Ir al contenido
W K
EU AI Act: No alto riesgo

Agente Monitoreo Cumplimiento HR

Un índice de igualdad retributiva continuo, una plataforma de denuncias conforme a la Ley 2/2023 y alertas en tiempo real: monitoreo de cumplimiento HR con audit-trail. La preparación de la auditoría la gestiona el Agente de Auditoría de Cumplimiento HR.

Monitoreo HR Real-Time: Equal-Pay-Index continuo RD 902/2020, plataforma denuncias Ley 2/2023, supervisión cadena suministro HR CSDDD y alertas - evidencia ITSS y AEPD.

Analizar su proceso

Una selección de más de 5.000 proyectos en 25 años de desarrollo de software

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

La monitorización de cumplimiento como cadena de microdecisiones documentadas, no como una auditoría anual

Las reglas deterministas comprueban las políticas de RRHH, el convenio, el plan de igualdad, la cuota de discapacidad y el registro de tratamientos contra los datos operativos de los sistemas, y clasifican las desviaciones por gravedad: información, advertencia, crítico y escalación. La IA detecta patrones anómalos que las reglas explícitas no cubren, y el responsable de cumplimiento, el Comité de Empresa y el Comité de Compliance toman las decisiones críticas, como la activación del protocolo de acoso, el canal de denuncias o el programa de cumplimiento penal.

Resultado: Con cientos de cambios regulatorios al día en el mundo y nuevas obligaciones que llegan entre 2026 y 2027, la monitorización continua cierra la brecha temporal entre el cambio normativo del día cero, la práctica operativa de los primeros días y la detección en la auditoría periódica, que puede tardar meses. Reduce la preparación de las auditorías de semanas a horas y evita sanciones acumulables que superan los 2 millones de euros, la paralización de la actividad y la responsabilidad penal de la persona jurídica.

54% Motor de reglas
8% Agente IA
38% Humano

El agente descompone la monitorización de cumplimiento en 13 microdecisiones: 7 deterministas, 1 asistida por ML y 5 confirmaciones humanas, cada una con su justificación, su audit-trail y su cita legal.

Las sanciones de un incumplimiento de cumplimiento se acumulan y pueden superar 2 millones de euros: la ITSS llega a 225.018 EUR, la AEPD al 4 por ciento de la facturación, la Autoridad Independiente a 1 millón y el Código Penal a la responsabilidad penal de la persona jurídica.

La monitorización de cumplimiento en las empresas españolas se sitúa entre seis marcos paralelos. El Estatuto de los Trabajadores prohíbe las órdenes empresariales que supongan discriminación y reconoce el derecho de información del Comité de Empresa. La LO 3/2007 impone el plan de igualdad a las empresas de más de 50 trabajadores, junto con el registro retributivo y el protocolo de prevención del acoso. La Ley 2/2023 obliga a un canal interno de denuncias, con plazos de 7 días para el acuse y 3 meses para la respuesta y sanciones de hasta 1 millón de euros. El RGPD y la LOPDGDD imponen el registro de actividades de tratamiento, las medidas de seguridad y la DPIA. El Código Penal regula la responsabilidad penal de la persona jurídica, atenuada por los programas de cumplimiento. Y el Reglamento Europeo de IA, supervisado en España por la AESIA, clasifica como de alto riesgo los sistemas de IA en el empleo. En conjunto, cualquier proceso de monitorización en una empresa mediana o grande española puede activar hasta seis obligaciones acumuladas.

Sanciones acumulables superan 2 millones EUR

La ITSS multa las infracciones laborales muy graves entre 7.501 y 225.018 EUR, con paralización de la actividad y retirada de las bonificaciones, en materias como el plan de igualdad, el protocolo de acoso o la discriminación retributiva. La AEPD sanciona hasta el 4 por ciento de la facturación mundial. La Autoridad Independiente multa las represalias contra el denunciante con hasta 1 millón de euros. El SEPBLAC sanciona el blanqueo hasta 10 millones de euros. La AESIA puede llegar al 7 por ciento de la facturación por sistemas de IA prohibidos. Y el Código Penal contempla la responsabilidad penal de la persona jurídica, con multa proporcional, suspensión de actividades, prohibición de contratar con las administraciones públicas y, en el extremo, su disolución, además de la responsabilidad civil de los administradores. En una empresa mediana o grande con incumplimientos recurrentes, la suma puede superar los 2 millones de euros, más la responsabilidad penal y las reclamaciones ante la jurisdicción social.

La brecha temporal es donde nace el riesgo

Las infracciones compliance rara vez nacen de la intención. Nacen de la distancia entre el momento en que una norma cambia y el momento en que la práctica operativa se adapta. Una actualización Convenio Colectivo entra en vigor 1 abril, pero nómina abril ejecuta valores anteriores porque RRHH no registró ajuste hasta día 5.

Thomson Reuters Regulatory Intelligence contabilizó más de 61.000 eventos regulatorios en el mundo en 2022, unos 234 cambios al día. Solo la transposición de la transparencia retributiva antes de junio de 2026, el Reglamento Europeo de IA, la diligencia debida en sostenibilidad y los derechos digitales de la Ley 12/2024 exigen una revisión completa de las estructuras de cumplimiento.

En la mayoría de las empresas, la verificación de los marcos normativos es puntual: una auditoría externa al año y una reacción ante las denuncias. Entre esos puntos de control pueden pasar meses con desviaciones sin detectar. Y una sola infracción del plan de igualdad puede sancionarse hasta 225.018 EUR como muy grave.

