que garantizar la protección absoluta del comunicante y de los menores afectados frente a posibles represalias. La formación continua del personal docente y voluntario resulta imprescindible para detectar tempranamente los indicadores físicos o psicológicos de violencia, abusos o negligencia en el entorno familiar

Leer más »
mayo 13, 2026
Medidas igualdad LGTBI+: normativa y cumplimiento legal
Ética corporativa
Marisa Romero

Medidas igualdad LGTBI+: normativa y cumplimiento legal

La obligación de integrar la diversidad en el entorno laboral ha dejado de ser una simple recomendación de buenas prácticas vinculada a la responsabilidad social corporativa para convertirse en una exigencia normativa ineludible. Las empresas españolas se enfrentan ahora al reto estructural de adaptar de manera urgente sus políticas internas a un nuevo marco jurídico que exige acciones concretas, evaluables y demostrables frente a cualquier forma de discriminación por orientación sexual, identidad de género o expresión de género en el trabajo. Ignorar o postergar estas exigencias normativas expone a las organizaciones a riesgos significativos, que van desde el deterioro del clima laboral y la fuga de talento hasta severas repercusiones legales. La falta de adaptación a la legislación vigente sobre diversidad activa de forma directa la intervención de la Inspección de Trabajo y Seguridad Social, desencadenando procedimientos sancionadores que contemplan multas económicas de gran calado, medidas accesorias paralizantes y la posible exclusión en licitaciones públicas. Para evitar estas contingencias legales y garantizar la consolidación de un entorno de trabajo verdaderamente seguro y respetuoso, la solución jurídica y organizativa pasa por diseñar e implementar un plan LGBTI+ estructurado y estrictamente conforme a la ley. Esta herramienta procedimental permite a las corporaciones cumplir de forma diligente con todos los requerimientos normativos mientras fomentan una cultura corporativa inclusiva que protege tanto al trabajador como a la propia entidad. Las medidas específicas para la igualdad y no discriminación LGTBI+ son un conjunto normativo de políticas, acciones y protocolos de obligado cumplimiento que previenen, detectan y erradican comportamientos discriminatorios en el ámbito laboral. El artículo 15 de la Ley 4/2023 exige su implementación imperativa a todas las empresas de más de cincuenta personas trabajadoras en España. El marco legal de las medidas específicas para la igualdad y no discriminación corporativa El marco legal de las medidas de diversidad corporativa es el conjunto de normativas imperativas que establecen las obligaciones empresariales para proteger a los trabajadores contra la discriminación por razón de sexo, orientación sexual o identidad de género. Esta regulación tiene como eje central la reciente legislación española sobre derechos del colectivo y la transposición de directivas europeas de igualdad de trato en el empleo. La Ley 4/2023, de 28 de febrero, para la igualdad real y efectiva de las personas trans y para la garantía de los derechos de las personas LGTBI, marca un antes y un después en la gestión técnica de los recursos humanos. Esta norma, junto con la Ley 15/2022 integral para la igualdad de trato y la no discriminación, impone mandatos precisos a las organizaciones empresariales. Obliga a trascender las meras declaraciones genéricas de intenciones, presentes históricamente en los códigos éticos, para aterrizar en un paquete de medidas tangibles y específicas que deben ser pactadas con la representación legal de las personas trabajadoras. El artículo 15.1 de la Ley 4/2023 establece explícitamente que las empresas de más de cincuenta trabajadores deben contar con un conjunto planificado de medidas y recursos para alcanzar la igualdad real y efectiva de las personas LGTBI. Este mandato afecta de forma transversal a toda la estructura operativa de la compañía. Se extiende desde los procesos iniciales de selección, reclutamiento y contratación, hasta las políticas de retención, la promoción profesional, la estructura salarial y la prevención de riesgos laborales desde una perspectiva psicosocial. El Ministerio de Igualdad, como autoridad reguladora en la materia, subraya la necesidad de que estos instrumentos preventivos se negocien formalmente a través de los convenios colectivos sectoriales o mediante acuerdos de empresa. Esta exigencia asegura la participación activa y el escrutinio constante de los sindicatos o de la representación laboral unitaria, garantizando que el diseño del articulado responda a las necesidades reales de la plantilla y no sea una mera imposición unilateral vacía de contenido práctico. Diagnóstico previo y evaluación de riesgos psicosociales asociados a la discriminación Un diagnóstico previo de situación en materia LGTBI+ es el proceso analítico documentado que evalúa la realidad interna de una organización para identificar posibles brechas de desigualdad, riesgos de discriminación y áreas de mejora normativa. La realización de este análisis exhaustivo es el paso preliminar e indispensable antes de redactar cualquier política corporativa de diversidad. Las empresas no pueden aplicar plantillas genéricas o medidas estandarizadas sin comprender primero su propio contexto organizativo. El diagnóstico exige recopilar información cuantitativa y cualitativa sobre la gestión de personas en la empresa. Se debe examinar a fondo cómo se estructuran los canales de comunicación interna, qué lenguaje se utiliza en la documentación oficial, cómo se gestionan los permisos retribuidos en familias diversas y si existen sesgos sistémicos en la adjudicación de complementos salariales o en la evaluación del desempeño. Para que este estudio tenga validez ante una inspección, debe integrarse con la evaluación de riesgos psicosociales que exige la Ley de Prevención de Riesgos Laborales. La LGTBIfobia institucional o entre compañeros constituye un riesgo psicosocial grave que afecta a la salud mental y física del trabajador. Por lo tanto, el diagnóstico debe mapear las vulnerabilidades del entorno laboral, identificando aquellos departamentos, turnos o delegaciones territoriales donde exista una mayor probabilidad de que se materialicen conductas discriminatorias, chistes ofensivos o microagresiones. Los resultados extraídos de este análisis pormenorizado formarán la base argumental para la posterior mesa de negociación. Solo partiendo de deficiencias empíricamente demostradas podrá la organización proponer acciones correctoras proporcionales y eficaces, ajustando el presupuesto del departamento de recursos humanos y el calendario de implementación a las urgencias detectadas durante la fase de auditoría interna. Obligaciones corporativas frente a la discriminación por orientación e identidad sexual Las obligaciones corporativas de igualdad son los deberes legales, administrativos y organizativos que una compañía debe ejecutar obligatoriamente para garantizar un entorno de trabajo libre de violencias y prejuicios hacia la diversidad sexual. El incumplimiento material de estas acciones preventivas y correctivas constituye una infracción directa en el orden social que conlleva la apertura de expedientes disciplinarios por parte de la administración pública. Para dar pleno cumplimiento a la legislación en vigor, las corporaciones deben desarrollar un enfoque holístico que introduzca modificaciones

