Agente Datos Maestros Empleados HR - RGPD art. 5/17/35, LOPDGDD | Gosign
Plataforma centralizada datos maestros empleados España como cadena microdecisiones documentadas - reglas formales clasificación categoría + minimización + retención por base legal, IA asistida detección anomalías cross-sistema + sugerencias supresión Derecho al Olvido, validación humana DPO antes operaciones críticas categorías especiales art. 9.
Plataforma datos maestros empleados: RGPD art. 5 minimización, art. 17 Derecho al Olvido y LOPDGDD art. 87-91 - Master-Data-Management con DPIA y comité empresa ET art. 64.
Analizar su procesoAuswahl aus über 5.000 Projekten in 25 Jahren Softwareentwicklung
Plataforma centralizada datos maestros empleados como cadena microdecisiones documentadas RGPD art. 5+9+22+35+88 ámbito laboral + LOPDGDD + ET art. 17+20 control empresarial + AEPD Plan Estratégico 2024-2027 + Ley 12/2024 Carta Derechos Digitales
El agente clasifica datos empleados forma determinista por categoría RGPD (identificación + económicos + categorías especiales art. 9 + compliance), aplica minimización art. 5.1.c + Privacy by Design art. 25 + retención justificada art. 5.1.e + RGPD art. 88 ámbito laboral, mantiene RAT art. 30 + DPIA art. 35 categorías especiales actualizado y procesa Derecho al Olvido art. 17 cross-sistema; detección anomalías cross-sistema mediante extracción IA + intervención humana significativa art. 22 + AESIA EU AI Act + Carta Derechos Digitales Ley 12/2024; aprobación humana DPO + Director RRHH + Compliance Officer antes operaciones críticas categorías especiales + cuatro ojos cuenta bancaria + ET art. 20 control empresarial datos + sincronización cifrada cross-sistema A3 + Sage + Cegid + SAP + Workday + Personio + Bizneo + Factorial.
Resultado: Las nuevas obligaciones por AEPD Plan Estratégico 2024-2027 + Ley 12/2024 Carta Derechos Digitales + EU AI Act 2 agosto 2026 + Ley 7/2024 NIS2 transposición + LOPDGDD art. 87-91 monitorización tecnológica + Ley 2/2023 personas informantes suman docenas requisitos protección datos empleados; con 1.500 empleados y plataforma datos descentralizada sin RAT + DPIA + Derecho al Olvido basta una brecha categorías especiales art. 9 para sanción AEPD art. 83.5 RGPD 4% facturación mundial 20 millones EUR + Ley 7/2024 NIS2 hasta 10 millones EUR + AAI 1 millón EUR + responsabilidad civil administradores LSC art. 236 + 237.
El problema subyacente no son datos mismos, sino arquitectura sincronización + evidencia disponible momento auditoría AEPD - el agente descompone gestión datos empleados en 13 microdecisiones - 6 deterministas tier R + 5 IA asistidas tier A + 2 confirmaciones humanas tier H - cada una con lógica justificación + audit trail sistema fuente + cita base legal RGPD + camino impugnación empleado + comité empresa.
Tres sistemas, una misma dirección, tres semanas retraso - sanción AEPD 4% facturación + categorías especiales art. 9 + ausencia DPIA + Derecho al Olvido
Un cambio dirección empleado en España no es operación administrativa. Es cadena microdecisiones documentadas - clasificación tipo dato según categoría RGPD + base legal art. 6 + minimización art. 5.1.c + retención justificada art. 5.1.e + Privacy by Design art. 25 + RAT art. 30 + sincronización cross-sistema A3 + Sage + Cegid + SAP + Workday + Personio + Bizneo + Factorial + Derecho al Olvido art. 17 + audit trail Decision Layer. La gestión datos maestros empleados España se posiciona entre seis temas paralelos: RGPD art. 5+9+17+22+25+30+35+88, LOPDGDD art. 87-91 derechos digitales + monitorización + videovigilancia + geolocalización + desconexión digital, ET art. 17+20+20bis+22, AEPD Plan Estratégico 2024-2027 + Carta Derechos Digitales Ley 12/2024, Ley 2/2023 canal denunciantes, Ley 7/2024 NIS2 + INCIBE 24h-72h-1 mes.
