Ir al contenido
W K
GoBD: n/a Conforme §203 StGB

Agente Cumplimiento Contractual

LCSP, LO 5/2010, prevención del blanqueo, RGPD, canal de denuncias de la Ley 2/2023 y cruce con Verifactu en un solo pipeline, Cert-Ready by Design para la AEAT, la AEPD y las Big-4.

Cumplimiento contractual deterministas: LCSP 9/2017, LO 5/2010 responsabilidad penal, Ley 10/2010 PBC/FT, LOPDGDD y Ley 2/2023 denunciantes - Cert-Ready para AEPD, SEPBLAC y PIBR.

Analizar su proceso

Una selección de más de 5.000 proyectos en 25 años de desarrollo de software

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

CNMC, LO 5/2010, AEPD y SEPBLAC: cuatro frentes que exigen Cert-Ready by Design

El Agente monitoriza los contratos de forma 100% determinista y sin IA generativa en las decisiones legales: aplica la LCSP 9/2017, la LO 5/2010 de responsabilidad penal de las personas jurídicas, la Ley 10/2010 de PBC/FT, el RGPD art. 28 y 35, el canal de denuncias de la Ley 2/2023 y el cruce con Verifactu; hace el screening frente a las sanciones de la UE, las cláusulas abusivas de la CNMC y los titulares reales del SEPBLAC; verifica el titular real (UBO) en el Registro Mercantil; y documenta el audit trail para la AEAT, la AEPD, la ITSS y el Substantive Testing de las Big-4.

Resultado: El riesgo de sanción de la CNMC de hasta el 10% de la facturación se reduce con el screening automático de cláusulas, el cruce con Verifactu elimina el riesgo de las sanciones del 50-150% de la LGT art. 191-203, las actualizaciones de la EIPD bajo el RGPD quedan cubiertas, igual que el canal de denuncias de la Ley 2/2023 y el compliance penal ISO 19601 de la LO 5/2010.

73% Motor de reglas
7% Agente IA
20% Humano

14 puntos decisivos deterministas, con tres escalados humanos (anti-cártel, riesgo de los administradores por la LSC y Compliance Officer), crean un audit trail para la AEAT, la CNMC, la AEPD, el SEPBLAC y las Big-4 (PCAOB AS 2401):

Cuatro frentes sancionadores a la vez: la CNMC (hasta el 10% de la facturación), la LO 5/2010 de compliance penal, la AEPD (4% de la facturación) y el SEPBLAC (10 millones EUR)

El compliance contractual en España es un sistema regulatorio complejo que combina seis áreas principales: la LCSP 9/2017 para la contratación del sector público, la Ley 10/2010 de PBC/FT para la prevención del blanqueo de capitales con la verificación del titular real en el Registro Mercantil, la Ley 15/2007 con sanciones de la CNMC de hasta el 10% de la facturación, el RGPD art. 28 y 35 para las cláusulas de encargo de tratamiento con EIPD, la Ley 2/2023 sobre canales de denuncia (transposición de la Directiva UE 2019/1937) y el cruce con Verifactu, obligatorio por fases entre 2025 y 2026 para el B2B. Cada contrato de un grupo español debe pasar el screening determinista por estas seis áreas y dejar documentado el audit trail para la AEAT, la CNMC, la AEPD y el Substantive Testing de las Big-4.

CNMC, LO 5/2010, AEPD y SEPBLAC: cuatro frentes sancionadores que exigen Cert-Ready by Design

La CNMC es uno de los reguladores de competencia más activos de Europa. Las sanciones por infracciones del art. 1 (acuerdos restrictivos), el art. 2 (abuso de posición dominante) y el art. 8 (concentraciones no notificadas) pueden alcanzar el 10% de la facturación del año económico anterior. El registro de cláusulas abusivas de la CNMC contiene más de 5.000 cláusulas modelo no permitidas; el screening automático de cláusulas en los nuevos contratos modelo B2C es estándar para las empresas medianas y grandes. La auditoría fiscal de la AEAT de 2024 identificó la documentación de compliance de los contratos como uno de sus tres hallazgos principales, con irregularidades típicas: falta de documentación de la verificación del titular real, falta de EIPD en los contratos con tratamiento de datos personales y falta de cruce de los contratos con las facturas Verifactu.