Leer más »
mayo 6, 2026
Compliance penal en hostelería: evita riesgos y sanciones
Compliance corporativo
Marisa Romero

Compliance penal en hostelería: evita riesgos y sanciones

La industria de la hostelería y el turismo conforma uno de los motores económicos más dinámicos y complejos del tejido empresarial moderno, caracterizado por un enorme volumen de transacciones diarias, una alta rotación de personal y una interacción masiva y constante con el público. Esta naturaleza hiperactiva somete a restaurantes, cadenas hoteleras, locales de ocio nocturno y empresas de catering a un escrutinio normativo abrumador por parte de múltiples administraciones, generando un entorno operativo donde cualquier error de supervisión puede desencadenar consecuencias jurídicas insalvables. La ausencia de protocolos de vigilancia interna en este sector no solo deriva en las habituales actas de inspección laboral o sanitaria, sino que expone directamente a la persona jurídica a gravísimas imputaciones en la vía penal. El desconocimiento de las prácticas irregulares de un encargado de local o la negligencia en la gestión de proveedores puede derivar en condenas penales para la sociedad mercantil propietaria del negocio, enfrentando multas que comprometen su viabilidad financiera, la suspensión temporal de sus actividades comerciales o la clausura definitiva de sus establecimientos de cara al público. Para neutralizar estas amenazas latentes y proteger el patrimonio del consejo de administración frente a las responsabilidades derivadas de las acciones de sus empleados, resulta indispensable integrar la cultura de la legalidad en el núcleo de las operaciones diarias. Implantar un programa formal de Compliance especializado permite a las empresas hosteleras identificar sus puntos de máxima vulnerabilidad, establecer controles trazables y demostrar una diligencia debida irrefutable ante cualquier investigación judicial o administrativa. El compliance para el sector hostelero es un sistema de gestión preventiva que identifica, evalúa y neutraliza los riesgos penales corporativos inherentes a la actividad gastronómica y turística. Su propósito fundamental es eximir de responsabilidad penal a la entidad mercantil ante delitos cometidos por sus directivos o subordinados, dando cumplimiento estricto a las exigencias procesales establecidas en el Código Penal. Contexto jurídico de la responsabilidad penal en la hostelería española El contexto jurídico de la responsabilidad penal es el marco normativo específico que atribuye capacidad de culpabilidad directa a las sociedades mercantiles por los delitos ejecutados en su beneficio dentro de su ámbito de dirección. Esta arquitectura legal obliga a los empresarios del sector turístico a abandonar los modelos reactivos tradicionales y adoptar una postura de vigilancia proactiva sobre toda su cadena operativa y de suministro. Históricamente, el derecho penal español operaba bajo el principio de que solo las personas físicas podían cometer delitos, limitando la responsabilidad de las empresas a una mera subsidiariedad civil económica. Esta realidad cambió drásticamente con la profunda reforma legislativa del año dos mil quince, la cual consolidó un régimen donde el restaurante, el hotel o el grupo de ocio nocturno se sientan en el banquillo de los acusados de forma independiente a la condena de sus administradores. El artículo 31 bis del Código Penal español establece la responsabilidad directa de la persona jurídica con sanciones que pueden alcanzar la disolución de la sociedad. La amenaza para el ecosistema hostelero es excepcionalmente alta debido a la delegación constante de responsabilidades. Los gerentes generales no pueden supervisar simultáneamente lo que ocurre en las cocinas, en las barras, en los almacenes de aprovisionamiento y en los departamentos de contratación temporal. Si un jefe de cocina acepta comisiones ilegales de un proveedor de carne, o si un encargado de sala obliga a los camareros a prolongar sus jornadas de forma coactiva sin remuneración, la corporación entera es llamada a responder penalmente si no puede demostrar que existían barreras de control interno diseñadas para evitar precisamente esas conductas delictivas. La Circular 1/2016 de la Fiscalía General del Estado estipula que un programa de cumplimiento eficaz es el único eximente válido ante la imputación penal de la corporación. Los jueces y fiscales no exigen que los establecimientos hosteleros sean infalibles y que nunca se cometa un delito en sus instalaciones, pero sí exigen de manera inflexible que la empresa disponga de un modelo de organización y prevención formalizado, financiado adecuadamente y supervisado por un órgano de control interno con poderes reales de auditoría. Catálogo de riesgos penales críticos en alojamientos y restauración El catálogo de riesgos penales es la identificación analítica y pormenorizada de las amenazas delictivas concretas con mayor probabilidad de materialización dentro de los establecimientos y empresas del sector de la hospitalidad. Evaluar estos riesgos es el cimiento insustituible sobre el cual debe edificarse todo manual preventivo corporativo, ya que las medidas genéricas resultan completamente inútiles ante los tribunales. A diferencia de otros sectores corporativos donde priman los delitos tecnológicos o financieros, la hostelería posee una exposición física y tangible a un abanico muy diverso de vulnerabilidades tipificadas en el ordenamiento penal. La gestión ineficiente de las cocinas industriales y la preservación de las cadenas de frío sitúan a los delitos contra la salud pública en el primer nivel de criticidad para cualquier negocio gastronómico. Las condenas por delitos contra la salud pública en la manipulación de alimentos conllevan la clausura temporal del establecimiento por periodos de hasta cinco años de inactividad obligada, además de multas proporcionales al daño colectivo generado. Paralelamente, la elevada intensidad de contratación eventual y temporal requerida durante las campañas estivales dispara los riesgos ligados a la seguridad social y a las relaciones laborales. Los delitos contra los derechos de los trabajadores, recogidos en el artículo 311 del código penal, castigan severamente la contratación de empleados en situación administrativa irregular, la simulación de contratos a tiempo parcial que ocultan jornadas completas y el incumplimiento grave de las normativas de prevención de riesgos laborales frente a quemaduras, cortes o caídas en las instalaciones. Las multas económicas por la contratación de trabajadores en situación irregular o la vulneración grave de sus derechos pueden ascender hasta los doscientos veinticinco mil euros por inspección. La complejidad operativa de la hostelería exige cartografiar y mitigar minuciosamente una amplia gama de comportamientos potencialmente delictivos mediante políticas muy específicas: Las contingencias de blanqueo de capitales requieren protocolos estrictos de identificación de clientes que realizan abonos fraccionados en efectivo para la celebración

