El Centro Criptológico Nacional (CCN) ha sido galardonado por su contribución a la ciberseguridad en España. El reconocimiento fue entregado por la Asociación Española para la Calidad (AEC) en el primer Congreso Foro GRC en Madrid. Javier Candau, adjunto al subdirector general del CCN, recibió el premio y participó en una mesa redonda sobre tendencias regulatorias. También ofreció una ponencia sobre la Directiva NIS2 y su relación con el Esquema Nacional de Seguridad (ENS). Reconocimiento a la labor del CCN El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), ha sido distinguido por la Asociación Española para la Calidad (AEC) por su trayectoria y aportación a la ciberseguridad en España. Este reconocimiento se ha entregado en el marco del primer Congreso Foro GRC (Gobernanza, Riesgo y Cumplimiento), celebrado en el Espacio Fundación Telefónica en Madrid. La AEC y sus comunidades especializadas, Club DPD, Club CISO e IA, han sido las responsables de otorgar este galardón. Participación del CCN en el Foro GRC El encargado de recoger el premio ha sido Javier Candau, adjunto al subdirector general del CCN, quien ha recordado la importancia del organismo y su papel en la mejora de la ciberseguridad en España durante más de 20 años. Además de recibir el reconocimiento, Candau ha participado en una mesa redonda sobre las tendencias regulatorias en GRC y ha ofrecido una ponencia titulada «Visión práctica de la NIS2 y su relación con el Esquema Nacional de Seguridad (ENS)». Reflexión sobre el impacto de la IA y la ciberseguridad Durante el evento, otros expertos del sector, profesionales en gestión de riesgos y cumplimiento, y líderes en innovación tecnológica han analizado el impacto de la inteligencia artificial en la gestión empresarial, la ciberseguridad y la protección de datos. El Congreso Foro GRC ha servido como un punto de encuentro clave para debatir sobre la evolución de la normativa y las mejores prácticas en ciberseguridad y gobernanza digital.

Condena a una enfermera por acceso indebido a historiales clínicos en A Coruña La Audiencia Provincial de A Coruña impone seis años y medio de prisión a una enfermera por acceder sin permiso a datos médicos. La acusada consultó los historiales clínicos de una madre y su hijo en 13 ocasiones a través del sistema IANUS. Además de la pena de prisión, deberá indemnizar con 2.000 euros a cada una de las víctimas. La sentencia aún puede ser recurrida ante el Tribunal Superior de Xustiza de Galicia. Acceso no autorizado a datos clínicos La Audiencia Provincial de A Coruña, en su sección sexta, ha condenado a una enfermera del Servizo Galego de Saúde (Sergas) a seis años y medio de prisión por acceder sin consentimiento a los historiales clínicos de una mujer y su hijo en al menos 13 ocasiones. Además, la sentencia establece una indemnización de 2.000 euros para cada una de las víctimas. El tribunal considera probado que la enfermera accedió en tres ocasiones al historial de la madre y en diez al del menor, sin justificación médica ni profesional. No obstante, los magistrados no encontraron pruebas de que la acusada hubiera compartido estos datos con terceros. Un conflicto previo entre la enfermera y la querellante La sentencia señala que la relación entre la madre del menor y la enfermera terminó en junio de 2018 tras un conflicto durante una excursión escolar. Este hecho resulta clave, ya que la Sala considera «imposible» que la madre o su marido hubieran autorizado los accesos a través del sistema IANUS, empleado por los profesionales del Sergas. La defensa argumentó la existencia de un consentimiento tácito, hipótesis que el tribunal rechazó al considerarla «incompatible» con la situación entre ambas partes. Grave vulneración de la privacidad El acceso no autorizado a historiales clínicos constituye una infracción grave de la normativa de protección de datos y privacidad. En este caso, la enfermera utilizó su acceso al sistema informático del Sergas sin ninguna justificación profesional. La sentencia subraya la necesidad de garantizar la seguridad de los datos médicos y la importancia de implementar controles estrictos para evitar accesos indebidos. Posible recurso ante el TSXG La condena aún no es firme y podría ser recurrida ante el Tribunal Superior de Xustiza de Galicia (TSXG). Si se ratifica, este caso marcaría un precedente relevante en la protección de la privacidad en el ámbito sanitario.

