Agente Cumplimiento Contractual
LCSP, LO 5/2010, prevención del blanqueo, RGPD, canal de denuncias de la Ley 2/2023 y cruce con Verifactu en un solo pipeline, Cert-Ready by Design para la AEAT, la AEPD y las Big-4.
Cumplimiento contractual deterministas: LCSP 9/2017, LO 5/2010 responsabilidad penal, Ley 10/2010 PBC/FT, LOPDGDD y Ley 2/2023 denunciantes - Cert-Ready para AEPD, SEPBLAC y PIBR.
Analizar su procesoUna selección de más de 5.000 proyectos en 25 años de desarrollo de software
CNMC, LO 5/2010, AEPD y SEPBLAC: cuatro frentes que exigen Cert-Ready by Design
El Agente monitoriza los contratos de forma 100% determinista y sin IA generativa en las decisiones legales: aplica la LCSP 9/2017, la LO 5/2010 de responsabilidad penal de las personas jurídicas, la Ley 10/2010 de PBC/FT, el RGPD art. 28 y 35, el canal de denuncias de la Ley 2/2023 y el cruce con Verifactu; hace el screening frente a las sanciones de la UE, las cláusulas abusivas de la CNMC y los titulares reales del SEPBLAC; verifica el titular real (UBO) en el Registro Mercantil; y documenta el audit trail para la AEAT, la AEPD, la ITSS y el Substantive Testing de las Big-4.
Resultado: El riesgo de sanción de la CNMC de hasta el 10% de la facturación se reduce con el screening automático de cláusulas, el cruce con Verifactu elimina el riesgo de las sanciones del 50-150% de la LGT art. 191-203, las actualizaciones de la EIPD bajo el RGPD quedan cubiertas, igual que el canal de denuncias de la Ley 2/2023 y el compliance penal ISO 19601 de la LO 5/2010.
14 puntos decisivos deterministas, con tres escalados humanos (anti-cártel, riesgo de los administradores por la LSC y Compliance Officer), crean un audit trail para la AEAT, la CNMC, la AEPD, el SEPBLAC y las Big-4 (PCAOB AS 2401):
Cuatro frentes sancionadores a la vez: la CNMC (hasta el 10% de la facturación), la LO 5/2010 de compliance penal, la AEPD (4% de la facturación) y el SEPBLAC (10 millones EUR)
El compliance contractual en España es un sistema regulatorio complejo que combina seis áreas principales: la LCSP 9/2017 para la contratación del sector público, la Ley 10/2010 de PBC/FT para la prevención del blanqueo de capitales con la verificación del titular real en el Registro Mercantil, la Ley 15/2007 con sanciones de la CNMC de hasta el 10% de la facturación, el RGPD art. 28 y 35 para las cláusulas de encargo de tratamiento con EIPD, la Ley 2/2023 sobre canales de denuncia (transposición de la Directiva UE 2019/1937) y el cruce con Verifactu, obligatorio por fases entre 2025 y 2026 para el B2B. Cada contrato de un grupo español debe pasar el screening determinista por estas seis áreas y dejar documentado el audit trail para la AEAT, la CNMC, la AEPD y el Substantive Testing de las Big-4.
CNMC, LO 5/2010, AEPD y SEPBLAC: cuatro frentes sancionadores que exigen Cert-Ready by Design
La CNMC es uno de los reguladores de competencia más activos de Europa. Las sanciones por infracciones del art. 1 (acuerdos restrictivos), el art. 2 (abuso de posición dominante) y el art. 8 (concentraciones no notificadas) pueden alcanzar el 10% de la facturación del año económico anterior. El registro de cláusulas abusivas de la CNMC contiene más de 5.000 cláusulas modelo no permitidas; el screening automático de cláusulas en los nuevos contratos modelo B2C es estándar para las empresas medianas y grandes. La auditoría fiscal de la AEAT de 2024 identificó la documentación de compliance de los contratos como uno de sus tres hallazgos principales, con irregularidades típicas: falta de documentación de la verificación del titular real, falta de EIPD en los contratos con tratamiento de datos personales y falta de cruce de los contratos con las facturas Verifactu.