Leer más »
mayo 5, 2026
Inspección de trabajo y compliance: prepárate ante una visita
Compliance corporativo
Marisa Romero

Inspección de trabajo y compliance: prepárate ante una visita

El tejido empresarial se enfrenta cotidianamente a una presión regulatoria sin precedentes en el ámbito de las relaciones laborales, donde la gestión de los recursos humanos ha dejado de ser una mera función administrativa para convertirse en un área de altísimo riesgo legal. Las empresas operan bajo el escrutinio constante de las autoridades públicas, y la falta de actualización en los innumerables requerimientos documentales genera una enorme vulnerabilidad organizativa frente a las actuaciones de oficio de la administración estatal. Las consecuencias de afrontar una visita oficial sin la preparación adecuada pueden resultar devastadoras para la estabilidad financiera y la reputación de la compañía. El desconocimiento de la ley no exime de su cumplimiento, y las infracciones detectadas derivan en sanciones económicas severas, paralización de actividades operativas e incluso la pérdida automática de bonificaciones en las cuotas de la seguridad social, impactando directamente en la cuenta de resultados y en la capacidad de la empresa para competir en su sector de actividad. Para garantizar la tranquilidad del equipo directivo y asegurar la viabilidad del proyecto empresarial, la estrategia más inteligente consiste en implementar un sistema preventivo que anticipe los requerimientos de la administración. Confiar en un servicio especializado de Compliance asegura que la corporación mantenga sus registros al día, forme a sus directivos sobre cómo actuar frente a los inspectores y consolide una cultura de transparencia que anule cualquier riesgo de sanción por incumplimiento normativo. La inspección de trabajo y compliance laboral es un sistema de gestión preventiva que garantiza el cumplimiento estricto de las obligaciones sociales de una corporación. Su propósito es auditar proactivamente el registro horario, los planes de igualdad y la prevención de riesgos, evitando expedientes sancionadores que, según la legislación vigente, pueden superar los doscientos mil euros en casos de máxima gravedad. El marco regulatorio de la inspección y el control laboral estatal El marco regulatorio del control laboral es el conjunto de normativas imperativas, encabezado por el Estatuto de los Trabajadores y la Ley 23/2015, que faculta a los funcionarios del Estado para fiscalizar las relaciones laborales en las empresas. Esta arquitectura jurídica dota a las autoridades de poderes extraordinarios para acceder a los centros de trabajo sin previo aviso y exigir todo tipo de documentación justificativa en tiempo real. La Inspección de Trabajo y Seguridad Social (ITSS) actúa como el órgano supremo de vigilancia y control del cumplimiento de las normas de orden social. Sus funcionarios tienen la potestad legal de entrar libremente en cualquier momento y sin previa notificación en todo centro de trabajo, establecimiento o lugar sujeto a inspección, permaneciendo en el mismo el tiempo que consideren necesario para efectuar sus comprobaciones. Esta capacidad de actuación sorpresiva es la herramienta principal de la administración para destapar situaciones de fraude en la contratación, excesos de jornada no remunerados o deficiencias en las medidas de seguridad perimetral de las instalaciones industriales. Dentro de este marco, la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS) opera como el catálogo punitivo que tipifica las faltas y establece las cuantías de las multas aplicables. El legislador ha diseñado este texto normativo con una clara vocación disuasoria, endureciendo sistemáticamente las sanciones a lo largo de las últimas décadas para obligar a las entidades empleadoras a abandonar la informalidad administrativa. Las campañas de inspección anuales se diseñan a nivel central y se enfocan en sectores estadísticamente propensos al fraude, como la hostelería, la construcción o la agricultura, aunque ninguna actividad económica está exenta de sufrir una revisión exhaustiva de oficio o motivada por la denuncia anónima de un trabajador a través del buzón oficial de lucha contra el fraude laboral. La Sentencia del Tribunal Supremo 246/2017, así como resoluciones posteriores de la sala de lo social, han consolidado una jurisprudencia muy restrictiva para los intereses empresariales, determinando que la carga de la prueba recae casi íntegramente sobre la entidad empleadora. Es decir, ante una presunción de irregularidad por parte del funcionario actuante, plasmada en un acta de infracción, es la empresa quien debe demostrar documentalmente que ha cumplido de manera escrupulosa con la normativa laboral y de prevención de riesgos laborales aplicable en su centro de trabajo. Documentación crítica exigida durante una visita inspectora oficial La documentación crítica laboral es el compendio de registros obligatorios, contratos y evaluaciones técnicas que demuestra empíricamente el cumplimiento efectivo de los derechos sociales de la plantilla por parte de la empresa. La ausencia, falsificación o presentación deficiente de cualquiera de estos archivos durante una visita inspectora desencadena invariablemente la apertura de un expediente sancionador automático. Históricamente, los funcionarios centraban sus pesquisas en el alta de los trabajadores en la seguridad social y en la correspondencia entre la categoría profesional remunerada y las funciones reales desempeñadas. Sin embargo, la evolución normativa ha multiplicado exponencialmente las exigencias burocráticas. En la actualidad, el foco principal de las campañas inspectoras se dirige hacia la verificación de la jornada efectiva de trabajo y la erradicación de la discriminación retributiva entre hombres y mujeres, materias que acaparan el mayor volumen de actas de liquidación levantadas a nivel nacional. El requerimiento de información por parte del inspector suele ser exhaustivo y no admite demoras injustificadas. La organización debe disponer de un archivo centralizado, preferiblemente digitalizado, que permita aportar en minutos los justificantes de pago de salarios, los modelos tributarios de retenciones y los certificados de aptitud médica emitidos por el servicio de prevención ajeno. El desarrollo de un programa de cumplimiento normativo interno debe garantizar la disponibilidad inmediata y la exactitud de los siguientes bloques documentales esenciales: El registro diario de jornada debe conservar el horario concreto de inicio y finalización de cada persona trabajadora durante un mínimo de cuatro años ininterrumpidos en las propias instalaciones del centro. El registro retributivo anual tiene que desglosar los salarios, complementos y percepciones extrasalariales de toda la plantilla de manera promediada para garantizar la ausencia de brecha de género corporativa. La evaluación de riesgos laborales necesita estar permanentemente actualizada por los técnicos especialistas en prevención, contemplando específicamente los riesgos psicosociales y