El anteproyecto de reforma de las leyes de Dependencia y Discapacidad obligará a las administraciones a ofrecer ayudas para obras de accesibilidad. Se plantea la duda sobre quién financiará estas reformas, dado su alto coste, que puede oscilar entre 70.000 y 100.000 euros. Más del 50% de los habitantes de Barcelona viven en edificios sin ascensor, lo que agrava el problema de accesibilidad. Los administradores de fincas desempeñan un papel clave en la gestión de estas reformas y en la resolución de discrepancias entre vecinos. Una reforma necesaria, pero con incertidumbre en su financiación El Col·legi d’Administradors de Finques de Barcelona-Lleida ha valorado positivamente la aprobación del anteproyecto de reforma de las leyes de Dependencia y Discapacidad, ya que permitirá eliminar barreras arquitectónicas en edificios de viviendas. La nueva normativa modificará la Ley de Propiedad Horizontal para que las administraciones competentes ofrezcan ayudas económicas a las comunidades de propietarios que necesiten realizar obras de accesibilidad, como la instalación de ascensores o rampas. Además, las comunidades estarán obligadas a solicitar estas ayudas si un residente lo requiere. Sin embargo, los administradores de fincas cuestionan cómo se financiarán estas reformas. La instalación de un ascensor, por ejemplo, puede costar entre 70.000 y 100.000 euros, una inversión que requiere de una estructura de subvenciones clara y eficaz. Desde el Colegio, consideran que estos recursos deben proceder de una dotación presupuestaria estatal, en lugar de cargar todo el peso sobre las administraciones autonómicas. El papel del administrador de fincas en la toma de decisiones Además de la cuestión económica, las decisiones dentro de las comunidades de propietarios pueden generar conflictos. La instalación de un ascensor o cualquier reforma de accesibilidad implica acuerdos entre vecinos, donde puede haber discrepancias. En este sentido, el administrador de fincas colegiado juega un papel fundamental, ya que su labor consiste en aplicar la normativa vigente para facilitar el consenso y garantizar la viabilidad de las obras. Más de la mitad de los barceloneses vive en edificios sin ascensor Las barreras arquitectónicas en los edificios de viviendas afectan gravemente a personas mayores y personas con movilidad reducida. Según los datos, uno de cada tres mayores de 75 años tiene dificultades para acceder a su vivienda por la falta de ascensores o la existencia de barreras como escaleras. En Barcelona, la situación es especialmente preocupante: Entre 15.000 y 17.000 edificios de cuatro plantas o más no tienen ascensor. Esto afecta a entre 780.000 y 884.000 personas, es decir, entre el 45% y el 52% de la población de la ciudad. La mayoría de estos edificios se encuentran en barrios antiguos, donde el acceso sigue siendo un problema estructural. Dado el envejecimiento de la población, garantizar la accesibilidad universal es una prioridad para mejorar la calidad de vida de miles de ciudadanos. La accesibilidad universal como prioridad Desde el Colegio de Administradores de Fincas, se insiste en la necesidad de eliminar barreras arquitectónicas y fomentar una mayor accesibilidad en las comunidades de propietarios. Los administradores de fincas no solo se encargan del mantenimiento de los elementos comunes, sino que también acompañan a las comunidades en la planificación económica a largo plazo, asegurando que se realicen las reformas necesarias para adaptar los edificios a las necesidades de movilidad de sus residentes. Es fundamental que las reformas de accesibilidad cuenten con una financiación clara y suficiente, evitando que recaiga exclusivamente sobre los propietarios y garantizando que estas mejoras sean una realidad para quienes más las necesitan.

