Consultoría de cumplimiento normativo para empresas

Las infracciones graves pueden alcanzar hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor. Las infracciones leves pueden llegar a 10 millones o el 2% de la facturación.

Sí. El RGPD se aplica a cualquier empresa u organización que trate datos personales, independientemente de su tamaño. Un autónomo con una lista de clientes ya está tratando datos personales y debe cumplir la normativa.

El DPO es obligatorio para administraciones públicas, empresas que realizan tratamientos a gran escala de datos sensibles o monitorización sistemática a gran escala. Para el resto es recomendable pero no obligatorio. Te asesoro sobre si tu empresa lo necesita.

La documentación debe revisarse al menos una vez al año y siempre que haya cambios relevantes en la empresa: nuevos tratamientos, cambios de proveedores, nuevos productos o actualizaciones normativas.

La Ley 2/2023 establece sanciones de hasta 300.000 euros para empresas del sector privado y hasta 1 millón de euros para el sector público. Además, el incumplimiento puede agravar la responsabilidad penal de la empresa.

Sí. La ley exige que el canal permita realizar denuncias anónimas. La empresa no puede forzar al denunciante a identificarse. El sistema debe garantizar la confidencialidad en todo caso.

No. La ley exige que el canal garantice la confidencialidad y seguridad de las comunicaciones. Un simple correo electrónico no cumple los requisitos técnicos exigidos. Se necesita una plataforma específica que garantice el anonimato y la trazabilidad.

Debe ser una persona imparcial e independiente. Puede ser un empleado designado o un tercero externo. Ofrezco el servicio de gestión externa del canal para garantizar la máxima independencia.

Sí. Las empresas pueden recibir sanciones gravísimas: multas de hasta el doble del beneficio obtenido, suspensión de actividades, clausura de establecimientos, prohibición de contratar con la Administración o disolución. Y los directivos pueden ser imputados personalmente.

Sí. El artículo 31 bis del Código Penal establece que la empresa queda exenta si tenía implantado antes de la comisión del delito un modelo de organización adecuado. El programa debe estar correctamente documentado e implantado, no basta con tenerlo en un cajón.

El Código Penal recoge más de 30 delitos imputables a personas jurídicas: fraude fiscal, corrupción, blanqueo de capitales, estafa, delitos contra el medio ambiente, tráfico de influencias, delitos informáticos, falsedad documental y muchos más.

Al menos una vez al año y siempre que haya cambios significativos en la empresa, en su actividad o en la normativa aplicable. La supervisión continua es esencial para que el programa sea efectivo.

La Directiva NIS2 debía transponerse antes del 17 de octubre de 2024. España está en proceso de transposición. Sin embargo, las empresas afectadas deben prepararse ya porque la normativa será exigible una vez aprobada la ley nacional.

Depende de tu sector y tamaño. NIS2 distingue entre entidades esenciales (energía, transporte, banca, sanidad) e importantes (servicios postales, residuos, química, alimentación, fabricación). Si perteneces a alguno de estos sectores y superas los 50 empleados o 10M€ de facturación, probablemente estás afectado. Consúltame gratuitamente.

Las entidades esenciales pueden ser sancionadas hasta 10 millones de euros o el 2% de su facturación global anual. Las entidades importantes hasta 7 millones o el 1,4%. Además, los directivos pueden ser responsables personalmente.

NIS2 establece notificación en tres fases: alerta temprana en 24 horas, notificación del incidente en 72 horas e informe final en un mes. Los plazos son muy estrictos, por lo que tener un protocolo implantado de antemano es fundamental.

El ENS distingue tres niveles: básico, medio y alto. El nivel se determina valorando las consecuencias sobre la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información. Cuanto mayor sea el impacto potencial, más exigentes las medidas requeridas.

Depende del tipo de contrato y los sistemas de información implicados. En muchos contratos y licitaciones la certificación ENS es requisito obligatorio para los proveedores de servicios TIC. Cada vez más pliegos la incluyen como criterio de valoración.

Para el nivel básico entre 3 y 6 meses. Para el nivel medio entre 6 y 12 meses. Para el nivel alto puede superar el año. El proceso incluye implementación de medidas, auditoría interna previa y auditoría de certificación por entidad acreditada.

El incumplimiento se tipifica como infracción grave en la LISOS, con multas de entre 626 y 6.250 euros. Además puede suponer la pérdida de bonificaciones en la Seguridad Social y la imposibilidad de contratar con la Administración Pública.

Si tu empresa supera los 50 trabajadores, debías tener el Plan de Igualdad desde 2022. Si aún no lo tienes, estás en situación de incumplimiento y puedes ser sancionado. La Inspección de Trabajo está realizando comprobaciones activas.

El Protocolo LGTBI garantiza la igualdad real de las personas LGTBI en el ámbito laboral e incluye un protocolo de actuación ante situaciones de acoso o discriminación. Es obligatorio desde el 2 de octubre de 2024 para empresas con más de 50 trabajadores, conforme a la Ley 4/2023.

El artículo 2 de la Ley 10/2010 enumera los sujetos obligados: entidades de crédito, aseguradoras, gestoras de fondos, notarios, registradores, abogados y procuradores en determinadas actividades, auditores, contables, asesores fiscales, inmobiliarias, casinos y comerciantes de bienes de valor elevado. Consúltame si tienes dudas.

El SEPBLAC es la Unidad de Inteligencia Financiera española. Los sujetos obligados deben comunicar cualquier operación que indique indicios de blanqueo o financiación del terrorismo, así como operaciones por encima de determinados umbrales.

La formación debe ser continua y periódica. El SEPBLAC recomienda formación anual como mínimo, con formación específica para el personal que se incorpore. El programa de formación debe documentarse para acreditarlo ante una inspección.

El RGPD exige garantizar que quienes accedan a datos personales solo los traten siguiendo las instrucciones establecidas. La AEPD considera la falta de formación como factor agravante en las sanciones. Además, normativas como la de blanqueo de capitales sí exigen formación periódica documentada.

Sí. Ambas modalidades son válidas. La formación online facilita la documentación del seguimiento y la asistencia. Ofrezco formación presencial en la Comunidad Valenciana y online para cualquier empresa de España.

Sí. Todas las acciones formativas incluyen certificado de asistencia individual para cada participante. Fundamental para acreditar el cumplimiento de la obligación formativa ante una inspección o auditoría.