Monitorización continua cambia la estructura del problema

La diferencia entre verificación periódica y monitorización continua no es gradual - es estructural. Verificación periódica examina muestra momento dado. Monitorización continua comprueba cada transacción contra cada regla relevante cada vez. El sistema consta cuatro capas:

Un catálogo de reglas verificables. Cada marco normativo (la ley, el convenio colectivo, los acuerdos internos y los estándares ISO) se traduce en reglas comprobables por la máquina. La prohibición de discriminación del Estatuto de los Trabajadores, por ejemplo, se convierte en una regla que contrasta los datos de selección, promoción, retribución y formación. Cada regla lleva su número de versión, su periodo de vigencia, su fuente legal, su categoría de gravedad y su frecuencia de comprobación.

La conexión con las fuentes de datos. El agente se conecta con la nómina, el ATS, la planificación de turnos, el registro horario, el plan de igualdad, el canal de denuncias y las plataformas GRC. El agente lee, no escribe. El registro de actividades de tratamiento documenta cada conexión, con control de acceso por roles y cifrado en tránsito.

La clasificación de las desviaciones por gravedad. Que un empleado trabaje 15 minutos más allá de la pausa reglamentaria es información; un incumplimiento sistemático del plan de igualdad en un departamento durante tres semanas es un hallazgo crítico. La matriz va de la información a la advertencia, lo crítico y la escalación. Una desviación comunicable a una autoridad como la ITSS, la AEPD o la Fiscalía activa a la Dirección, el Comité de Compliance y el Consejo de Administración en 24 horas.

La escalación y el seguimiento. La matriz determina quién recibe la información según la gravedad: el responsable del proceso, el Compliance Officer, el DPO, el Comité de Empresa o el Consejo de Administración. Tras un intervalo definido se verifica de nuevo, y el caso solo se cierra cuando la desviación se ha corregido de forma efectiva. El audit-trail del Decision Layer guarda la trazabilidad de cada decisión para la defensa posterior ante reclamaciones por discriminación o acoso y procedimientos sancionadores.

Trece etapas: siete deterministas, una asistida por ML y cinco confirmaciones humanas

El agente descompone la monitorización de cumplimiento en 13 microdecisiones: siete deterministas, una asistida por ML y cinco confirmaciones humanas. Las deterministas cubren la conexión a las fuentes de datos en modo solo lectura, la ejecución de las comprobaciones continuas con su clasificación de gravedad, la verificación del registro de tratamientos y la DPIA, la cuota del 2 por ciento de discapacidad, la prevención del blanqueo de capitales, el reporte CSRD y la notificación al Comité de Empresa. La única asistida por ML es un indicador, no una decisión final: la detección de anomalías y el control del sesgo algorítmico. Las cinco confirmaciones humanas obligatorias son el inventario del marco normativo, su traducción a reglas verificables, la tramitación de una denuncia del canal, la activación del protocolo de prevención del acoso y la del programa de cumplimiento penal.

Donde permanece la responsabilidad

El agente detecta las desviaciones, las clasifica, las escala, las documenta y verifica si la corrección funciona. Lo que no hace es decidir qué ocurre: si un exceso de jornada deriva en una amonestación, si un error de nómina se corrige de forma retroactiva o si un incidente es comunicable a una autoridad, eso lo decide una persona. Y la responsabilidad por la causa de la desviación recae en el responsable del departamento competente, no en el empleado individual. Esa separación es la razón por la que el sistema no es de alto riesgo según el Reglamento Europeo de IA: monitoriza y señala, pero no decide sobre las relaciones laborales, lo que permite operar sin que el procedimiento de clasificación de riesgo retrase el despliegue. El Comité de Empresa mantiene su derecho de información sobre el alcance de la monitorización, el plan de igualdad, la auditoría retributiva, el protocolo de acoso y el canal de denuncias.

El programa de cumplimiento penal del art. 31 bis del Código Penal

El art. 31 bis del Código Penal establece la responsabilidad penal de la persona jurídica y la atenúa cuando existe un programa de cumplimiento penal. Ese programa exige un modelo de organización y prevención de delitos con su código ético, un órgano de control independiente que reporta al Consejo de Administración, un canal de denuncias confidencial, un sistema disciplinario y una revisión anual, con certificación externa conforme a las normas UNE 19601 e ISO 37301. Entre los delitos imputables a la persona jurídica están el cohecho, el tráfico de influencias, el blanqueo de capitales, los delitos fiscales, los delitos contra los trabajadores, los delitos contra el medio ambiente y la revelación de secretos.

Casos particulares del cumplimiento español

Hay varios casos especiales relevantes. La cuota del 2 por ciento de empleo para personas con discapacidad obliga a las empresas de más de 50 trabajadores, con medidas alternativas y una sanción muy grave de hasta 225.018 EUR. El antiblanqueo de la Ley 10/2010 obliga a los sujetos obligados (entidades financieras, auditores, abogados, notarios, agentes inmobiliarios o prestadores de servicios de monedas virtuales) a la diligencia debida con el cliente, la comunicación de operaciones sospechosas al SEPBLAC y la retención durante 10 años, con sanciones de hasta 10 millones de euros. El Reglamento Europeo de IA conlleva el registro de los sistemas de alto riesgo ante la AESIA, con DPIA y supervisión humana, y sanciones de hasta el 7 por ciento de la facturación. La diligencia debida en sostenibilidad de la Directiva CSDDD, con transposición prevista para 2027, y el reporte CSRD del RD 109/2025 exigen informar de los incidentes de discriminación y la conducta empresarial, con verificación de expertos independientes del ICAC. Y los derechos digitales de la Ley 12/2024 reconocen la desconexión digital y la intimidad frente a los sistemas de videovigilancia y geolocalización.