La IA en el sector legal: ¿una herramienta útil o un riesgo para la protección de datos de los clientes? El 68% de los bufetes de abogados utiliza IA semanalmente para la investigación jurídica y la redacción de contratos. La Ley de Inteligencia Artificial de la UE impone restricciones a su uso en sectores de alto riesgo, como el judicial. La IA conversacional plantea riesgos para la confidencialidad y el cumplimiento del RGPD en el tratamiento de datos de clientes. Se recomienda el uso de tecnologías alternativas que garanticen seguridad y cumplimiento normativo. Crece el uso de IA en despachos de abogados La inteligencia artificial está ganando protagonismo en el sector legal, facilitando tareas como la redacción de documentos y la investigación jurídica. Según el informe Future Ready Lawyer 2024 de Wolters Kluwer, el 68% de los bufetes de abogados ya emplea IA generativa de forma habitual. Sin embargo, el problema surge cuando estas herramientas no se limitan a un uso complementario, sino que empiezan a influenciar la toma de decisiones jurídicas, lo que podría afectar la imparcialidad y seguridad en el ejercicio de la abogacía. Riesgos legales y normativos del uso de IA El uso de IA conversacional en entornos jurídicos plantea riesgos para la confidencialidad de los datos y el cumplimiento normativo. La Ley de Inteligencia Artificial de la Unión Europea, recientemente aprobada, establece restricciones para su aplicación en sectores de alto riesgo, como el judicial, exigiendo que cualquier herramienta utilizada cumpla con principios de transparencia, seguridad y no discriminación. Además, el Reglamento General de Protección de Datos (RGPD) impone normas estrictas sobre el almacenamiento y tratamiento de datos personales. Introducir información sensible de los clientes en herramientas como ChatGPT u otras IA de propósito general podría suponer una violación de estas normativas si no se garantiza un control adecuado sobre los datos. Los despachos de abogados que utilicen IA para gestión documental, análisis de contratos o generación de textos legales deben asegurarse de que estas herramientas cumplen con la normativa vigente y no comprometen la confidencialidad de la información de los clientes. Alternativas para garantizar la protección de datos Ante los riesgos asociados a la IA generativa, algunos expertos recomiendan el uso de tecnologías alternativas que garanticen la seguridad y el cumplimiento normativo. En lugar de depender de herramientas de IA conversacional, los despachos pueden optar por soluciones especializadas diseñadas para operar en entornos controlados y auditables, asegurando el respeto a la privacidad y el cumplimiento de la normativa. Estas plataformas permiten a los bufetes optimizar la gestión documental sin poner en riesgo la confidencialidad de los datos, ofreciendo una alternativa más segura para la transformación digital del sector legal. IA y cumplimiento normativo en el sector legal El avance de la IA en el ámbito jurídico es inevitable, pero su implementación debe hacerse con precaución y garantías legales. Asegurar que su uso se alinea con la Ley de IA de la UE y el RGPD es clave para evitar vulneraciones de derechos y riesgos legales. Los despachos de abogados deben adoptar un enfoque responsable en la incorporación de estas tecnologías, priorizando la protección de datos y la imparcialidad en la toma de decisiones legales.

Más de la mitad de las empresas incumple la protección de datos Más de la mitad de las empresas incumple la protección de datos Un estudio revela que más del 50% de las empresas no cumple con la normativa de protección de datos. La falta de medios y conocimientos es la principal causa de incumplimiento, especialmente en pequeñas empresas. Los departamentos de marketing y comercial son los más propensos a cometer infracciones, como el envío de spam sin consentimiento. Las inspecciones y controles en materia de protección de datos afectan a todas las empresas, aunque algunas son más sensibles que otras. Falta de cumplimiento en la protección de datos Más de la mitad de las empresas no cumplen con la Ley de Protección de Datos, según los resultados de un estudio reciente. La situación es especialmente preocupante en el caso de las pymes, donde la falta de recursos y conocimientos dificulta la correcta aplicación de la normativa. El avance de tecnologías como la inteligencia artificial supone un reto adicional, ya que introduce nuevas formas de tratamiento de datos personales que requieren un mayor control y supervisión para garantizar su legalidad. La importancia de la formación en protección de datos Para evitar infracciones, es fundamental que todas las áreas de una empresa cuenten con la formación adecuada en protección de datos. Sin embargo, uno de los errores más comunes se da en los departamentos de marketing y comercial, donde es frecuente que se realicen campañas publicitarias sin respetar la normativa. Entre las prácticas más habituales que pueden generar sanciones se encuentran: Envío de correos electrónicos o mensajes publicitarios sin el consentimiento del usuario. Uso indebido de datos personales en estrategias comerciales. Falta de transparencia en el tratamiento de la información de clientes y usuarios. Controles y sanciones en las empresas El cumplimiento de la normativa de protección de datos es obligatorio para todas las empresas, sin importar su tamaño o sector. Sin embargo, algunas organizaciones están más expuestas a inspecciones y sanciones debido a la sensibilidad de los datos que manejan. Adoptar un enfoque preventivo y contar con medidas adecuadas de seguridad y cumplimiento normativo es clave para evitar sanciones económicas y proteger la reputación empresarial en un entorno donde la privacidad de los datos es cada vez más relevante.