La LO 5/2010 establece la responsabilidad penal de las personas jurídicas: los administradores responden penalmente por los delitos cometidos por los empleados, y un programa de compliance conforme a la ISO 19601 (UNE 19601) puede atenuar o excluir esa responsabilidad (art. 31 bis CP). El RGPD art. 83 impone sanciones de hasta el 4% de la facturación o 20 millones EUR por incumplir las cláusulas de encargo del art. 28 o por falta de EIPD del art. 35. La Ley 2/2023 sobre canales de denuncia sanciona con hasta 1 millón EUR las represalias contra el denunciante, además de la responsabilidad penal del art. 162 CP. La Ley 10/2010 de PBC/FT conlleva una sanción del SEPBLAC de hasta 10 millones EUR por no identificar al titular real. Estos cuatro frentes implican que una empresa española mediana (200-500 empleados, 50-200 millones EUR de facturación) tiene una exposición sancionadora potencial de 50-100 millones EUR anuales sin Cert-Ready by Design.
14 puntos decisivos deterministas con tres escalados humanos
El Agente procesa los contratos en un pipeline de 14 puntos decisivos estructurales: once clasificaciones reguladas, una extracción del tipo de contrato asistida por LLM y tres escalados humanos (el screening anti-cártel, el riesgo de los administradores por la LSC y la aceptación del riesgo por el Compliance Officer). La clasificación del tipo de contrato la hace el LLM extrayendo del texto la parte contratante, el valor, el sector y las relaciones de propiedad, y categorizándolo como LCSP, relevante para prevención del blanqueo, partes vinculadas o B2B estándar. Las 11 clasificaciones restantes siguen la Ley 10/2010 art. 41-42 (sanciones de la UE y la OFAC), la Ley 10/2010 art. 4 (titular real en el Registro Mercantil), el RGPD art. 28 y 35, la LCSP art. 1-7, 116-119 y 145-146, la Ley 3/2004 (plazos de pago), el cruce con Verifactu y la LSC art. 160.
Un ejemplo concreto: una empresa española mediana (350 empleados, 80 millones EUR de facturación) firma un contrato con un proveedor de servicios IT por 1,2 millones EUR anuales. El Agente lo clasifica como B2B estándar, relevante para prevención del blanqueo (por encima de 15.000 EUR) y sin partes vinculadas. El screening del titular real en el Registro Mercantil es correcto, el NIF del proveedor está activo y no aparece en listas de sanciones. Las cláusulas de encargo del RGPD art. 28 están verificadas y la EIPD ejecutada. El cruce con Verifactu queda configurado en frecuencia mensual. El registro de cláusulas abusivas de la CNMC está limpio. El plazo de pago es de 30 días (cumple la Ley 3/2004 para PYME). El audit trail para la AEAT y las Big-4 se genera automáticamente. Como el valor de 1,2 millones EUR queda por debajo del 25% del capital social, no requiere Junta General. En el anti-cártel no hay cláusulas restrictivas, así que lo acepta el Compliance Officer.
El cruce de los contratos con Verifactu, obligatorio por fases entre 2025 y 2026
Verifactu (RD 1007/2023) entró en vigor el 1 de julio de 2025 para las grandes empresas y se extiende por fases a todas las empresas hasta el 1 de enero de 2026. Las facturas emitidas a partir de un contrato deben tener su número Verifactu, el esquema certificado por la AEAT y la referencia cruzada al contrato. El Agente valida cada mes que cada contrato genere las facturas Verifactu que le correspondan según el calendario de pagos, que los importes coincidan con el contrato (con una tolerancia del 5%), que los NIF del proveedor y del destinatario coincidan con la base de titulares reales del Registro Mercantil, y la clasificación de IVA según el art. 84.uno.2 de la LIVA (inversión del sujeto pasivo). Las discrepancias activan automáticamente una alerta de Compliance y el audit trail para la AEAT. Este cruce protege frente a las sanciones de la LGT art. 191-203 (50-150% del importe omitido) por no incluir facturas y documenta un audit trail completo para los inspectores de la AEAT.