Sanciones acumulables superan 5 millones EUR
AEPD aplica RGPD art. 83.5 hasta 4% facturación mundial o 20 millones EUR base legal incorrecta + categorías especiales art. 9 sin base reforzada + ausencia DPIA art. 35 + ausencia RAT art. 30 + ausencia Privacy by Design art. 25 + decisión automatizada sin intervención humana significativa art. 22 + Derecho al Olvido art. 17 incumplimiento. RGPD art. 83.4 hasta 2% o 10 millones EUR ausencia notificación brecha 72h + ausencia DPO. ITSS LISOS art. 8 muy grave 7.501-225.018 EUR datos discriminatorios ET art. 17 + monitorización abusiva LOPDGDD art. 87-91 + ausencia comunicación comité empresa ET art. 64. AAI Ley 2/2023 art. 63 muy grave hasta 1 millón EUR represalia + acceso indebido datos canal. Ley 7/2024 NIS2 hasta 10 millones EUR + 2% facturación. Coordinación APDCAT + AVPD + ARM + AESIA + INCIBE + Fiscalía Anticorrupción. Responsabilidad civil administradores LSC art. 226 + 236 + 237. Jurisdicción social tutela derechos fundamentales LRJS Ley 36/2011 art. 181.
Tres semanas hasta sincronización, dos sistemas con datos contradictorios
Una empresa 1.500 empleados con tres centros trabajo opera A3 Master Data + Cegid Visma Meta4 control horario + SAP HCM accesos + Personio HR portal + Bizneo plan pensiones + canal denunciantes Ley 2/2023 separado. Cuando empleado se muda y comunica nueva dirección, técnico RRHH actualiza A3 + abre Cegid + cambia dato + accede SAP + envía correo Personio. Tres semanas después llega nómina dirección antigua porque actualización Personio quedó pendiente vacaciones técnico. Otro empleado cambia situación fiscal pero técnico olvida IT Mutua + AEPD detecta deriva sistemática auditoría. Otro empleado solicita Derecho al Olvido art. 17 RGPD pero supresión queda pendiente canal denunciantes + AAI sanciona 200.000 EUR.
Por qué los datos maestros no son problema administrativo - son problema sincronización + RGPD
Este agente sigue principio Decision Layer: cada decisión basada reglas, asistida IA o asignada persona DPO + Director RRHH + Compliance Officer. A partir 500 empleados cada cambio genera reacción cadena tres siete sistemas - personal + nómina + control horario + accesos + plan pensiones + portal empleado + canal denunciantes. Cada sistema tiene reglas validación + permisos + retención + base legal propios.
El 37 por ciento errores nómina se originan introducción manual datos. Coste medio por error 265 EUR. Para 1.000 empleados acumula 230.000 EUR año - sin contar sanción AEPD ausencia base legal categorías especiales art. 9. Tasa error crece exponencialmente - cada sistema destino adicional multiplica probabilidad sincronización olvidada + brecha seguridad RGPD art. 33 + Ley 7/2024 NIS2 INCIBE.
Donde se produce daño real
Daño visible es nómina incorrecta. Daño invisible más grave: AEPD detecta tratamiento categorías especiales art. 9 sin base reforzada + ausencia DPIA art. 35 + ausencia RAT art. 30 + ausencia Privacy by Design art. 25 = sanción 4% facturación. Tercio empresas reconoce procesos reglas mantenimiento datos maestros no definidos. Nadie sabe si todos sistemas tienen mismo estado.
Las consecuencias: Inconsistencias nómina - cambio situación fiscal sistema RRHH pero no nómina. Empresa responde AEAT Modelo 111 + 190 + TGSS regularización. Infracciones RGPD art. 5.1.d exactitud datos personales. Si tres sistemas muestran tres direcciones distintas, cuál correcta. Riesgos auditoría AEPD + APDCAT + AVPD + ARM - auditores encuentran discrepancias entre sistemas. Confianza empleado - 22 por ciento reporta retrasos errores nómina + RGPD art. 22 derecho intervención humana significativa + Carta Derechos Digitales Ley 12/2024 transparencia algorítmica.