El 77% de los casos investigados por protección de datos terminan en sanción La AEPD impuso sanciones por 27 millones de euros en 2024, con pequeñas empresas como principales afectadas. Más del 70% de las multas recayeron sobre pymes, reflejando la necesidad de mayor cumplimiento normativo. El 77% de los procedimientos abiertos por la AEPD terminaron con una multa. Contar con asesoramiento especializado es clave para evitar sanciones y proteger la reputación empresarial. Aumento de sanciones en protección de datos La Agencia Española de Protección de Datos (AEPD) impuso sanciones por un total de 27 millones de euros en 2024, una cifra que se mantiene en niveles similares a los del año anterior. Entre las sanciones más destacadas, una comercializadora de electricidad y gas recibió una multa de 5 millones de euros por incumplimientos en materia de protección de datos. Sin embargo, las pequeñas empresas han sido las más perjudicadas, acumulando más del 70% de las sanciones impuestas por la AEPD. Además, el 77% de los casos investigados por la agencia terminan en sanción, lo que subraya la importancia de que las empresas refuercen sus políticas de cumplimiento para evitar multas económicas que puedan comprometer su viabilidad. La importancia de contar con expertos en protección de datos En un entorno digital cada vez más exigente, las empresas manejan grandes volúmenes de datos personales y confidenciales. Un mal uso de esta información no solo puede derivar en sanciones económicas, sino también en daños a la reputación y pérdida de confianza de clientes y empleados. Los expertos en protección de datos advierten que el cumplimiento normativo no se limita a evitar sanciones, sino que también es clave para fortalecer la imagen corporativa y la confianza del público. Adoptar buenas prácticas en privacidad y seguridad permite a las empresas operar con mayor tranquilidad y minimizar riesgos legales. Además, las normativas en materia de protección de datos están en constante evolución, lo que supone un desafío para muchas organizaciones. Por ello, contar con asesoramiento especializado ayuda a cumplir con la legislación vigente y a implementar soluciones adaptadas a las necesidades de cada negocio. Un entorno regulador cada vez más exigente Muchos negocios desconocen los riesgos reales a los que se enfrentan hasta que reciben una denuncia o son objeto de una investigación por parte de la AEPD. Cuando la agencia inicia un procedimiento sancionador, en la mayoría de los casos se confirma la infracción, ya sea por desconocimiento, falta de tiempo o descuido. Sin embargo, esto no exime a las empresas de asumir las consecuencias. El cumplimiento normativo será un reto aún mayor en 2025 con la entrada en vigor de nuevas regulaciones, entre ellas: Reforma Laboral y su impacto en la gestión de datos laborales. Ley de Registro de Viajeros, con nuevas exigencias para el sector turístico. Ley de Inteligencia Artificial, que introduce regulaciones sobre el uso de datos en tecnologías emergentes. Registro de la jornada laboral y derecho a la desconexión digital. Protección de datos como ventaja competitiva El cumplimiento normativo en protección de datos no solo es una obligación legal, sino también una ventaja competitiva. Las empresas que adopten un enfoque preventivo estarán mejor preparadas para los desafíos regulatorios y minimizarán el riesgo de sanciones. Además, contar con una estrategia sólida de seguridad y privacidad refuerza la confianza de los clientes y mejora la reputación empresarial. En un contexto donde la protección de datos es una prioridad, aquellas compañías que no se adapten corren el riesgo de quedarse atrás frente a sus competidores.