La LO 5/2010 establece la responsabilidad penal de las personas jurídicas: los administradores responden penalmente por los delitos cometidos por los empleados, y un programa de compliance conforme a la ISO 19601 (UNE 19601) puede atenuar o excluir esa responsabilidad (art. 31 bis CP). El RGPD art. 83 impone sanciones de hasta el 4% de la facturación o 20 millones EUR por incumplir las cláusulas de encargo del art. 28 o por falta de EIPD del art. 35. La Ley 2/2023 sobre canales de denuncia sanciona con hasta 1 millón EUR las represalias contra el denunciante, además de la responsabilidad penal del art. 162 CP. La Ley 10/2010 de PBC/FT conlleva una sanción del SEPBLAC de hasta 10 millones EUR por no identificar al titular real. Estos cuatro frentes implican que una empresa española mediana (200-500 empleados, 50-200 millones EUR de facturación) tiene una exposición sancionadora potencial de 50-100 millones EUR anuales sin Cert-Ready by Design.

14 puntos decisivos deterministas con tres escalados humanos

El Agente procesa los contratos en un pipeline de 14 puntos decisivos estructurales: once clasificaciones reguladas, una extracción del tipo de contrato asistida por LLM y tres escalados humanos (el screening anti-cártel, el riesgo de los administradores por la LSC y la aceptación del riesgo por el Compliance Officer). La clasificación del tipo de contrato la hace el LLM extrayendo del texto la parte contratante, el valor, el sector y las relaciones de propiedad, y categorizándolo como LCSP, relevante para prevención del blanqueo, partes vinculadas o B2B estándar. Las 11 clasificaciones restantes siguen la Ley 10/2010 art. 41-42 (sanciones de la UE y la OFAC), la Ley 10/2010 art. 4 (titular real en el Registro Mercantil), el RGPD art. 28 y 35, la LCSP art. 1-7, 116-119 y 145-146, la Ley 3/2004 (plazos de pago), el cruce con Verifactu y la LSC art. 160.

Un ejemplo concreto: una empresa española mediana (350 empleados, 80 millones EUR de facturación) firma un contrato con un proveedor de servicios IT por 1,2 millones EUR anuales. El Agente lo clasifica como B2B estándar, relevante para prevención del blanqueo (por encima de 15.000 EUR) y sin partes vinculadas. El screening del titular real en el Registro Mercantil es correcto, el NIF del proveedor está activo y no aparece en listas de sanciones. Las cláusulas de encargo del RGPD art. 28 están verificadas y la EIPD ejecutada. El cruce con Verifactu queda configurado en frecuencia mensual. El registro de cláusulas abusivas de la CNMC está limpio. El plazo de pago es de 30 días (cumple la Ley 3/2004 para PYME). El audit trail para la AEAT y las Big-4 se genera automáticamente. Como el valor de 1,2 millones EUR queda por debajo del 25% del capital social, no requiere Junta General. En el anti-cártel no hay cláusulas restrictivas, así que lo acepta el Compliance Officer.

El cruce de los contratos con Verifactu, obligatorio por fases entre 2025 y 2026

Verifactu (RD 1007/2023) entró en vigor el 1 de julio de 2025 para las grandes empresas y se extiende por fases a todas las empresas hasta el 1 de enero de 2026. Las facturas emitidas a partir de un contrato deben tener su número Verifactu, el esquema certificado por la AEAT y la referencia cruzada al contrato. El Agente valida cada mes que cada contrato genere las facturas Verifactu que le correspondan según el calendario de pagos, que los importes coincidan con el contrato (con una tolerancia del 5%), que los NIF del proveedor y del destinatario coincidan con la base de titulares reales del Registro Mercantil, y la clasificación de IVA según el art. 84.uno.2 de la LIVA (inversión del sujeto pasivo). Las discrepancias activan automáticamente una alerta de Compliance y el audit trail para la AEAT. Este cruce protege frente a las sanciones de la LGT art. 191-203 (50-150% del importe omitido) por no incluir facturas y documenta un audit trail completo para los inspectores de la AEAT.