Integración con sistemas Compliance españoles

El agente se integra con los principales sistemas de cumplimiento de España. Entre ellos están A3 Wolters Kluwer, líder del mercado; Sage Compliance; Cegid Visma Meta4 para gran empresa; Bizneo HR, con su canal de denuncias; Holded y Factorial para la PYME; y las suites internacionales SAP SuccessFactors, Workday y Personio en sus versiones españolas, con los estándares de cumplimiento penal. También se conecta con plataformas GRC de referencia (ServiceNow, Diligent y OneTrust), con especialistas en canal de denuncias como NAVEX y EQS Group, y con las editoriales jurídicas que mantienen la normativa actualizada. El agente coordina además las obligaciones con las autoridades: las prioridades de la ITSS y la AEPD, la Autoridad Independiente de la Ley 2/2023, el SEPBLAC, la AESIA, las normas ESRS del ICAC, la Fiscalía Anticorrupción y el derecho de información del Comité de Empresa.

Tabla de microdecisiones

¿Quién decide en este agente?

13 pasos de decisión, separados por decisor

54%(7/13)
Motor de reglas
determinístico
8%(1/13)
Agente IA
basado en modelo con confianza
38%(5/13)
Humano
asignación explícita
Humano
Motor de reglas
Agente IA
Cada fila es una decisión. Expanda para ver el registro de decisión y si se puede impugnar.
Inventariar el marco normativo aplicable a la empresa (ET, LO 3/2007, Ley 2/2023, LOPDGDD y Código Penal art. 31 bis) ¿Cómo se catalogan las leyes, los reglamentos, los convenios colectivos, las políticas internas y los estándares ISO aplicables a la empresa, según su sector, tamaño y comunidad autónoma? Humano Auditor

Decisión humana obligatoria del Compliance Officer, la Asesoría Jurídica, RRHH y el Comité de Compliance. Consiste en identificar el universo regulatorio aplicable a la empresa según su actividad, su sector, su tamaño, su facturación, las comunidades autónomas en las que opera, el convenio aplicable, las políticas internas, el código ético y los estándares de cumplimiento penal. Se revisa cada año y se actualiza ante cualquier cambio normativo, con comunicación al Comité de Empresa y documentación auditable.

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Traducir la normativa a reglas verificables por máquina e indicadores de cumplimiento medibles ¿Cómo se transforman los artículos legales, las cláusulas del convenio y las políticas internas en reglas comprobables automáticamente, con sus condiciones, umbrales y frecuencia? Humano Auditor

Decisión humana obligatoria del Compliance Officer, la Asesoría Jurídica, RRHH y Compensación. Consiste en traducir los textos legales en reglas verificables (por ejemplo, la prohibición de discriminación, el registro retributivo, el canal de denuncias o la cuota del 2 por ciento de discapacidad). Cada regla lleva su número de versión, su periodo de vigencia, su fuente legal, su categoría de gravedad y su frecuencia de comprobación, desde la continua hasta la anual, y la valida el Comité de Compliance.

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Conectar las fuentes de datos de RRHH, la nómina, el ATS, el canal de denuncias y el ERP ¿Están conectados como fuentes de datos en solo lectura todos los sistemas operativos relevantes (A3, Sage, Cegid, Bizneo, SAP SuccessFactors, Workday, Personio y las plataformas GRC como ServiceNow, OneTrust o NAVEX)? Motor de reglas Proveedor

Regla determinista de conexión a los sistemas operativos en modo solo lectura, sin escritura: la nómina, el ATS, la planificación de turnos, el registro horario, los datos maestros de RRHH, el plan de igualdad, el registro retributivo, el canal de denuncias y las plataformas GRC. La conexión se hace por API REST con autenticación OAuth, cifrado en tránsito, el registro de actividades de tratamiento del art. 30 del RGPD y control de acceso por roles.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Proveedor

Ejecutar las comprobaciones continuas de las reglas contra los datos operativos y clasificar la gravedad ¿Se ejecuta la comprobación automática de las reglas contra los datos en cada ciclo definido (continuo, diario, mensual o trimestral), clasificando la gravedad entre información, advertencia, crítico y escalado? Motor de reglas Auditor

Regla determinista de un motor de reglas, sin IA: cada regla se evalúa contra los datos operativos, se comparan los umbrales y se clasifica la gravedad de la desviación. Una desviación puntual menor es información y se registra; una desviación repetida es advertencia e informa al responsable del proceso; una violación sistemática es crítica y escala a RRHH y al Compliance Officer en 24 horas; y una violación comunicable a una autoridad o con riesgo penal escala a la Dirección, el Comité de Compliance y el Consejo de Administración. Todo queda en el audit-trail del Decision Layer.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Detectar anomalías asistidas por IA en patrones inusuales, con auditoría de sesgo y DPIA (RGPD art. 35 y AI Act) ¿Cómo se detectan los patrones anómalos no cubiertos por las reglas explícitas (agrupaciones de discriminación, sesgo algorítmico o comportamientos inusuales), con auditoría de sesgo y DPIA conforme al RGPD art. 35 y el AI Act? Agente IA

Análisis asistido por ML que detecta anomalías como indicador, no como decisión final: agrupaciones de discriminación que las reglas explícitas no detectan, como una brecha de promoción oculta entre departamentos, un sesgo de selección en el ATS o un patrón de acoso en varios departamentos. La validación humana del Compliance Officer, la Asesoría Jurídica, el DPO y el Comité de Compliance es previa al escalado. Conlleva la DPIA del art. 35 del RGPD, el registro ante la AESIA, la intervención humana significativa y la transparencia algorítmica de la Carta de Derechos Digitales.