La protección de datos desde el diseño es una exigencia de la Ley de Contratos del Sector Público. Su cumplimiento evita costes de rediseño y garantiza la privacidad desde la concepción de los proyectos. La responsabilidad proactiva del RGPD obliga a establecer medidas técnicas y organizativas desde el inicio. Las Administraciones Públicas deben liderar con el ejemplo, promoviendo la innovación tecnológica segura. La protección de datos desde el diseño como exigencia legal La protección de datos desde el diseño es un principio clave que deben cumplir las Administraciones Públicas en sus contratos, según el artículo 211.1.f) de la Ley de Contratos del Sector Público (LCSP). Este cumplimiento no se limita a incluir cláusulas genéricas sobre el Reglamento General de Protección de Datos (RGPD), sino que requiere una integración efectiva desde la fase de concepción de cualquier proyecto que implique el tratamiento de datos personales. Este principio, establecido en el artículo 25 del RGPD, exige que las medidas de protección sean proactivas y no solo reactivas, garantizando que la privacidad sea un factor esencial en el desarrollo de soluciones tecnológicas o administrativas que manejen información personal. La evaluación de impacto y su relevancia en los contratos públicos Para implementar la protección de datos desde el diseño, se debe realizar una evaluación de impacto normativo. Según el Tribunal de Justicia de la Unión Europea (TJUE), cualquier operación de tratamiento de datos prevista por la legislación implica una limitación de derechos fundamentales, por lo que debe analizarse en detalle. De este análisis surgen medidas de protección desde el diseño y por defecto que minimicen los riesgos. Dichas medidas deben incluirse en los pliegos de contratación como prescripciones técnicas, garantizando su cumplimiento en cualquier contrato público que implique el tratamiento de datos personales. La protección de datos en licitaciones públicas El considerando 78 del RGPD subraya que los principios de protección de datos desde el diseño y por defecto deben aplicarse en los contratos públicos. El Comité Europeo de Protección de Datos (EDPB) refuerza esta idea en sus Directrices 4/2019, donde insta a las Administraciones Públicas a adoptar estos principios y liderar con el ejemplo en la gestión de datos personales. Más allá de una obligación legal recogida en los artículos 122.2 y 211.1.f) de la LCSP, la protección de datos desde el diseño es un elemento clave dentro del principio de responsabilidad proactiva del RGPD. Esto implica que las Administraciones Públicas deben anticiparse a los riesgos, minimizando el impacto sobre los derechos de los ciudadanos y garantizando que la protección de datos sea una parte integral de su estructura organizativa. Responsabilidad del tratamiento y medidas obligatorias El responsable del tratamiento debe asegurarse de que todas las operaciones de tratamiento de datos cumplan con las medidas necesarias para mitigar riesgos. Según el artículo 28.1 del RGPD, la selección de un encargado del tratamiento debe basarse en la capacidad de este para aplicar medidas técnicas y organizativas adecuadas. Sin embargo, en la práctica, los pliegos de licitación suelen incluir únicamente referencias generales a las obligaciones del artículo 28.3, sin especificar medidas concretas. Esto contradice lo establecido en el artículo 211 de la LCSP, que exige que las obligaciones esenciales se describan de manera precisa, clara e inequívoca. La protección de datos como proceso continuo La protección de datos desde el diseño no es un acto puntual, sino un proceso continuo de gestión del riesgo. El artículo 25 del RGPD establece que el responsable del tratamiento debe aplicar medidas en todas las fases del ciclo de vida de los datos personales, considerando factores como: Estado de la técnica y viabilidad de implementación. Coste de aplicación de las medidas de seguridad. Naturaleza, contexto y fines del tratamiento. Riesgos potenciales para los derechos y libertades de los ciudadanos. Además, el RGPD enfatiza que las medidas deben garantizar que solo se traten los datos estrictamente necesarios, limitando su recopilación, tratamiento y conservación. La Administración Pública como impulsora de innovación en privacidad Las Administraciones Públicas no solo deben cumplir con la normativa, sino que también pueden impulsar la innovación tecnológica asegurando la protección de datos desde el diseño y por defecto. Un enfoque proactivo en privacidad facilita la creación de soluciones tecnológicas seguras y promueve estándares elevados en la protección de la información. Al establecer requisitos claros en las licitaciones públicas y fomentar proyectos piloto con medidas avanzadas de protección de datos, las Administraciones pueden contribuir al desarrollo de un ecosistema tecnológico respetuoso con la privacidad. Un marco de contratación más exigente y responsable Las Administraciones Públicas, como principales responsables del tratamiento de datos personales en el sector público, deben garantizar que los contratos de encargo de tratamiento reflejen de manera detallada los requisitos de protección de datos desde el diseño. Esto implica: Evitar referencias generales al RGPD en los pliegos de contratación. Concretar obligaciones esenciales de protección de datos en las licitaciones. Exigir a los encargados del tratamiento medidas específicas y verificables. Garantizar que la protección de datos se integre en todas las fases del tratamiento. Si las decisiones sobre requisitos de diseño quedan exclusivamente en manos del encargado del tratamiento, el responsable del tratamiento no podrá demostrar cumplimiento, lo que podría comprometer los derechos y libertades de los ciudadanos. Por ello, la protección de datos desde el diseño en licitaciones públicas no solo debe entenderse como una exigencia legal, sino como un compromiso con la transparencia, la seguridad y la innovación tecnológica responsable.