Integración con el ecosistema español: Sage, A3, Holded, SAP Ariba, NAVEX y las API de la AEAT y la CNMC

El Agente se integra vía API con los sistemas CLM españoles: Sage 200 y Sage Despachos Connected (líder en PYME, con módulo de compliance de contratos), Sage X3 España (mediana empresa), A3 Software (a3con, a3asesor y a3ERP, para despachos profesionales), Holded (cloud para autónomos y PYME), Cegid Quadra Spain, SAP S/4HANA Spain Compliance con SAP Ariba (multinacionales IBEX-35), Microsoft Dynamics 365 Business Central Spain Compliance y Oracle Fusion Cloud ERP Spain. Plataformas de canal de denuncias: NAVEX Global (líder), Telpark (España), Sygnanet y Aequo Compliance. Se integra con las bases: la API del Registro Mercantil de titularidad real (DGSJyFP), la API del SEPBLAC (sanciones), el registro de cláusulas abusivas de la CNMC, la API de Verifactu con certificado FNMT-RCM, el VIES de la UE (operaciones intracomunitarias) y las sanciones de la UE (CFSP) y la OFAC. El Substantive Testing de las Big-4 se apoya en la exportación directa a Deloitte ASM, PwC Halo, EY Helix y KPMG Clara con los metadatos del audit trail conforme a las NIA-ES y el PCAOB AS 1215.

Tabla de microdecisiones

¿Quién decide en este agente?

15 pasos de decisión, separados por decisor

73%(11/15)
Motor de reglas
determinístico
7%(1/15)
Agente IA
basado en modelo con confianza
20%(3/15)
Humano
asignación explícita
Humano
Motor de reglas
Agente IA
Cada fila es una decisión. Expanda para ver el registro de decisión y si se puede impugnar.
Clasificacion tipo de contrato Es contrato LCSP (sector publico), AML-relevante (>15k EUR), partes vinculadas (LSC art. 231), o B2B estandar? Agente IA Auditor

El LLM clasifica el tipo de contrato a partir de la parte contratante, el valor, el sector y las relaciones de propiedad.

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Auditor

Screening sanciones UE + CNMC + SEPBLAC Esta la parte del contrato en listas de sanciones EU (Reglamento 269/2014, 833/2014, 765/2006) + CNMC clausulas abusivas + SEPBLAC? Motor de reglas Auditor

Cruce con las bases de la Política Exterior y de Seguridad Común de la UE, la OFAC de EE. UU., los titulares reales del SEPBLAC y el registro de cláusulas abusivas de la CNMC.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Beneficial Owner + titular real Ley 10/2010 Esta el beneficiario real (UBO) identificado en Registro Mercantil titularidad real para transacciones >15k EUR? Motor de reglas Auditor

La Ley 10/2010 de PBC/FT art. 4 exige identificar al titular real (UBO); el SEPBLAC impone sanciones de hasta 10 millones EUR por incumplimiento.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Clausulas RGPD y EIPD Contiene contrato clausulas correctas de encargo de tratamiento RGPD art. 28 + EIPD requerida art. 35? Motor de reglas Auditor

El contrato de encargo es obligatorio cuando hay tratamiento de datos personales; la EIPD es necesaria en la monitorización sistemática o con categorías especiales del art. 9.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Whistleblower compliance Ley 2/2023 Tiene organizacion >50 empleados canal de denuncias + procedimientos protectivos segun Ley 2/2023? Motor de reglas Empleado