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por:

Tramitar la denuncia del canal de la Ley 2/2023, con plazos de 7 días para el acuse y 3 meses para la respuesta ¿Cómo se tramita la denuncia recibida por el canal interno conforme a la Ley 2/2023 y la Directiva 2019/1937, con acuse de recibo en 7 días, respuesta motivada en 3 meses y protección frente a represalias? Humano

Decisión humana obligatoria del Compliance Officer, la Asesoría Jurídica, un investigador independiente y el DPO. La denuncia entra por el canal interno, obligatorio en las empresas de más de 50 personas, o por el canal externo de la Autoridad Independiente, con acuse de recibo en 7 días, investigación confidencial, medidas cautelares de protección del denunciante frente a represalias e informe motivado en un plazo de respuesta de 3 meses. La decisión de archivar, sancionar o escalar a la Fiscalía es humana. Las represalias contra el denunciante se sancionan con hasta 1 millón de euros.

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por:

Verificar el cumplimiento del RGPD: registro de tratamientos (art. 30), medidas de seguridad (art. 32) y DPIA (art. 35) ¿El registro de actividades de tratamiento está actualizado (art. 30), con las medidas de seguridad (art. 32), la DPIA en los tratamientos de alto riesgo (art. 35) y la comunicación a la AEPD en 72 horas si hay brecha? Motor de reglas Auditor

Regla determinista que verifica el cumplimiento del RGPD: que el registro de actividades de tratamiento esté actualizado para cada tratamiento de RRHH (nómina, ATS, plan de igualdad, canal de denuncias, videovigilancia o geolocalización), con sus finalidades, categorías de datos, destinatarios y plazos; que se apliquen las medidas de seguridad del art. 32 (seudonimización, cifrado y verificación regular); que se haya hecho la DPIA del art. 35 en los tratamientos de alto riesgo; y que una brecha de seguridad se comunique a la AEPD en 72 horas. La sanción puede llegar al 4 por ciento de la facturación.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Activar el protocolo de prevención del acoso (LO 3/2007 art. 14 y Ley 31/1995), con su comisión instructora ¿Cómo se activa el protocolo de prevención del acoso (LO 3/2007 art. 14 y Ley 31/1995), con la comisión instructora y su investigación confidencial, cuando se recibe una denuncia? Humano

Decisión humana obligatoria del Compliance Officer, RRHH, la Asesoría Jurídica, un investigador externo independiente y el Comité de Empresa. Consiste en activar el protocolo de prevención del acoso conforme al plan de igualdad y a la Ley 31/1995 de prevención, con una comisión instructora que lleva la investigación confidencial, las medidas cautelares de protección de la persona acosada y un informe motivado. De él pueden derivar la sanción disciplinaria y la comunicación al Comité de Empresa, al Instituto de las Mujeres y a la ITSS. Todo queda en el audit-trail del Decision Layer.

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por:

Verificar la cuota del 2 por ciento de empleo para personas con discapacidad (LGD RDL 1/2013) o sus medidas alternativas ¿Se cumple la cuota del 2 por ciento de empleo para personas con discapacidad en las empresas de más de 50 trabajadores, o sus medidas alternativas (donaciones, centros especiales de empleo o enclaves laborales)? Motor de reglas Auditor

Regla determinista que verifica la cuota de discapacidad: calcula la plantilla media del trimestre anterior en las empresas de más de 50 trabajadores, comprueba que el 2 por ciento sean empleados con discapacidad reconocida y, si no se cumple de forma directa, verifica las medidas alternativas del RD 364/2005 (donaciones a fundaciones, contratos con centros especiales de empleo o enclaves laborales). Genera el certificado de cumplimiento y lo comunica a la ITSS cuando procede. El incumplimiento puede sancionarse como infracción muy grave de hasta 225.018 EUR, con retirada de las bonificaciones.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Validar la prevención del blanqueo de capitales (Ley 10/2010 y SEPBLAC), con la diligencia debida del cliente ¿Están implementadas las obligaciones antiblanqueo de los sujetos obligados (Ley 10/2010): diligencia debida del cliente, comunicación de operaciones sospechosas al SEPBLAC, órgano de control interno y auditoría externa anual? Motor de reglas Auditor

Regla determinista que verifica las obligaciones antiblanqueo de la Ley 10/2010 cuando la empresa es sujeto obligado (entidades financieras, auditores, abogados, notarios, agentes inmobiliarios, comerciantes de joyas o prestadores de servicios de monedas virtuales): los procedimientos de diligencia debida con el cliente, la comunicación de operaciones sospechosas al SEPBLAC, el órgano de control interno con auditoría externa anual y la retención de la documentación durante 10 años. El incumplimiento es una infracción muy grave del SEPBLAC, sancionable hasta 10 millones de euros.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Activar el programa de cumplimiento penal (Código Penal art. 31 bis, UNE 19601 e ISO 37301) ¿Está vigente el programa de cumplimiento penal del art. 31 bis del Código Penal (UNE 19601 e ISO 37301), con su órgano de control, canal de denuncias, sistema disciplinario y revisión periódica? Humano Auditor