Normativas como ISO 27001, NIS2 y ENS imponen requisitos más estrictos en ciberseguridad. Las sanciones pueden alcanzar hasta 10 millones de euros o el 2% del volumen de negocio anual. Las startups enfrentan dificultades por los costes y la complejidad del cumplimiento normativo. Cumplir con estas regulaciones puede convertirse en una ventaja competitiva en el mercado. El auge de las regulaciones y su impacto El incremento de los ciberataques ha llevado a un endurecimiento de las regulaciones en ciberseguridad, impactando especialmente a pymes y startups con recursos limitados. Normativas como la ISO 27001, la Directiva NIS2 y el Esquema Nacional de Seguridad (ENS) exigen medidas avanzadas de protección, notificación de incidentes y cumplimiento de requisitos específicos, lo que implica un aumento en costes y carga operativa para las empresas. El incumplimiento de estas regulaciones puede acarrear multas millonarias, como en el caso de la NIS2, que establece sanciones de hasta 10 millones de euros o el 2% del volumen de negocio anual. Esta presión obliga a las compañías a reforzar su seguridad para evitar ataques cada vez más sofisticados y cumplir con un marco normativo en constante evolución. El desafío para startups y emprendedores Las startups y nuevos emprendedores enfrentan dificultades particulares debido a la falta de recursos y conocimientos técnicos para cumplir con estas regulaciones. La adaptación a normativas internacionales puede frenar su expansión, ya que implica altos costes y desafíos legales en distintas jurisdicciones. Además, las certificaciones como ISO 27001 y la Directiva NIS2 son cada vez más exigidas por grandes empresas para colaborar con startups y proveedores. En España, el ENS es obligatorio para quienes trabajan con la Administración Pública, lo que añade un reto adicional para muchos negocios emergentes. Convertir el cumplimiento en una ventaja competitiva A pesar de los desafíos, el cumplimiento normativo puede transformarse en una ventaja competitiva. Según Zerod, contar con certificaciones reconocidas a nivel internacional no solo fortalece la seguridad y previene brechas de datos, sino que también mejora la reputación de la empresa y facilita el acceso a clientes y mercados más exigentes. Adoptar un enfoque proactivo en la ciberseguridad y contar con consultoría especializada puede permitir a las empresas cumplir con la normativa de manera ágil y efectiva. De esta forma, las organizaciones no solo reducen riesgos, sino que pueden utilizar su cumplimiento como un factor diferenciador en un entorno cada vez más regulado. Un entorno empresarial con mayores exigencias Las nuevas normativas de ciberseguridad imponen mayores exigencias a las empresas, especialmente a las startups, que pueden encontrar barreras en costes y complejidad para cumplirlas. Sin embargo, aquellas que aborden la seguridad como una estrategia empresarial no solo reducirán riesgos, sino que también podrán utilizar el cumplimiento normativo como un valor añadido en su crecimiento y expansión.