Integración con el ecosistema español: Sage, A3, Holded, SAP Ariba, NAVEX y las API de la AEAT y la CNMC
El Agente se integra vía API con los sistemas CLM españoles: Sage 200 y Sage Despachos Connected (líder en PYME, con módulo de compliance de contratos), Sage X3 España (mediana empresa), A3 Software (a3con, a3asesor y a3ERP, para despachos profesionales), Holded (cloud para autónomos y PYME), Cegid Quadra Spain, SAP S/4HANA Spain Compliance con SAP Ariba (multinacionales IBEX-35), Microsoft Dynamics 365 Business Central Spain Compliance y Oracle Fusion Cloud ERP Spain. Plataformas de canal de denuncias: NAVEX Global (líder), Telpark (España), Sygnanet y Aequo Compliance. Se integra con las bases: la API del Registro Mercantil de titularidad real (DGSJyFP), la API del SEPBLAC (sanciones), el registro de cláusulas abusivas de la CNMC, la API de Verifactu con certificado FNMT-RCM, el VIES de la UE (operaciones intracomunitarias) y las sanciones de la UE (CFSP) y la OFAC. El Substantive Testing de las Big-4 se apoya en la exportación directa a Deloitte ASM, PwC Halo, EY Helix y KPMG Clara con los metadatos del audit trail conforme a las NIA-ES y el PCAOB AS 1215.
Tabla de microdecisiones
¿Quién decide en este agente?
15 pasos de decisión, separados por decisor
Clasificacion tipo de contrato Es contrato LCSP (sector publico), AML-relevante (>15k EUR), partes vinculadas (LSC art. 231), o B2B estandar? Agente IA Auditor
El LLM clasifica el tipo de contrato a partir de la parte contratante, el valor, el sector y las relaciones de propiedad.
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por: Auditor
Screening sanciones UE + CNMC + SEPBLAC Esta la parte del contrato en listas de sanciones EU (Reglamento 269/2014, 833/2014, 765/2006) + CNMC clausulas abusivas + SEPBLAC? Motor de reglas Auditor
Cruce con las bases de la Política Exterior y de Seguridad Común de la UE, la OFAC de EE. UU., los titulares reales del SEPBLAC y el registro de cláusulas abusivas de la CNMC.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Beneficial Owner + titular real Ley 10/2010 Esta el beneficiario real (UBO) identificado en Registro Mercantil titularidad real para transacciones >15k EUR? Motor de reglas Auditor
La Ley 10/2010 de PBC/FT art. 4 exige identificar al titular real (UBO); el SEPBLAC impone sanciones de hasta 10 millones EUR por incumplimiento.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Clausulas RGPD y EIPD Contiene contrato clausulas correctas de encargo de tratamiento RGPD art. 28 + EIPD requerida art. 35? Motor de reglas Auditor
El contrato de encargo es obligatorio cuando hay tratamiento de datos personales; la EIPD es necesaria en la monitorización sistemática o con categorías especiales del art. 9.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Whistleblower compliance Ley 2/2023 Tiene organizacion >50 empleados canal de denuncias + procedimientos protectivos segun Ley 2/2023? Motor de reglas Empleado
Transposición de la Directiva UE 2019/1937: exige canal interno y protección del denunciante, con sanciones por represalias de hasta 1 millón EUR.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Empleado
Verificacion contratacion publica LCSP 9/2017 Contrato publico cumple LCSP art. 1-7 (principios) + art. 116-119 (procedimientos abiertos) + art. 145-146 (criterios adjudicacion)? Motor de reglas Auditor
La LCSP exige un procedimiento publicado en la PLACSP, criterios objetivos y el expediente documentado, bajo el control de la OIRESCON y el Tribunal de Cuentas.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Anti-cartel screening CNMC Contiene contrato clausulas potencialmente restrictivas competencia (Ley 15/2007 art. 1-2)? Humano Auditor
Evaluar las cláusulas de exclusividad, fijación de precios y reparto de mercado requiere juicio jurídico, por lo que se escala al Compliance Officer con apoyo de las firmas Big-4.
Registro de decisión
Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.
Impugnable por: Auditor
Cross-check contratos con Verifactu/SII Coinciden facturas emitidas en base contrato con esquema Verifactu RD 1007/2023 + numeros contrato + importes? Motor de reglas Auditor
Verifactu es obligatorio por fases entre 2025 y 2026 para el B2B; el cruce entre contrato y factura protege frente a las sanciones del 50-150% de la LGT art. 191-203.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Responsabilidad administradores LSC art. 226-241 Expone contrato administradores a riesgo LSC art. 232-238 (deber lealtad, conflicto interes, transacciones vinculadas)? Humano Auditor
Los valores superiores al 25% del capital social requieren acuerdo de la Junta General (LSC art. 160); es una evaluación de juicio jurídico.