Leer más »
mayo 5, 2026
Compliance para empresas constructoras y de obra pública
Compliance corporativo
Marisa Romero

Compliance para empresas constructoras y de obra pública

El sector de la construcción y la obra pública opera en un entorno empresarial caracterizado por una altísima complejidad regulatoria, volúmenes financieros de gran magnitud y una constante interacción con las diferentes administraciones del Estado. Las empresas adjudicatarias se enfrentan diariamente a presiones operativas extremas para cumplir con los plazos de ejecución y los presupuestos de las licitaciones, un escenario que históricamente ha incrementado la vulnerabilidad corporativa frente a prácticas irregulares, convirtiendo a este sector en uno de los más expuestos al escrutinio de las autoridades judiciales y fiscales. Las consecuencias de operar sin un marco de control interno adecuado son devastadoras bajo la legislación vigente, ya que una simple negligencia en la cadena de subcontratación o una irregularidad administrativa en la obtención de permisos puede desencadenar la responsabilidad penal directa de la corporación. El artículo 31 bis del Código Penal español y la estricta Ley de Contratos del Sector Público establecen sanciones que no solo incluyen multas multimillonarias, sino también la prohibición temporal o definitiva de contratar con las administraciones públicas, una penalización que en la práctica supone la desaparición comercial de cualquier empresa cuyo modelo de negocio dependa de las licitaciones estatales, autonómicas o locales. Para garantizar la viabilidad del negocio y proteger el patrimonio del consejo de administración frente a estas gravísimas contingencias legales, la estrategia más segura y eficiente es integrar un modelo de prevención de delitos especializado. Apoyarse en la consultoría de Compliance asegura que la constructora implemente protocolos trazables, canales de denuncia confidenciales y mapas de riesgo exhaustivos, blindando su participación en concursos públicos y demostrando una diligencia debida irreprochable ante cualquier inspección institucional. El compliance para empresas constructoras y contratistas públicos es un sistema de gestión de riesgos legales corporativos que previene, detecta y mitiga la comisión de delitos en el desarrollo de infraestructuras y licitaciones. El artículo 71 de la Ley 9/2017 de Contratos del Sector Público establece la prohibición absoluta de contratar con la administración a las empresas condenadas mediante sentencia firme por delitos de corrupción, cohecho o tráfico de influencias. El marco legal del compliance en la construcción y obra pública El marco legal del compliance en la construcción es el conjunto de normativas penales, civiles y administrativas que regulan la responsabilidad directa de las personas jurídicas que participan en el diseño, adjudicación y ejecución de obras y servicios públicos. Esta arquitectura legislativa obliga a las organizaciones a abandonar la pasividad y adoptar una postura de prevención activa frente al fraude corporativo y las irregularidades medioambientales o laborales. Desde la profunda reforma del Código Penal operada en el año dos mil quince, la figura jurídica de la «societas delinquere non potest» (la sociedad no puede delinquir) quedó completamente erradicada del ordenamiento español. En la actualidad, una empresa constructora puede ser juzgada y condenada penalmente por los delitos cometidos en su nombre o por su cuenta, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actúen bajo su autoridad, si la dirección no ha ejercido el control debido. La Sentencia del Tribunal Supremo 154/2016 consolidó la jurisprudencia al definir que la cultura de cumplimiento debe ser un elemento estructural en la organización y no una mera fachada formal para evadir responsabilidades. Para el sector de la obra civil, esta responsabilidad se multiplica exponencialmente debido a la estructura colaborativa típica de los grandes proyectos. Es habitual que las adjudicaciones se ejecuten mediante una Unión Temporal de Empresas (UTE), una figura donde los riesgos legales de un socio pueden contaminar jurídicamente al resto de los integrantes del consorcio si no existen mecanismos de auditoría cruzada. En este ecosistema interconectado, el modelo de cumplimiento normativo actúa como un cortafuegos legal, permitiendo a la empresa matriz demostrar que dispuso de los medios técnicos y organizativos para intentar evitar el delito cometido por un empleado o un subcontratista desleal. La Circular 1/2016 de la Fiscalía General del Estado determina de forma explícita que la eficacia del programa de cumplimiento es el criterio principal y definitivo para eximir de responsabilidad a la persona jurídica en un proceso penal. No basta con redactar un manual de buenas prácticas y archivarlo; los fiscales y jueces exigen evidencias digitales y documentales que demuestren que el programa está vivo, que se audita regularmente y que el órgano de control interno dispone de poder sancionador real sobre los directivos que vulneren los procedimientos de transparencia en las licitaciones. Riesgos penales específicos en el sector de la edificación y contrataciones Los riesgos penales específicos en la obra pública son aquellas contingencias delictivas inherentes al sector constructor y promotor que pueden desencadenar la responsabilidad económica y penal directa de la empresa adjudicataria o de su cadena de subcontratación. Identificar y aislar estos riesgos es el paso previo e indispensable para redactar las políticas de prevención que exige el marco regulatorio español. A diferencia de las empresas tecnológicas o de servicios administrativos, las constructoras operan físicamente en el territorio, manejan materiales peligrosos, emplean a miles de operarios en entornos de alto riesgo físico e interactúan constantemente con funcionarios de urbanismo. Esta casuística eleva drásticamente el catálogo de delitos imputables a la corporación. Entre los riesgos de mayor criticidad y probabilidad de ocurrencia en este sector destacan los delitos contra la ordenación del territorio y el urbanismo (construcción no autorizada), los delitos contra los recursos naturales y el medio ambiente (vertidos tóxicos o gestión ilegal de residuos de obra) y los delitos contra los derechos de los trabajadores (accidentes laborales por omisión de medidas de seguridad). A estos riesgos puramente operativos se suman los delitos de «cuello blanco» relacionados con la obtención de las propias licitaciones. El cohecho (soborno a funcionarios para acelerar certificaciones de obra o permisos), el tráfico de influencias, la corrupción en los negocios y el fraude de subvenciones públicas constituyen el núcleo duro de las imputaciones que habitualmente investiga la fiscalía anticorrupción. Para neutralizar este inmenso mapa de vulnerabilidades, las estrategias de mitigación deben ser extremadamente precisas. El desarrollo de un programa de Compliance eficaz