La presión regulatoria crece más rápido que capacidad administrativa
Desde 2018 LOPDGDD LO 3/2018 art. 87-91 derechos digitales + RGPD art. 5+9+22+35+88. Desde 2023 Ley 2/2023 personas informantes + AAI. Desde 2024 EU AI Act 2024/1689 + AESIA + Ley 12/2024 Carta Derechos Digitales + Ley 7/2024 NIS2 + INCIBE. AEPD Plan Estratégico 2024-2027 prioriza datos laborales + IA en RRHH + canal denunciantes + biometría.
La brecha temporal donde nace riesgo
Infracciones gestión datos empleados nacen distancia entre momento norma cambia + momento práctica operativa adapta. LOPDGDD art. 87 entra vigor pero política monitorización ejecuta versión anterior porque RRHH no registró ajuste comité empresa ET art. 64. Ley 12/2024 obliga transparencia algorítmica decisiones automatizadas pero plataforma RRHH sigue sin información lógica significado consecuencias previstas art. 22 RGPD. Convenio Industria Química + Banca + Construcción + 1.400+ Convenios REGCON cambian frecuentemente cláusulas datos empleados ET art. 91.
Por qué automatización sola no basta
No todo cambio datos maestros es igual. Cambio dirección puede ejecutarse completamente automático - plausibilidad + código postal + propagación todos sistemas. Cambio cuenta bancaria IBAN requiere validación IBAN ES algoritmo módulo 97 + aprobación manual cuatro ojos Director RRHH + Director Financiero - automatización total sería riesgo seguridad ingeniería social.
Cambio estado civil desencadena efectos fiscales Seguridad Social - tres cambios seis meses formalmente correctos pero patrón persona debería valorar. Cambio dato salud categoría especial art. 9 RGPD requiere base reforzada art. 9.2.h medicina trabajo + servicio prevención INSST + secreto profesional médico + acceso restringido DPO. Cambio afiliación sindical art. 9.2.d derecho colectivo + comité empresa ET art. 64.
Cada tipo cambio necesita camino decisión diferente: reglas, IA reconocimiento patrones o juicio humano DPO + cita base legal RGPD aplicable.
Lo que el agente transforma
Arquitectura diferente: clasificación proactiva categorías RGPD + minimización + Privacy by Design + revisión humana DPO + sincronización cifrada cross-sistema. Clasificación dato. Motor reglas determina categoría RGPD (identificación + económicos + categorías especiales art. 9 + compliance) desde tipo dato + base legal art. 6 + RAT art. 30. Validación entrada. Verificación formato algoritmo + plausibilidad cross-validación + minimización art. 5.1.c. Detección duplicados conflictos. Matching exacto DNI/NIE + matching difuso fuzzy + extracción IA patrones inconsistencia + DPIA art. 35 + intervención humana significativa art. 22 RGPD. Aprobación humana. DPO + Director RRHH + Compliance Officer verificación cumplimiento antes operaciones críticas categorías especiales + cuatro ojos cuenta bancaria.
13 etapas microdecisiones: 6 R + 5 A + 2 H
El agente descompone gestión datos empleados en 13 microdecisiones. Las 6 deterministas tier R: clasificación tipo dato + categoría RGPD, validación formato + minimización, matriz aprobación + escalado, confirmación sincronización exitosa, procesamiento Derecho al Olvido art. 17, notificación brecha RGPD art. 33 AEPD 72h. Las 5 IA asistidas tier A: detección duplicados cross-sistema, aplicación cambio sistema maestro, propagación sistemas downstream, mantenimiento RAT + DPIA, generación paquete evidencia auditoría. Las 2 confirmaciones humanas tier H: inventario marco normativo, aprobación cambio crítico DPO + Director RRHH + Compliance Officer.
Donde permanece responsabilidad
El agente clasifica, valida, detecta conflictos, aplica cambio aprobado y propaga sistemas downstream. Lo que no hace: decidir qué ocurre. Si dato cumple base legal art. 6 + art. 9 + si retención justificada + si Derecho al Olvido procede - eso decide persona DPO + Director RRHH + Compliance Officer. Responsabilidad por exactitud datos empleados recae DPO + Director Asesoría Jurídica + Consejo Administración LSC art. 226 + 236 + 237. Esta separación es razón sistema no es alto riesgo Reglamento UE IA Act 2024/1689 anexo III categoría 4(b) - procesamiento administrativo sin decisiones empleo. ET art. 64 derecho información comité empresa aplica plan plantilla + Convenio Colectivo REGCON + plan igualdad RD 901/2020 + canal denunciantes Ley 2/2023 + ET art. 91 derechos digitales.