Registro de decisión
Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.
Impugnable por: Auditor
Plazos pago Ley 3/2004 morosidad Plazo pago cumple Ley 3/2004 (max 60 dias B2B, 30 dias para PYME)? Motor de reglas Auditor
Incumplir los plazos genera intereses de demora, una indemnización fija de 40 EUR, el interés de demora (BCE+8%) y la sanción de la CNMC.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Documentacion tratamiento datos personales Contiene contrato actualizaciones Registro Actividades Tratamiento (RAT) RGPD art. 30 + audit-trail RGPD? Motor de reglas Auditor
El RGPD art. 30 exige el Registro de Actividades de Tratamiento a toda organización con más de 250 empleados o con tratamiento sistemático de categorías especiales.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Monitoreo SLA y penalizaciones contractuales Estan SLA + penalizaciones ejecutables segun CC art. 1152-1154 (clausula penal)? Motor de reglas Proveedor
La cláusula penal requiere una determinación clara del incumplimiento y de su cuantía; el TS ha moderado de forma reiterada las penalizaciones excesivas por el CC art. 1154.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Proveedor
Compliance penal LO 5/2010 Cumple programa compliance penal segun LO 5/2010 art. 31 bis + ISO 19601 (UNE 19601) + Codigo Penal art. 31 bis - 31 quinquies? Motor de reglas Auditor
El programa de compliance penal incluye la identificación de riesgos, las políticas, el canal de denuncias y la revisión por un auditor externo, cubriendo los 12 artículos del Código Penal que pueden afectar a la empresa.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Audit-trail para AEAT + Big-4 Substantive Testing Generado audit-trail con documentacion todas decisiones compliance para AEAT + NIA-ES 240/315/540? Motor de reglas Auditor
La auditoría de la AEAT y las firmas Big-4 (PCAOB AS 2401, NIA-ES 240) exigen una traza de auditoría completa de los documentos de compliance.
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Escalado Compliance Officer en riesgo Escalado a Compliance Officer + Director Juridico en umbral riesgo (valor, sector, jurisdiccion)? Humano Auditor
Aceptar el riesgo contractual requiere juicio empresarial y jurídico, sobre todo en los contratos con LATAM o EE. UU. afectados por los convenios de doble imposición y por BEPS.
Registro de decisión
Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.
Impugnable por: Auditor
Registro de decisión y derecho a impugnar
Cada decisión que este agente toma o prepara se documenta en un registro de decisión completo. Las partes afectadas (empleados, proveedores, auditores) pueden revisar, comprender e impugnar cada decisión individual.
¿Este agente encaja en su proceso?
Analizamos su proceso financiero concreto y mostramos cómo este agente se integra en su entorno de sistemas. 30 minutos, sin preparación necesaria.
Analizar su procesoNotas de governance
Ley 2/2023 (canal de denuncias): la transposición de la Directiva UE 2019/1937 obliga a las organizaciones de más de 50 empleados a tener un canal interno, protección del denunciante y procedimientos de gestión. Las sanciones por incumplimiento (obstaculizar las denuncias, represalias) llegan hasta 1 millón EUR. Controles de la CNMC: sanciones de hasta el 10% de la facturación por infracciones de competencia (Ley 15/2007 art. 62-69). RGPD: hasta el 4% de la facturación o 20 millones EUR. SEPBLAC: hasta 10 millones EUR por incumplimiento de PBC/FT.
Compliance penal LO 5/2010: las personas jurídicas responden penalmente por los delitos cometidos por administradores o empleados; un programa de compliance conforme a la ISO 19601 (UNE 19601) puede atenuar o excluir esa responsabilidad (art. 31 bis CP). Titular real y prevención del blanqueo: la Ley 10/2010 art. 4 exige identificar al titular real en operaciones superiores a 15.000 EUR; el Registro Mercantil de titularidad real es obligatorio desde 2024.