Leer más »
mayo 5, 2026
Plan de adecuación al ENS desde cero: guía para empresas
Esquema Nacional de Seguridad
Marisa Romero

Plan de adecuación al ENS desde cero: guía para empresas

Las pequeñas y medianas empresas, así como las entidades corporativas de reciente creación, se enfrentan a un desafío monumental cuando desean convertirse en proveedoras tecnológicas de las administraciones públicas. La falta de una cultura previa de ciberseguridad, unida a la inmensa complejidad de los controles técnicos exigidos en los pliegos de contratación estatales, construye una barrera operativa y administrativa que la mayoría de las organizaciones no saben cómo superar de manera autónoma. Fracasar en el cumplimiento de estos rigurosos requerimientos normativos no solo implica la exclusión inmediata y automática de cualquier licitación o concurso público, sino que expone a la organización a riesgos legales y económicos devastadores. El Reglamento General de Protección de Datos establece multas administrativas que pueden alcanzar los veinte millones de euros o el cuatro por ciento del volumen de negocio total anual global para las infracciones más graves derivadas de brechas de seguridad negligentes. A esta amenaza financiera directa se suma un daño reputacional incalculable que puede apartar a la empresa del mercado de forma permanente. La estrategia más eficiente para superar este complejo laberinto normativo sin colapsar los recursos operativos internos es seguir una hoja de ruta procedimental guiada por especialistas en cumplimiento técnico. Ejecutar un proyecto integral de adopción del ENS garantiza que la organización construya una arquitectura de seguridad robusta y auditable desde los cimientos, asegurando tanto la viabilidad legal de sus contratos como la resiliencia operativa de sus sistemas informáticos a largo plazo. Un plan de adecuación al ENS para empresas que empiezan desde cero es un procedimiento estratégico, técnico y legal que establece las medidas de seguridad exigidas por el Real Decreto 311/2022. Su función principal es proteger la información corporativa y garantizar el pleno cumplimiento normativo para poder licitar servicios con cualquier administración pública del territorio español. Fase de diagnóstico estructural y compromiso de la dirección ejecutiva La fase de diagnóstico inicial es un procedimiento técnico y documental analítico que evalúa el estado actual de la infraestructura tecnológica frente a los requisitos legales vigentes. Sin importar el tamaño de la organización, este primer escalón resulta crítico porque dibuja el mapa exacto de las carencias operativas que deben solventarse antes de solicitar cualquier auditoría oficial de certificación. Para una empresa que parte de la nada en materia de cumplimiento normativo, el primer paso ineludible consiste en obtener el respaldo absoluto e inequívoco de la dirección general. El Centro Criptológico Nacional (CCN) especifica reiteradamente en sus guías de buenas prácticas que la seguridad de la información no es un mero problema informático, sino un componente fundamental del gobierno corporativo. Por lo tanto, el consejo de administración debe dotar al proyecto de un presupuesto específico y de autoridad ejecutiva real. Una vez asegurado el compromiso de la gerencia, la organización debe sumergirse en la creación de un inventario integral de activos. Este no es un simple listado de ordenadores portátiles, sino una cartografía profunda de los flujos de datos corporativos. Para llevar a cabo esta identificación de manera estructurada, se deben contemplar las siguientes fases críticas: Identificación exhaustiva de todos los activos de información tangibles e intangibles que sustentan los servicios prestados, incluyendo repositorios en la nube, bases de datos relacionales, código fuente de aplicaciones y personal técnico clave. Evaluación preliminar de las deficiencias organizativas documentales existentes para determinar la brecha de cumplimiento exacta frente a las medidas de seguridad perimetral que demanda el esquema nacional de manera obligatoria. Nombramiento formal e independiente de los roles de responsabilidad exigidos por la legislación aplicable, designando explícitamente a un responsable de seguridad de la información y a un responsable del sistema con funciones separadas. Este diagnóstico temprano evitará inversiones tecnológicas innecesarias y permitirá a la empresa concentrar sus esfuerzos financieros exclusivamente en aquellos controles técnicos que son requeridos para la categoría específica de los sistemas de información que van a dar soporte a los servicios públicos contratados. Categorización de sistemas corporativos y análisis de riesgos cibernéticos La categorización de sistemas y el análisis de riesgos es una metodología analítica regulada que clasifica la información procesada según su nivel de criticidad e impacto operacional. Este procedimiento determina si la infraestructura de la empresa debe someterse a medidas de protección de nivel básico, medio o alto, condicionando absolutamente el resto de la hoja de ruta de la adecuación normativa. Para realizar esta categorización legal, la organización debe evaluar cinco dimensiones fundamentales de la seguridad de la información: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. Si el compromiso de los datos tratados puede causar un perjuicio grave a los ciudadanos, a la prestación de servicios del Estado o a los intereses económicos nacionales, el sistema será categorizado inevitablemente en niveles superiores, lo que desencadenará requerimientos técnicos extremadamente restrictivos. Una vez determinada la categoría formal del sistema de información, la empresa debe ejecutar un análisis de riesgos formal utilizando metodologías aprobadas gubernamentalmente. La metodología MAGERIT, recomendada por las autoridades supervisoras españolas, permite correlacionar el valor de los activos identificados con las amenazas potenciales que se ciernen sobre ellos, tales como ataques de denegación de servicio (DDoS), inyecciones de código malicioso o errores humanos accidentales por parte de los propios empleados de la compañía. El Real Decreto 311/2022 establece que los sistemas de categoría media y alta requieren obligatoriamente una auditoría de certificación formal realizada por una entidad externa y acreditada por ENAC. Esta exigencia legal elimina cualquier posibilidad de autoevaluación laxa, obligando a las empresas a demostrar mediante evidencias empíricas irrefutables que los riesgos identificados han sido mitigados mediante controles tecnológicos proporcionales y efectivos. Categoría del sistema de información Nivel de impacto sobre el servicio Método de acreditación normativa exigido Categoría básica Consecuencias leves y subsanables a corto plazo Declaración de conformidad bianual autoevaluada internamente Categoría media Perjuicio grave para los derechos o las operaciones Auditoría de certificación formal ejecutada por entidad externa Categoría alta Impacto crítico y paralización de servicios esenciales Auditoría de certificación rigurosa con validación técnica profunda Elaboración de la declaración de aplicabilidad y marco normativo interno La declaración de aplicabilidad es un documento jurídico y