Decisión humana obligatoria del Comité de Compliance, el Compliance Officer, la Asesoría Jurídica y el Consejo de Administración. Consiste en validar la vigencia del programa de cumplimiento penal del art. 31 bis del Código Penal, que atenúa la responsabilidad penal de la persona jurídica: el modelo de organización y prevención de delitos, un órgano de control independiente con competencia autónoma que reporta al Consejo, el canal de denuncias confidencial, el sistema disciplinario y su revisión anual, con certificación externa conforme a las normas UNE 19601 e ISO 37301. La Ley de Sociedades de Capital exige a los administradores los deberes de lealtad, cuidado y diligencia.

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Impugnable por: Auditor

Verificar el reporte CSRD (ESRS S1-16 de incidentes de discriminación, S1-17 y G1) y la preparación de la CSDDD (RD 109/2025) ¿El reporte CSRD está completo, con los incidentes de discriminación (ESRS S1-16), los acuerdos colectivos (S1-17) y la conducta empresarial (G1), y preparada la diligencia debida de la CSDDD, conforme al RD 109/2025? Motor de reglas Auditor

Regla determinista que verifica el reporte de sostenibilidad CSRD conforme al RD 109/2025: los incidentes de discriminación y acoso con sus sanciones y medidas correctoras, la cobertura de la negociación colectiva, la conducta empresarial con sus políticas anticorrupción y de relación con los proveedores, y la preparación de la diligencia debida en sostenibilidad de la Directiva 2024/1760, con transposición prevista para 2027. El informe lo verifican expertos independientes del ICAC, bajo supervisión de la CNMV en las cotizadas, y el incumplimiento de la divulgación puede sancionarse hasta 10 millones de euros.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Notificar al Comité de Empresa (ET art. 64), el plan de igualdad y el convenio colectivo ¿Está bien documentada la comunicación al Comité de Empresa en su derecho de información trimestral (ET art. 64), junto con el plan de igualdad, la auditoría retributiva, el protocolo de acoso y el canal de denuncias de la Ley 2/2023? Motor de reglas Auditor

Verificación formal de que el expediente de cumplimiento esté listo para presentarse al Comité de Empresa, que tiene derecho a información trimestral sobre la situación económica, la estructura de la plantilla, las estadísticas de absentismo y accidentes, el plan de igualdad, la auditoría retributiva, el protocolo de prevención del acoso, el canal de denuncias y el registro de actividades de tratamiento. Se acuerda con la comisión negociadora paritaria, dentro del marco del convenio colectivo aplicable.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Registro de decisión y derecho a impugnar

Cada decisión que este agente toma o prepara se documenta en un registro de decisión completo. Los empleados afectados pueden revisar, comprender e impugnar cada decisión individual.

¿Qué regla en qué versión se aplicó?
¿En qué datos se basó la decisión?
¿Quién (humano, motor de reglas o IA) decidió - y por qué?
¿Cómo puede la persona afectada presentar una objeción?
Cómo el Decision Layer lo implementa arquitectónicamente →

¿Este agente encaja en su proceso?

Analizamos su proceso concreto y mostramos cómo este agente se integra en su entorno de sistemas. 30 minutos, sin preparación necesaria.

Analizar su proceso

Notas de governance

EU AI Act: No alto riesgo
Este agente no es un sistema de IA de alto riesgo según el Reglamento Europeo de IA cuando se limita a monitorizar procesos y señalar desviaciones sin tomar decisiones automatizadas sobre las relaciones laborales; el alto riesgo solo aplica cuando un algoritmo toma decisiones individuales sobre las personas. La distinción entre monitorizar procesos y vigilar a los empleados debe mantenerse con claridad: el agente comprueba si los procesos organizativos operan dentro de parámetros definidos (límites de jornada, flujos de aprobación, reglas de retención de datos, cuota de discapacidad o plan de igualdad), no sigue el comportamiento individual de los empleados. El marco regulatorio aplicable es muy amplio: los derechos básicos y la no discriminación del Estatuto de los Trabajadores, la igualdad efectiva de la LO 3/2007 con su plan de igualdad y registro retributivo, el canal de denuncias de la Ley 2/2023 con la Autoridad Independiente, la protección de datos del RGPD y la LOPDGDD con su registro de tratamientos y DPIA, la prevención de riesgos de la Ley 31/1995, la responsabilidad penal de la persona jurídica del art. 31 bis del Código Penal con sus programas de cumplimiento, el Reglamento Europeo de IA, los derechos digitales de la Ley 12/2024, la prevención del blanqueo de capitales de la Ley 10/2010, la diligencia debida en sostenibilidad de la Directiva CSDDD, los estándares ISO y UNE de cumplimiento, la cuota de discapacidad y la responsabilidad de los administradores de la Ley de Sociedades de Capital. Cualquier dato personal tratado en la monitorización queda protegido, y las categorías especiales exigen base reforzada, DPIA e intervención humana significativa. Los registros de cumplimiento se conservan durante los plazos que marcan la prescripción, el antiblanqueo y el canal de denuncias. El Decision Layer registra la trazabilidad de cada decisión para la defensa posterior ante reclamaciones por discriminación o acoso y procedimientos sancionadores. Las sanciones son acumulables: la ITSS puede multar hasta 225.018 EUR con paralización de la actividad, la AEPD hasta el 4 por ciento de la facturación mundial, la Autoridad Independiente las represalias hasta 1 millón, el SEPBLAC el blanqueo hasta 10 millones, la AESIA hasta el 7 por ciento por sistemas prohibidos, y el Código Penal la responsabilidad penal de la persona jurídica con suspensión de actividades, prohibición de contratar con las administraciones públicas y, en el extremo, su disolución.