Transposición de la Directiva UE 2019/1937: exige canal interno y protección del denunciante, con sanciones por represalias de hasta 1 millón EUR.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Empleado

Verificacion contratacion publica LCSP 9/2017 Contrato publico cumple LCSP art. 1-7 (principios) + art. 116-119 (procedimientos abiertos) + art. 145-146 (criterios adjudicacion)? Motor de reglas Auditor

La LCSP exige un procedimiento publicado en la PLACSP, criterios objetivos y el expediente documentado, bajo el control de la OIRESCON y el Tribunal de Cuentas.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Anti-cartel screening CNMC Contiene contrato clausulas potencialmente restrictivas competencia (Ley 15/2007 art. 1-2)? Humano Auditor

Evaluar las cláusulas de exclusividad, fijación de precios y reparto de mercado requiere juicio jurídico, por lo que se escala al Compliance Officer con apoyo de las firmas Big-4.

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Cross-check contratos con Verifactu/SII Coinciden facturas emitidas en base contrato con esquema Verifactu RD 1007/2023 + numeros contrato + importes? Motor de reglas Auditor

Verifactu es obligatorio por fases entre 2025 y 2026 para el B2B; el cruce entre contrato y factura protege frente a las sanciones del 50-150% de la LGT art. 191-203.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Responsabilidad administradores LSC art. 226-241 Expone contrato administradores a riesgo LSC art. 232-238 (deber lealtad, conflicto interes, transacciones vinculadas)? Humano Auditor

Los valores superiores al 25% del capital social requieren acuerdo de la Junta General (LSC art. 160); es una evaluación de juicio jurídico.

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Plazos pago Ley 3/2004 morosidad Plazo pago cumple Ley 3/2004 (max 60 dias B2B, 30 dias para PYME)? Motor de reglas Auditor

Incumplir los plazos genera intereses de demora, una indemnización fija de 40 EUR, el interés de demora (BCE+8%) y la sanción de la CNMC.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Documentacion tratamiento datos personales Contiene contrato actualizaciones Registro Actividades Tratamiento (RAT) RGPD art. 30 + audit-trail RGPD? Motor de reglas Auditor

El RGPD art. 30 exige el Registro de Actividades de Tratamiento a toda organización con más de 250 empleados o con tratamiento sistemático de categorías especiales.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Monitoreo SLA y penalizaciones contractuales Estan SLA + penalizaciones ejecutables segun CC art. 1152-1154 (clausula penal)? Motor de reglas Proveedor

La cláusula penal requiere una determinación clara del incumplimiento y de su cuantía; el TS ha moderado de forma reiterada las penalizaciones excesivas por el CC art. 1154.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Proveedor

Compliance penal LO 5/2010 Cumple programa compliance penal segun LO 5/2010 art. 31 bis + ISO 19601 (UNE 19601) + Codigo Penal art. 31 bis - 31 quinquies? Motor de reglas Auditor

El programa de compliance penal incluye la identificación de riesgos, las políticas, el canal de denuncias y la revisión por un auditor externo, cubriendo los 12 artículos del Código Penal que pueden afectar a la empresa.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Audit-trail para AEAT + Big-4 Substantive Testing Generado audit-trail con documentacion todas decisiones compliance para AEAT + NIA-ES 240/315/540? Motor de reglas Auditor

La auditoría de la AEAT y las firmas Big-4 (PCAOB AS 2401, NIA-ES 240) exigen una traza de auditoría completa de los documentos de compliance.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Escalado Compliance Officer en riesgo Escalado a Compliance Officer + Director Juridico en umbral riesgo (valor, sector, jurisdiccion)? Humano Auditor

Aceptar el riesgo contractual requiere juicio empresarial y jurídico, sobre todo en los contratos con LATAM o EE. UU. afectados por los convenios de doble imposición y por BEPS.