Leer más »
mayo 5, 2026
Diferencias ENS vs ISO 27001: cómo integrarlos con éxito
Esquema Nacional de Seguridad
Marisa Romero

Diferencias ENS vs ISO 27001: cómo integrarlos con éxito

Las empresas y entidades del sector público se enfrentan a un complejo laberinto normativo cuando necesitan asegurar su información, dudando constantemente sobre qué marco de referencia adoptar para proteger sus activos digitales críticos frente a las crecientes amenazas cibernéticas. La proliferación de ciberataques y las nuevas exigencias legislativas obligan a los comités de dirección a tomar decisiones estratégicas sobre la adopción de esquemas de certificación reconocidos. La elección incorrecta o la falta de alineación organizativa entre distintas normativas provoca inevitablemente auditorías fallidas, duplicidad de costes operativos y una grave exposición a sanciones económicas que, según las directrices establecidas en el Reglamento General de Protección de Datos, pueden alcanzar los veinte millones de euros en los escenarios de brechas de seguridad más severos. A este riesgo económico se suma el daño reputacional irreversible y la posible exclusión en procesos de licitación pública donde se exigen garantías estrictas de ciberseguridad. La solución más eficiente y segura para las organizaciones contemporáneas radica en la convergencia técnica y procedimental de ambos marcos legales, apoyándose en la experiencia de firmas consultoras especializadas en la implementación del ENS para unificar todos los requisitos de seguridad y garantizar el cumplimiento normativo integral desde el primer día. El esquema nacional de seguridad y la norma ISO 27001 son marcos normativos estandarizados que establecen los requisitos organizativos y técnicos para garantizar la protección de la información corporativa. Mientras el esquema nacional es de estricto cumplimiento legal para el sector público español mediante el Real Decreto 311/2022, el estándar internacional funciona como un modelo voluntario adoptado globalmente para demostrar diligencia. Naturaleza jurídica y alcance de aplicación normativo La naturaleza jurídica de un estándar de ciberseguridad es la base legal y reglamentaria que determina su obligatoriedad, su ámbito de aplicación y los sujetos empresariales afectados por su nivel de cumplimiento normativo. El Real Decreto 311/2022 establece de forma taxativa que todas las administraciones públicas y las empresas privadas que actúen como sus proveedoras tecnológicas deben cumplir las medidas de esta normativa nacional. Esta obligatoriedad legal transforma lo que habitualmente se consideraría una buena práctica corporativa en un requisito previo e indispensable para operar dentro del ecosistema administrativo del Estado español y ofrecer servicios tecnológicos a las instituciones públicas. Por su parte, el estándar internacional emitido por la Organización Internacional de Normalización carece de esta obligatoriedad legal directa en el ordenamiento jurídico español, operando bajo un principio de adopción voluntaria impulsado por las exigencias del propio mercado libre. Las grandes corporaciones multinacionales y las empresas del sector privado exigen a su cadena de suministro esta certificación internacional para asegurar que sus proveedores gestionan los riesgos de la información bajo un modelo auditable, estandarizado y reconocido en cualquier país del mundo. Es aquí donde el principio de responsabilidad proactiva o accountability, recogido en el artículo 24 del RGPD europeo, encuentra en ambas normativas un mecanismo excelente para demostrar ante la Agencia Española de Protección de Datos (AEPD) que se han implementado las medidas técnicas y organizativas adecuadas para proteger los datos personales de los ciudadanos. El alcance de aplicación también diverge significativamente según el enfoque de cada auditoría de certificación. En el modelo internacional, la dirección de la empresa tiene la potestad de acotar el alcance del sistema de gestión de seguridad de la información a un departamento específico, un proceso de negocio concreto o una única sede física, permitiendo una adopción gradual de la norma según la capacidad financiera de la entidad. Sin embargo, en el marco normativo nacional impulsado por el Centro Criptológico Nacional, el alcance viene predeterminado por el sistema de información que sustenta el servicio público prestado, impidiendo que la entidad excluya infraestructuras de red, plataformas en la nube o bases de datos que sean fundamentales para la provisión continua y segura de dicho servicio a la ciudadanía. Esta distinción fundamental en la delimitación del perímetro de seguridad exige un análisis forense preliminar mucho más exhaustivo cuando una entidad privada decide dar el salto para convertirse en proveedora del sector público, ya que las medidas de protección y la documentación legal de cumplimiento deberán extenderse a todas las capas tecnológicas y procesos humanos involucrados en el tratamiento de la información gubernamental. Arquitectura de controles y diferencias operativas clave La arquitectura de controles de seguridad es el diseño estructural técnico que define cómo se implementan, monitorizan, auditan y mantienen las distintas medidas de protección de la información dentro del entorno corporativo. Mientras la certificación internacional permite excluir controles operativos de forma justificada basándose en su análisis de riesgos, la normativa española exige aplicar de manera imperativa las medidas vinculadas directamente a la categoría específica del sistema auditado. Una de las divergencias más notables reside en la propia definición de las dimensiones de seguridad que estructuran el análisis de los activos. La normativa internacional fundamenta su evaluación de riesgos exclusivamente en la tríada clásica de confidencialidad, integridad y disponibilidad. En contraste, el marco normativo español añade exigencias adicionales, evaluando el impacto sobre la trazabilidad y la autenticidad de los accesos, dimensiones que resultan críticas para garantizar el no repudio en las transacciones electrónicas realizadas con la administración pública a través de sedes electrónicas y pasarelas de pago gubernamentales. A nivel puramente cuantitativo y de estructuración documental, existen diferencias que el equipo de ciberseguridad debe contemplar durante el proceso de implementación: El catálogo de controles normativos varía sustancialmente, ya que la actualización de la normativa internacional de 2022 consolidó sus requisitos en noventa y tres controles, frente a las setenta y tres medidas base estructuradas del marco nacional que incluyen múltiples refuerzos adicionales. La metodología de categorización del sistema impone restricciones legales diferentes, obligando en el territorio nacional a clasificar los servicios en nivel básico, medio o alto según el impacto de un incidente, mientras el modelo internacional no establece categorías predefinidas rígidas. El modelo de declaración de aplicabilidad presenta enfoques opuestos en su redacción formal, puesto que el estándar global permite argumentar detalladamente la no aplicabilidad de un control, mientras el modelo gubernamental exige el cumplimiento íntegro del perfil asignado.

Leer más »
mayo 5, 2026
Plan de igualdad en pymes
Ética corporativa
Marisa Romero