Evaluación

Agent Readiness 64-71%
Governance Complexity 51-58%
Economic Impact 58-65%
Lighthouse Effect 41-48%
Implementation Complexity 44-51%
Volumen de transacciones Diario

Requisitos previos

  • Sistema gestión compliance HR (A3 Wolters Kluwer Compliance + Sage Compliance + Cegid Visma Meta4 PeopleNet Compliance + Bizneo HR Compliance + Holded Compliance + SAP SuccessFactors Spain Compliance + Workday HCM Spain Compliance + Personio Spain Compliance + ServiceNow GRC + OneTrust + NAVEX EthicsPoint + EQS Group) con modelo datos estructurado + API integración + audit trail decisiones compliance
  • Inventario marco normativo aplicable empresa actualizado anualmente (ET + LO 3/2007 + RD 901/2020 + RD 902/2020 + Ley 2/2023 + LOPDGDD + RGPD + Ley 31/1995 PRL + LGD + Código Penal art. 31 bis + EU AI Act + CSDDD + AML Ley 10/2010 + Convenio Colectivo aplicable REGCON + políticas internas)
  • Catálogo reglas verificables máquina + indicadores compliance medibles + números versión + periodos vigencia traducidos textos legales + cláusulas Convenio Colectivo + políticas internas Código Ético
  • Conexiones API sistemas operativos sólo lectura nómina + ATS + planificación turnos + registro horario + datos maestros RRHH + plan igualdad + registro retributivo + canal denunciantes + GRC + benchmarks externos + cifrado TLS + RAT RGPD art. 30 + RBAC role-based access control
  • Programa Compliance Penal Código Penal art. 31 bis + UNE 19601 + ISO 37301 + ISO 37001 antisoborno + órgano control independiente Compliance Officer + canal denuncias confidencial + sistema disciplinario + revisión periódica anual
  • Protocolo prevención acoso sexual y por razón sexo Real Decreto 1620/2011 + plan igualdad RD 901/2020 protocolo acoso + Ley 31/1995 PRL riesgos psicosociales NTP 854 + 891 + 892 INSST + comisión instructora investigación confidencial
  • Marco control acceso datos compliance (RBAC role-based access control) Compliance Officer + RRHH + DPO + Asesoría Jurídica + auditor cuentas ICAC + comité empresa + clasificación sensibilidad datos compliance
  • Acuerdo comité empresa monitorización compliance ET art. 64 + plan igualdad RD 901/2020 + auditoría retributiva RD 902/2020 + protocolo acoso + canal denunciantes Ley 2/2023 + comisión negociadora paritaria empresa-representación legal trabajadores
  • Plantillas informes cumplimiento por requisito regulatorio (ITSS + AEPD + Instituto Mujer + AAI + AESIA + SEPBLAC + Fiscalía Anticorrupción + comité empresa + Consejo Administración) con audit trail completo + huella IA + cita estatuto + base legal
  • DPIA evaluación impacto protección datos RGPD art. 35 + EU AI Act compliance cuando algoritmos IA detectan anomalías + clusters discriminación + AEPD guía DPIA 2023 + intervención humana significativa art. 22 RGPD + AESIA registro alto riesgo Ministerio Justicia 2 agosto 2026

Qué contiene esta evaluación: 9 diapositivas para su equipo directivo

Personalizada con sus datos. Generada en 2 minutos en su navegador. Sin carga, sin inicio de sesión.

  1. 1

    Portada - Nombre del proceso, puntos de decisión, potencial de automatización

  2. 2

    Resumen ejecutivo - FTE liberados, coste por transacción, fecha de amortización

  3. 3

    Situación actual - Volumen de transacciones, costes de error, escenario de crecimiento

  4. 4

    Arquitectura de solución - Humano - motor de reglas - agente IA

  5. 5

    Gobernanza - EU AI Act, comité de empresa/GoBD, pista de auditoría

  6. 6

    Análisis de riesgos - 5 riesgos con probabilidad e impacto

  7. 7

    Hoja de ruta - Plan de 3 fases con fechas concretas

  8. 8

    Caso de negocio - Comparación de 3 escenarios más matriz de sensibilidad

  9. 9

    Propuesta de discusión - Próximos pasos concretos

Incluye: comparación de 3 escenarios

No hacer nada vs. nueva contratación vs. automatización - con su nivel salarial, su tasa de error y su plan de crecimiento.

Mostrar metodología de cálculo

Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours

Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor

Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)

FTE: Saved hours ÷ 1,720 annual work hours

Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)

New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE

Todos los datos permanecen en su navegador. Nada se transmite a ningún servidor.

Agente Monitoreo Cumplimiento HR

Initial assessment for your leadership team

A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.

All data stays in your browser. Nothing is transmitted.