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Registro de decisión y derecho a impugnar

Cada decisión que este agente toma o prepara se documenta en un registro de decisión completo. Las partes afectadas (empleados, proveedores, auditores) pueden revisar, comprender e impugnar cada decisión individual.

¿Qué regla en qué versión se aplicó?
¿En qué datos se basó la decisión?
¿Quién (humano, motor de reglas o IA) decidió - y por qué?
¿Cómo puede la persona afectada presentar una objeción?
Cómo el Decision Layer lo implementa arquitectónicamente →

¿Este agente encaja en su proceso?

Analizamos su proceso financiero concreto y mostramos cómo este agente se integra en su entorno de sistemas. 30 minutos, sin preparación necesaria.

Analizar su proceso

Notas de governance

GoBD: n/a Conforme §203 StGB

Ley 2/2023 (canal de denuncias): la transposición de la Directiva UE 2019/1937 obliga a las organizaciones de más de 50 empleados a tener un canal interno, protección del denunciante y procedimientos de gestión. Las sanciones por incumplimiento (obstaculizar las denuncias, represalias) llegan hasta 1 millón EUR. Controles de la CNMC: sanciones de hasta el 10% de la facturación por infracciones de competencia (Ley 15/2007 art. 62-69). RGPD: hasta el 4% de la facturación o 20 millones EUR. SEPBLAC: hasta 10 millones EUR por incumplimiento de PBC/FT.

Compliance penal LO 5/2010: las personas jurídicas responden penalmente por los delitos cometidos por administradores o empleados; un programa de compliance conforme a la ISO 19601 (UNE 19601) puede atenuar o excluir esa responsabilidad (art. 31 bis CP). Titular real y prevención del blanqueo: la Ley 10/2010 art. 4 exige identificar al titular real en operaciones superiores a 15.000 EUR; el Registro Mercantil de titularidad real es obligatorio desde 2024.

Contribución a la documentación de procesos

Registro de contratos: un registro estructurado en el CLM con gestión de anexos. Motor de compliance: la LCSP, la Ley 10/2010 de PBC/FT, la LO 5/2010, el RGPD, la Ley 2/2023 y Verifactu, con versionado. Screening del titular real: verificación en el Registro Mercantil de titularidad real, la API del SEPBLAC y las sanciones de la UE (CFSP) y la OFAC. Cruce con Verifactu: validación mensual de los contratos frente a las facturas. Audit trail para la AEAT, la CNMC, la AEPD y las Big-4 con certificado cualificado FNMT-RCM.

Evaluación

Agent Readiness 81-88%
Governance Complexity 78-85%
Economic Impact 72-79%
Lighthouse Effect 50-57%
Implementation Complexity 74-81%
Volumen de transacciones Mensual

Requisitos previos

  • Contract Lifecycle Management (CLM) con integración española (SAP Ariba, DocuSign CLM, Conga, Ironclad, Sage CLM)
  • Plataforma de canal de denuncias certificada para la Ley 2/2023 (Sygnanet, Telpark, NAVEX Global)
  • Integración con el Registro Mercantil de titularidad real y con la API del SEPBLAC
  • Cruce con el registro de cláusulas abusivas de la CNMC
  • Integración con Verifactu mediante certificado FNMT-RCM
  • Registro de Actividades de Tratamiento del RGPD art. 30 y plantilla de EIPD

Contribución a la infraestructura

El Agente forma parte de la infraestructura del Decision Layer para el compliance y el reporting regulatorio. Consume los datos de los contratos de los sistemas CLM, los datos del titular real del Registro Mercantil, los datos de sanciones de la UE (CFSP), la OFAC y el SEPBLAC, y los datos de Verifactu, y entrega la evaluación de compliance y el audit trail a los agentes de RGPD y al reporting interno de gestión. La arquitectura es Cert-Ready con el Substantive Testing NIA-ES y el audit trail de la AEAT.

Qué contiene esta evaluación: 9 diapositivas para su equipo directivo

Personalizada con sus datos. Generada en 2 minutos en su navegador. Sin carga, sin inicio de sesión.