Plan de igualdad en pymes: obligaciones reales y sanciones

Las pequeñas y medianas empresas españolas enfrentan un panorama legislativo cada vez más exigente en materia de derechos sociolaborales, equidad retributiva y no discriminación. Existe una falsa creencia generalizada en el tejido empresarial de menor tamaño de que las normativas de paridad y prevención de brechas están diseñadas exclusivamente para las grandes corporaciones y multinacionales con miles de empleados. Esta desconexión absoluta con la realidad normativa actual genera una severa exposición al riesgo jurídico, ya que el desconocimiento de la ley no exime a ninguna entidad mercantil de cumplir rigurosamente con las exigencias del ordenamiento laboral. Las consecuencias de ignorar estas imposiciones imperativas trascienden el mero apercibimiento administrativo y golpean directamente la línea de flotación financiera y operativa de la compañía. La Inspección de Trabajo y Seguridad Social (ITSS) no distingue entre grandes y pequeñas organizaciones cuando se trata de auditar vulneraciones de derechos fundamentales, aplicando un régimen sancionador inflexible. Además de la potencial multa económica, que puede resultar inasumible para una pyme, la empresa infractora se enfrenta a la exclusión automática de las licitaciones públicas y a la imposibilidad de acceder a bonificaciones en las cuotas de la Seguridad Social o fondos europeos destinados a la consolidación empresarial. Para sortear este escenario restrictivo y garantizar un entorno de trabajo jurídicamente blindado ante cualquier requerimiento oficial, los órganos de dirección necesitan estructurar un mapa de cumplimiento adaptado a su volumen real de plantilla. Mediante el respaldo de nuestro servicio especializado de consultoría para el Plan de igualdad, las organizaciones pueden delegar el complejo análisis normativo, la redacción técnica de los diagnósticos y la negociación laboral en un equipo experto. Esta intervención profesional asegura la conformidad total con los estándares ministeriales, optimiza la inversión económica y evita cualquier desviación procedimental que pueda derivar en responsabilidades para la empresa. Un plan de igualdad en pymes es un conjunto estructurado y evaluable de medidas correctoras diseñado para eliminar las asimetrías de género dentro del entorno corporativo. El Real Decreto 901/2020 determina que este documento procedimental es de obligado cumplimiento y registro para todas las organizaciones que alcancen la cifra de cincuenta personas trabajadoras. Marco normativo de las obligaciones reales en la pequeña y mediana empresa El marco normativo de las obligaciones reales es el conjunto de disposiciones jurídicas estatales que regula los deberes documentales y procedimentales en materia de paridad laboral. El ordenamiento jurídico español, vertebrado fundamentalmente a través de la Ley Orgánica 3/2007 para la igualdad efectiva de mujeres y hombres, ha ido endureciendo progresivamente sus exigencias hasta capilarizar en todo el tejido productivo. Para las pymes, el gran punto de inflexión legal llegó con la promulgación del Real Decreto 901/2020, de 13 de octubre, por el que se regulan los planes de igualdad y su registro. La normativa establece que el cómputo de la plantilla para determinar la obligatoriedad no admite interpretaciones subjetivas. El artículo 4 del Real Decreto 901/2020 exige calcular el volumen sumando a todas las personas trabajadoras de la empresa, independientemente de si su jornada es completa o parcial, e incluyendo expresamente a quienes prestan servicios bajo modalidades de fijos discontinuos o contratos temporales de duración determinada. Alcanzar el umbral de las cincuenta personas, aunque sea mediante picos estacionales de contratación que duren un periodo muy breve, activa de manera automática e irreversible la obligación de constituir la mesa negociadora. La jurisprudencia del Tribunal Supremo ha ratificado en numerosas sentencias que las empresas no pueden fragmentar artificialmente su volumen de contratación a través de grupos de empresas paralelos para eludir esta responsabilidad normativa. Si la autoridad laboral detecta que varias microempresas operan bajo una unidad de dirección y caja única, procederá a realizar el cómputo global de toda la