Agentes relacionados

Agente Políticas Documentales RRHH

Una única fuente de verdad para las políticas de RRHH, con versionado, flujo de aprobación, consulta al comité de empresa según el ET art. 64 y acuse de recibo trazable - la gestión del ciclo de vida de las políticas en lugar de 60 PDF en SharePoint, para Dirección de RRHH, Compliance, Servicio Jurídico Laboral y Comité de Auditoría.

D K
Readiness: 68-75%
Economic: 51-58%
Governance: 64-71%
Microdecisiones: 15
Semanal

Works Council Coordination Agent

Estructura el diálogo con representantes de los trabajadores - plazos cumplidos, documentación completa.

D W
Readiness: 56-63%
Economic: 38-45%
Governance: 61-68%
Microdecisiones: 8
Mensual

Preguntas frecuentes

¿Cómo se cumple la obligación del canal de denuncias de la Ley 2/2023 (transposición de la Directiva 2019/1937) y la AAI?

La Ley 2/2023, que transpone la Directiva 2019/1937, obliga a las empresas de más de 50 personas a un canal de denuncias. El canal interno debe ser confidencial y accesible por escrito, de palabra o en una reunión presencial si el informante lo pide, y existe además el canal externo de la Autoridad Independiente (AAI) cuando lo prefiera o el interno no funcione. El plazo es de 7 días para el acuse y 3 meses para la respuesta motivada, con la decisión de archivar, sancionar o escalar a la Fiscalía. Cubre las infracciones graves del Derecho de la UE, penales y administrativas, el acoso, la discriminación, la corrupción y el blanqueo, entre otras. Protege frente a represalias al informante, los testigos y los facilitadores, con inversión de la carga de la prueba, y garantiza el anonimato y la protección de datos. La AAI sanciona las represalias y la obstaculización hasta 1 millón EUR. Para una empresa de 1.500 empleados, la implementación incluye una plataforma certificada (NAVEX, EQS, OneTrust), un procedimiento de investigación confidencial y un audit-trail completo con los reportes a la AAI.

¿Cómo se cumple la responsabilidad penal de la persona jurídica del Código Penal art. 31 bis, con su programa de cumplimiento (UNE 19601 e ISO 37301)?

El art. 31 bis del Código Penal establece la responsabilidad penal de la persona jurídica y, en el art. 31 quater, la atenúa con un programa de cumplimiento penal. Ese programa exige un modelo de organización y prevención de delitos con sus controles, políticas y código ético; un órgano de control independiente con competencia autónoma que reporta directamente al Consejo de Administración; un canal de denuncias confidencial de la Ley 2/2023; un sistema disciplinario; y una revisión anual. Las normas UNE 19601 e ISO 37301 (junto con la ISO 37001 antisoborno) permiten certificarlo externamente. Los delitos imputables a la persona jurídica incluyen la estafa, el cohecho, el blanqueo de capitales, los delitos fiscales y contra la Seguridad Social, los delitos contra los trabajadores y la revelación de secretos, entre otros. Las penas van de la multa proporcional a la facturación a la suspensión de actividades, la prohibición de contratar con las administraciones públicas y, en el extremo, la disolución. Para una empresa de 1.500 empleados, el programa incluye un Compliance Officer dedicado, un Comité de Compliance, un canal certificado, formación, auditorías internas anuales y la certificación de un auditor externo independiente.

¿Cuál es la sanción de la ITSS por incumplir el ET, el plan de igualdad, el protocolo de acoso o la cuota de discapacidad?

La ITSS controla el ET, la igualdad de la LO 3/2007, el plan de igualdad, el registro retributivo, la prevención de riesgos y la cuota de discapacidad con sanciones escalonadas de la LISOS. Las infracciones leves van de 70 a 7.500 EUR y las graves de 751 a 7.500 EUR, mientras que pasan a ser muy graves (7.501-225.018 EUR) el incumplimiento del plan de igualdad obligatorio (art. 8.12), el acoso discriminatorio (art. 8.13), la discriminación retributiva por razón de sexo (art. 8.13 ter), la cuota de discapacidad (art. 15) y la falta de protección de la víctima de violencia de género (art. 15.5). En prevención de riesgos, las muy graves llegan a 187.515 EUR. La reincidencia muy grave duplica la sanción y puede acarrear la inhabilitación para la contratación pública, la retirada de bonificaciones y la paralización de la actividad. El plan de acción de la ITSS 2024-2026 prioriza la igualdad retributiva, el acoso, el canal de denuncias y la cuota de discapacidad. En una empresa de 1.500 empleados con incumplimientos recurrentes, la sanción acumulada puede superar los 900.000 EUR, además de las reclamaciones en la jurisdicción social.

¿Es vigilancia empleados este agente o monitorización procesos?

Es monitorización de procesos, no vigilancia de empleados. El agente comprueba si los procesos organizativos operan dentro de unos parámetros definidos (los límites de jornada, los flujos de aprobación, las reglas de retención de datos, la cuota del 2 por ciento de discapacidad, el plan de igualdad, el protocolo de acoso o el canal de denuncias), pero no sigue el comportamiento individual de las personas. La distinción es fundamental: el Reglamento Europeo de IA clasifica como de alto riesgo los sistemas de empleo solo cuando los algoritmos deciden de forma individual sobre la selección, la promoción o la evaluación del desempeño; el RGPD art. 22 prohíbe las decisiones automatizadas sin intervención humana significativa; y el art. 88 exige garantizar en el contexto laboral la dignidad y la intimidad. La Ley 12/2024 de derechos digitales y la LOPDGDD regulan la videovigilancia, la geolocalización y el uso de dispositivos, con DPIA, y el ET art. 64 reconoce al Comité de Empresa el derecho a ser consultado sobre los sistemas de monitorización, su alcance y los datos que generan. El acuerdo con el Comité define de forma explícita el alcance, los indicadores controlados y los receptores de las alertas, y la AESIA, la AEPD y la ITSS verifican el cumplimiento.