Las pymes tienen hasta el 10 de abril para implementar un plan de igualdad LGTBI Las pymes tienen hasta el 10 de abril para implementar un plan de igualdad LGTBI Las pymes tienen hasta el 10 de abril para implementar un plan de igualdad LGTBI Más de 25.000 empresas con más de 50 empleados deben adoptar medidas antes del 10 de abril. El incumplimiento de la normativa puede conllevar sanciones de hasta 7.500 euros. Las medidas incluyen protocolos contra el acoso y formación en igualdad y no discriminación. Las empresas sin convenio colectivo disponen hasta el 10 de julio para adaptarse. Una obligación inminente para las empresas Las pequeñas y medianas empresas que aún no hayan implementado las medidas exigidas por la nueva Ley LGTBI tienen hasta el 10 de abril para hacerlo. La normativa, regulada por el Real Decreto 1026/2024, establece la obligatoriedad de aplicar planes de igualdad para garantizar un entorno laboral libre de discriminación. El incumplimiento de estas disposiciones puede suponer sanciones económicas de hasta 7.500 euros. El abogado laboralista Luis San José ha advertido que la implementación de estos protocolos representa un coste considerable para las empresas y requiere la gestión de múltiples trámites. ¿Qué empresas están obligadas a cumplir con la normativa? La normativa afecta a todas las empresas con más de 50 trabajadores, lo que representa más de 25.000 negocios en España. Además, también se aplicará a los trabajadores cedidos por empresas de trabajo temporal (ETT) mientras dure su prestación de servicios. El protocolo contra el acoso no solo se aplicará a los empleados de la empresa, sino también a candidatos en procesos de selección, proveedores, clientes y cualquier persona con relación profesional con la compañía. Plazos para la implementación del plan LGTBI El decreto establece que las empresas debían haber constituido la comisión negociadora antes del 10 de enero. Tras este primer paso, se les otorgó un plazo adicional de tres meses para negociar el plan, finalizando el 10 de abril. Si para esa fecha no se ha alcanzado un acuerdo, se aplicarán las medidas mínimas establecidas en la norma. Empresas sin convenio colectivo tienen más tiempo Las compañías que no cuenten con un convenio colectivo dispondrán de un plazo mayor para adaptarse. En estos casos, la negociación con la Representación Legal de los Trabajadores podrá extenderse hasta seis meses, lo que significa que el límite para cumplir con la normativa será el 10 de julio. Medidas que deben incluir los planes de igualdad Las empresas deberán garantizar, como mínimo, la existencia de un protocolo contra el acoso y la violencia con mecanismos de prevención y actuación. Entre los puntos clave a incluir se encuentran: Igualdad de trato: cláusulas que prohíban la discriminación por orientación sexual, identidad de género o características sexuales. Acceso al empleo: criterios de selección transparentes y formación específica en igualdad. Promoción y carrera profesional: criterios objetivos para garantizar la igualdad de oportunidades. Formación y sensibilización: módulos sobre derechos LGTBI dirigidos a toda la plantilla. Inclusión y diversidad: medidas para fomentar la heterogeneidad en el entorno laboral. Permisos y beneficios: garantía de equidad en permisos médicos y trámites legales, con especial atención a las personas trans. Sanciones disciplinarias: infracciones por conductas discriminatorias integradas en los convenios colectivos. Requisitos del protocolo contra el acoso Además, el protocolo deberá incluir disposiciones específicas sobre el tratamiento de casos de acoso y violencia en el ámbito laboral: Agilidad y diligencia: la investigación debe realizarse sin demoras. Confidencialidad: todas las partes implicadas deben respetar la privacidad. Protección a la víctima: medidas de seguridad física y psicológica para evitar represalias. Audiencia imparcial: trato justo a todas las partes involucradas. Restitución de derechos: en caso de que el acoso haya afectado las condiciones laborales de la víctima. Prohibición de represalias: protección para denunciantes y testigos. Medidas cautelares: separación temporal entre la víctima y la persona denunciada. La comisión designada deberá emitir un informe vinculante en el plazo establecido, determinando si se inicia un expediente sancionador o se archiva la denuncia. Las empresas deben asegurarse de cumplir con estas obligaciones dentro del plazo estipulado para evitar sanciones y garantizar un entorno de trabajo inclusivo y respetuoso.