  1. 1

    Portada - Nombre del proceso, puntos de decisión, potencial de automatización

  2. 2

    Resumen ejecutivo - FTE liberados, coste por transacción, fecha de amortización

  3. 3

    Situación actual - Volumen de transacciones, costes de error, escenario de crecimiento

  4. 4

    Arquitectura de solución - Humano - motor de reglas - agente IA

  5. 5

    Gobernanza - EU AI Act, comité de empresa/GoBD, pista de auditoría

  6. 6

    Análisis de riesgos - 5 riesgos con probabilidad e impacto

  7. 7

    Hoja de ruta - Plan de 3 fases con fechas concretas

  8. 8

    Caso de negocio - Comparación de 3 escenarios más matriz de sensibilidad

  9. 9

    Propuesta de discusión - Próximos pasos concretos

Incluye: comparación de 3 escenarios

No hacer nada vs. nueva contratación vs. automatización - con su nivel salarial, su tasa de error y su plan de crecimiento.

Mostrar metodología de cálculo

Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours

Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor

Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)

FTE: Saved hours ÷ 1,720 annual work hours

Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)

New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE

Todos los datos permanecen en su navegador. Nada se transmite a ningún servidor.

Agente Cumplimiento Contractual

Initial assessment for your leadership team

A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.

All data stays in your browser. Nothing is transmitted.

Preguntas frecuentes

¿Cuáles son las sanciones de la CNMC por infracciones de competencia en los contratos españoles?

La CNMC, con base en la Ley 15/2007 de Defensa de la Competencia art. 62-69, puede imponer sanciones de hasta el 10% de la facturación del año económico anterior. Las infracciones más comunes son los acuerdos restrictivos de la competencia (art. 1), el abuso de posición dominante (art. 2) y las concentraciones no notificadas (art. 8). La CNMC mantiene un registro de cláusulas abusivas con más de 5.000 cláusulas modelo no permitidas; el screening automático de cláusulas en los nuevos contratos B2C es estándar para las empresas medianas y grandes. El Agente se integra con la base de la CNMC vía API y bloquea la publicación de los contratos con cláusulas no permitidas.

¿Cómo afecta la Ley 2/2023 sobre canales de denuncia al compliance contractual?

La Ley 2/2023 transpone la Directiva UE 2019/1937 y obliga a las organizaciones de más de 50 empleados a tener un canal interno de denuncias, procedimientos de gestión y protección del denunciante frente a represalias. Las sanciones por incumplimiento (obstaculizar las denuncias, represaliar al denunciante, no tener procedimiento) llegan hasta 1 millón EUR, además de la posible responsabilidad penal del art. 162 CP. En el contexto de los contratos, esto significa que cada contrato con un proveedor por encima del umbral de valor debe incluir cláusulas que exijan al proveedor disponer de su propio canal de denuncias y comprometerse a no represaliar a los denunciantes. Plataformas certificadas: NAVEX Global, Telpark y Sygnanet.

¿Qué es el Registro Mercantil de titularidad real y cuándo es obligatorio verificar el titular real?

El Registro Mercantil de titularidad real, gestionado por la Dirección General de Seguridad Jurídica desde 2024, es obligatorio para todas las sociedades mercantiles. El titular real (UBO) es la persona física con más del 25% de participación o con control sobre la sociedad. La Ley 10/2010 de PBC/FT art. 4 exige identificar al titular real en las operaciones superiores a 15.000 EUR (o 7.500 EUR en efectivo). No verificar el titular real en los contratos por encima del umbral conlleva una sanción del SEPBLAC de hasta 10 millones EUR y el riesgo del art. 301 del Código Penal (blanqueo). El Agente verifica automáticamente el Registro Mercantil de titularidad real antes de confirmar el contrato.

¿Qué documentación de contratación pública exige la LCSP 9/2017?