Contribución a la documentación de procesos
Registro de contratos: un registro estructurado en el CLM con gestión de anexos. Motor de compliance: la LCSP, la Ley 10/2010 de PBC/FT, la LO 5/2010, el RGPD, la Ley 2/2023 y Verifactu, con versionado. Screening del titular real: verificación en el Registro Mercantil de titularidad real, la API del SEPBLAC y las sanciones de la UE (CFSP) y la OFAC. Cruce con Verifactu: validación mensual de los contratos frente a las facturas. Audit trail para la AEAT, la CNMC, la AEPD y las Big-4 con certificado cualificado FNMT-RCM.
Evaluación
Requisitos previos
- Contract Lifecycle Management (CLM) con integración española (SAP Ariba, DocuSign CLM, Conga, Ironclad, Sage CLM)
- Plataforma de canal de denuncias certificada para la Ley 2/2023 (Sygnanet, Telpark, NAVEX Global)
- Integración con el Registro Mercantil de titularidad real y con la API del SEPBLAC
- Cruce con el registro de cláusulas abusivas de la CNMC
- Integración con Verifactu mediante certificado FNMT-RCM
- Registro de Actividades de Tratamiento del RGPD art. 30 y plantilla de EIPD
Contribución a la infraestructura
El Agente forma parte de la infraestructura del Decision Layer para el compliance y el reporting regulatorio. Consume los datos de los contratos de los sistemas CLM, los datos del titular real del Registro Mercantil, los datos de sanciones de la UE (CFSP), la OFAC y el SEPBLAC, y los datos de Verifactu, y entrega la evaluación de compliance y el audit trail a los agentes de RGPD y al reporting interno de gestión. La arquitectura es Cert-Ready con el Substantive Testing NIA-ES y el audit trail de la AEAT.
Qué contiene esta evaluación: 9 diapositivas para su equipo directivo
Personalizada con sus datos. Generada en 2 minutos en su navegador. Sin carga, sin inicio de sesión.
- 1
Portada - Nombre del proceso, puntos de decisión, potencial de automatización
- 2
Resumen ejecutivo - FTE liberados, coste por transacción, fecha de amortización
- 3
Situación actual - Volumen de transacciones, costes de error, escenario de crecimiento
- 4
Arquitectura de solución - Humano - motor de reglas - agente IA
- 5
Gobernanza - EU AI Act, comité de empresa/GoBD, pista de auditoría
- 6
Análisis de riesgos - 5 riesgos con probabilidad e impacto
- 7
Hoja de ruta - Plan de 3 fases con fechas concretas
- 8
Caso de negocio - Comparación de 3 escenarios más matriz de sensibilidad
- 9
Propuesta de discusión - Próximos pasos concretos
Incluye: comparación de 3 escenarios
No hacer nada vs. nueva contratación vs. automatización - con su nivel salarial, su tasa de error y su plan de crecimiento.
Mostrar metodología de cálculo
Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours
Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor
Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)
FTE: Saved hours ÷ 1,720 annual work hours
Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)
New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE
Todos los datos permanecen en su navegador. Nada se transmite a ningún servidor.
Agente Cumplimiento Contractual
Initial assessment for your leadership team
A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.
All data stays in your browser. Nothing is transmitted.
Páginas relacionadas
Preguntas frecuentes
¿Cuáles son las sanciones de la CNMC por infracciones de competencia en los contratos españoles?
¿Cómo afecta la Ley 2/2023 sobre canales de denuncia al compliance contractual?
¿Qué es el Registro Mercantil de titularidad real y cuándo es obligatorio verificar el titular real?
¿Qué documentación de contratación pública exige la LCSP 9/2017?
¿Cómo funciona el cruce de los contratos con Verifactu, obligatorio por fases entre 2025 y 2026?
RGPD y cláusulas de encargo de tratamiento: ¿qué debe contener el contrato?
¿Qué sanciones de la LSC amenazan a los administradores por un riesgo contractual excesivo?
¿Qué pasa después?
30 minutos
Primera reunión
Analizamos su proceso e identificamos el punto de inicio óptimo.
1 semana
Discover
Mapeo de su lógica de decisión. Reglas documentadas, Decision Layer diseñado.
3-4 semanas
Build
Agente productivo en su infraestructura. Gobernanza, audit trail, cert-ready desde el día 1.
12-18 meses
Autosuficiencia
Acceso completo al código fuente, prompts y versiones de reglas. Sin vendor lock-in.
¿Implementar este agente?
Evaluamos su panorama de procesos financieros y mostramos cómo este agente encaja en su infraestructura.