¿Cómo se gestionan la auditoría de sesgo y la DPIA del RGPD art. 35, el AI Act 2024/1689 y la AESIA?

El RGPD art. 35, el Reglamento Europeo de IA y la AESIA regulan los sistemas de IA de monitorización del cumplimiento. La DPIA es obligatoria cuando hay alto riesgo para los derechos de las personas (videovigilancia masiva, decisiones automatizadas, monitorización del desempeño o IA de empleo). El AI Act clasifica como de alto riesgo los sistemas de empleo (Anexo III, 4.b), con registro en la AESIA, audit-trail, supervisión humana, información al trabajador y derecho a impugnar, además de un sistema de gestión de la calidad. La auditoría de sesgo comprueba de forma sistemática que los algoritmos no discriminen por género, edad, origen, discapacidad, afiliación sindical o religión, revisando los datos de entrenamiento y aplicando métricas de equidad como la paridad demográfica y la igualdad de oportunidades. La operación general de este agente, que monitoriza procesos sin decidir de forma automatizada, no es de alto riesgo, y la detección de anomalías por IA es un indicador, no la decisión final: la valida el Compliance Officer y el DPO. Cuando la IA genera recomendaciones individuales, el art. 22 exige intervención humana significativa, información clara y derecho a impugnar. Las sanciones llegan al 4 por ciento de la facturación por el RGPD y hasta el 7 por ciento por el AI Act.

¿En qué se diferencia el Compliance Monitoring Agent del Compensation Benchmarking Agent y del Audit Agent?

Los tres operan en el dominio de cumplimiento de RRHH, pero con focos distintos. El Compliance Monitoring Agent (este) monitoriza de forma continua todos los marcos normativos aplicables a la empresa (el ET, la igualdad, el canal de denuncias, la protección de datos, la prevención de riesgos, la cuota de discapacidad, el cumplimiento penal, el AI Act y el antiblanqueo), clasificando la gravedad de las desviaciones y con auditoría de sesgo, protocolo de acoso y reporte CSRD; su salida es el panel de control, el canal de denuncias auditable y los paquetes de evidencia para la ITSS, la AEPD, el Instituto de las Mujeres, la AAI y el SEPBLAC. El Compensation Benchmarking Agent realiza el benchmarking retributivo y la auditoría retributiva, con foco en la igualdad retributiva, el registro del RD 902/2020 y la Pay Transparency; su salida es el análisis de brecha salarial. El Audit Agent prepara las auditorías internas y externas conforme a las NIA-ES y la ISO 19011, con sus cuestionarios y papeles de trabajo. Se complementan: cuando este agente detecta desviaciones recurrentes, deriva al Audit Agent para una auditoría profundizada; cuando ese finaliza, sincroniza aquí sus hallazgos; y comparte con el de compensación el registro retributivo, el plan de igualdad y la información al Comité de Empresa.

¿Cómo se cumple la cuota del 2 por ciento de empleo para personas con discapacidad (LGD RDL 1/2013) y sus medidas alternativas (RD 364/2005)?

La Ley General de los Derechos de las Personas con Discapacidad (RDL 1/2013) y el RD 364/2005 de medidas alternativas regulan esta obligación. Las empresas de 50 o más trabajadores deben reservar el 2 por ciento de su empleo a personas con discapacidad reconocida del 33 por ciento o superior, calculado sobre la plantilla media del trimestre anterior. El cumplimiento es directo mediante la contratación o, cuando hay una excepción justificada por razones técnicas, económicas u organizativas, mediante las medidas alternativas del RD 364/2005: contratos con centros especiales de empleo para el suministro de bienes o servicios (por un valor anual mínimo de tres veces el SMI por trabajador no contratado), donaciones a fundaciones de integración laboral (por una vez y media el SMI), enclaves laborales o un plan de empresa autorizado por el Servicio Público de Empleo. La empresa genera el certificado de la situación y lo comunica a la ITSS cuando procede. El incumplimiento es una infracción grave (626-6.250 EUR) o muy grave (7.501-225.018 EUR), con retirada de las bonificaciones. Para una empresa de 1.500 empleados, la cuota mínima es de 30 personas con discapacidad o su equivalente en medidas alternativas, con un audit-trail anual y el reporte a la ITSS.

¿Qué pasa después?

1

30 minutos

Primera reunión

Analizamos su proceso e identificamos el punto de inicio óptimo.

2

1 semana

Discover

Mapeo de su lógica de decisión. Reglas documentadas, Decision Layer diseñado.

3

3-4 semanas

Build

Agente productivo en su infraestructura. Gobernanza, audit trail, cert-ready desde el día 1.

4

12-18 meses

Autosuficiencia

Acceso completo al código fuente, prompts y versiones de reglas. Sin vendor lock-in.

Implementar este agente?

Evaluamos su paisaje de procesos y mostramos como este agente encaja en su infraestructura.