La Ley 9/2017 de Contratos del Sector Público exige: (1) publicar el procedimiento en la Plataforma de Contratación del Sector Público (PLACSP) o en el TED para los valores por encima de los umbrales de la UE; (2) criterios de adjudicación claros (art. 145-146), ya que el precio no puede ser el único criterio por encima de ciertos umbrales; (3) un protocolo del procedimiento con la justificación de la selección; (4) la aprobación del órgano de contratación; (5) la publicación del contrato con su valor y su adjudicatario en la PLACSP; y (6) el reporte anual a la OIRESCON. Las infracciones las controlan la OIRESCON y el Tribunal de Cuentas, con sanciones administrativas y penales. El Agente genera toda la documentación de la LCSP de forma automática.

¿Cómo funciona el cruce de los contratos con Verifactu, obligatorio por fases entre 2025 y 2026?

Verifactu (RD 1007/2023) entró en vigor el 1 de julio de 2025 para las grandes empresas (más de 6 millones EUR de facturación) y se extiende por fases a todas las empresas hasta el 1 de enero de 2026. Las facturas emitidas a partir de un contrato deben tener su número Verifactu, el esquema certificado por la AEAT y la referencia cruzada al contrato. El Agente valida cada mes que cada contrato genere las facturas Verifactu que le correspondan según el calendario de pagos, que los importes coincidan con el contrato (con una tolerancia del 5%), que los NIF del proveedor y del destinatario coincidan con la base de titulares reales del Registro Mercantil, y la clasificación de IVA según el art. 84.uno.2 de la LIVA (inversión del sujeto pasivo). Las discrepancias activan una alerta de Compliance y el audit trail para la AEAT. Este cruce protege frente a la sanción de la LGT art. 191 (50-150% del importe omitido) por no incluir facturas.

RGPD y cláusulas de encargo de tratamiento: ¿qué debe contener el contrato?

El RGPD art. 28 exige un contrato de encargo por escrito entre el responsable y el encargado que contenga: (1) el objeto y la duración del tratamiento; (2) su naturaleza y finalidad; (3) el tipo de datos personales; (4) las categorías de interesados; (5) las obligaciones y derechos del responsable; y (6) las obligaciones del encargado (confidencialidad, medidas de seguridad del art. 32, subencargo solo con autorización, asistencia al responsable, auditoría y devolución o destrucción de los datos al final). La EIPD es necesaria (art. 35) en la monitorización sistemática o con categorías especiales. Las sanciones de la AEPD llegan hasta el 4% de la facturación o 20 millones EUR. El Agente genera las cláusulas de encargo y el RAT de forma automática.

¿Qué sanciones de la LSC amenazan a los administradores por un riesgo contractual excesivo?

La LSC RDLeg 1/2010 art. 226-241 establece que los administradores responden personalmente por el daño causado a la sociedad por una acción en su perjuicio o por exceso del poder de representación. Los contratos cuyo valor supere el 25% del capital social requieren acuerdo de la Junta General (LSC art. 160). El Agente registra todos los contratos por encima del umbral y exige automáticamente la autorización del socio mayoritario o de la Junta General antes de celebrarlos, lo que protege a los administradores frente a la responsabilidad personal. Los últimos procesos de responsabilidad de administradores en España en 2024 se centraron en contratos con falta de acuerdo de la Junta General, ausencia de EIPD del RGPD y sin verificación del titular real.

¿Qué pasa después?

1

30 minutos

Primera reunión

Analizamos su proceso e identificamos el punto de inicio óptimo.

2

1 semana

Discover

Mapeo de su lógica de decisión. Reglas documentadas, Decision Layer diseñado.

3

3-4 semanas

Build

Agente productivo en su infraestructura. Gobernanza, audit trail, cert-ready desde el día 1.

4

12-18 meses

Autosuficiencia

Acceso completo al código fuente, prompts y versiones de reglas. Sin vendor lock-in.

¿Implementar este agente?

Evaluamos su panorama de procesos financieros y mostramos cómo este agente encaja en su infraestructura.