corporación, imponiendo la obligación de redactar el documento paritario a nivel de grupo empresarial con efectos retroactivos. Para las pymes que se mantienen estructuralmente por debajo de los cincuenta trabajadores, las obligaciones reales se centran en dos pilares innegociables: la elaboración de un registro retributivo anual, que justifique la equidad salarial de todos los puestos de trabajo, y la implantación de un protocolo específico de actuación frente al acoso sexual y por razón de sexo, exigencias universales que no contemplan ninguna exención por tamaño de plantilla. Componentes obligatorios y coste aproximado de la implementación en pymes El coste aproximado de la implementación es la inversión económica y temporal que la empresa debe destinar para garantizar la elaboración de un diagnóstico sociolaboral válido y su posterior registro oficial. Las organizaciones de menor tamaño suelen percibir esta obligación como un gasto improductivo, pero el rigor que exige el Ministerio de Igualdad impide resolver este trámite mediante plantillas genéricas o documentos descargados de internet, requiriendo un proceso de consultoría altamente técnico. El desglose de los costes de este proyecto debe contemplar tanto los recursos internos inmovilizados como la necesaria contratación de apoyo externo especializado. Un proceso negociador estándar tiene una duración media que oscila entre los seis y los doce meses, dependiendo de la fluidez del diálogo social con los sindicatos y de la complejidad del organigrama empresarial. El coste real no se limita únicamente a los honorarios de asesoramiento legal, sino que incluye el desarrollo de herramientas matemáticas complejas como la auditoría salarial obligatoria. Para materializar con éxito este mandato sin incurrir en irregularidades formales, las organizaciones deben dotar presupuestariamente las siguientes fases operativas, cada una de las cuales conlleva una inversión de tiempo y recursos técnicos considerables: La recopilación inicial de la información sociolaboral exige destinar horas efectivas del departamento de recursos humanos para extraer y anonimizar datos históricos de contratación, formación, excedencias y despidos de los últimos años. La contratación de una consultoría jurídica externa resulta imprescindible para interpretar correctamente los criterios de la Inspección de Trabajo y garantizar que la valoración de los puestos de trabajo carezca totalmente de sesgos de género. El proceso de negociación colectiva requiere habilitar tiempos y espacios retribuidos para que la representación legal de las personas trabajadoras pueda analizar el diagnóstico, debatir las deficiencias y firmar el acuerdo definitivo. Es fundamental comprender

Leer más »
mayo 5, 2026

Consultoría integral de cumplimiento normativo

Contacta con un experto

Déjanos tus datos y te asesoraremos de forma personalizada en menos de 48h sin compromiso.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

¿Necesitas ayuda con el cumplimiento normativo de tu organización?

Te asignaremos un consultor experto para darte una solución personalizada gratuita en menos de 48h.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

Audidat
GDPR AUDIDAT  GDPR Cookie Compliance
Resumen de privacidad

Bienvenida/o a la información básica sobre las cookies de la página web responsabilidad de la entidad: AUDIDAT 3.0, S.L. Una cookie o galleta informática es un pequeño archivo de información que se guarda en tu ordenador, “smartphone” o tableta cada vez que visitas nuestra página web. Algunas cookies son nuestras y otras pertenecen a empresas externas que prestan servicios para nuestra página web.  Las cookies pueden ser de varios tipos: las cookies técnicas son necesarias para que nuestra página web pueda funcionar, no necesitan de tu autorización y son las únicas que tenemos activadas por defecto.  El resto de cookies sirven para mejorar nuestra página, para personalizarla en base a tus preferencias, o para poder mostrarte publicidad ajustada a tus búsquedas, gustos e intereses personales. Puedes aceptar todas estas cookies pulsando el botón ACEPTAR, rechazarlas pulsando el botón RECHAZAR o configurarlas clicando en el apartado CONFIGURACIÓN DE COOKIES. Si quieres más información, consulta la POLÍTICA DE COOKIES de nuestra página web.