Edge-cases gestión datos empleados españoles
Categorías especiales art. 9 RGPD requieren aprobación obligatoria DPO: salud + biometría + afiliación sindical + orientación sexual + datos genéticos. Datos canal denunciantes Ley 2/2023 requieren cifrado reforzado + acceso restringido Compliance Officer + DPO + investigador independiente + retención 5 años + AAI. Datos sanitarios PRL art. 22 requieren servicio prevención INSST + secreto profesional médico. Empleados públicos régimen especial Ley 50/2003 + RD 1041/2003 MUFACE + ISFAS + MUGEJU datos sanitarios reforzados.
Integración con sistemas RRHH españoles
A3 Wolters Kluwer Master Data + A3 Compliance (+50.000 empresas), Sage NominaPlus + Sage Master Data (+30.000), Cegid Visma Meta4 PeopleNet + Cegid Master Data (HR Suite IBEX-35: Telefónica + BBVA + Santander + Repsol + Iberdrola + Inditex), Bizneo HR + Bizneo Master Data (canal denunciantes Ley 2/2023), Holded + Factorial Master Data (PYME), SAP SuccessFactors Spain + SAP HCM Master Data + Workday HCM Spain (enterprise + ESRS S1), Personio Spain + Personio Master Data. Plataformas data governance certificadas RGPD: OneTrust Privacy Office + OneTrust DataDiscovery + BigID España + Collibra España data catalog + lineage + RAT automatizado + DPIA art. 35 + Derecho al Olvido art. 17 + Privacy by Design art. 25 + reportes AEPD + APDCAT + AVPD + ARM + ITSS + AESIA + AAI + INCIBE.
Tabla de microdecisiones
¿Quién decide en este agente?
13 pasos de decisión, separados por decisor
Inventariar marco normativo protección datos empleados aplicable empresa RGPD + LOPDGDD + ET art. 17+20+20bis + Ley 2/2023 + PRL art. 22 + EU AI Act + Carta Derechos Digitales Ley 12/2024 Catalogar leyes + reglamentos + Convenios Colectivos REGCON + obligaciones tratamiento datos empleados aplicables empresa según sector CNAE + tamaño + comunidad autónoma + categorías especiales art. 9 RGPD? Humano Auditor
Decisión humana obligatoria responsable DPO Delegado Protección Datos + Director Asesoría Jurídica + Compliance Officer + Director RRHH + Comité Compliance: identificación universo regulatorio protección datos empleados aplicable empresa según actividad + sector CNAE + tamaño plantilla + facturación + comunidades autónomas operación + autoridad regional protección datos competente (AEPD estatal + APDCAT Cataluña + AVPD País Vasco + ARM Madrid) + categorías especiales art. 9 RGPD tratadas (salud + biometría + afiliación sindical + orientación sexual) + Convenio Colectivo REGCON aplicable + Ley 50/2003 + RD 1041/2003 MUFACE + ISFAS + MUGEJU regímenes especiales empleados públicos si aplica + Ley General Discapacidad LGD RDL 1/2013 ajustes razonables; revisión periódica anual + actualización cuando cambio normativo (Ley 12/2024 Carta Derechos Digitales + EU AI Act 2 agosto 2026 + AEPD Plan Estratégico 2024-2027 + LOPDGDD reformas + Convenio Colectivo nueva vigencia) + comunicación comité empresa ET art. 64 + comisión paritaria; documentación auditable
Registro de decisión
Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.
Impugnable por: Auditor
Recibir solicitud cambio datos empleado + clasificar tipo dato + categoría RGPD + base legal aplicable Cómo se clasifica automáticamente solicitud cambio datos empleado + tipo dato + categoría RGPD + base legal aplicable + sistema fuente + sistemas destino? Motor de reglas Auditor
Regla determinista clasificación cambio datos: (1) extracción automatizada solicitud cambio sistema fuente (A3 Master Data + Sage Master Data + Cegid Master Data + SAP HCM Master Data + Workday HCM Spain + Personio Master Data + Bizneo Master Data + Holded Master Data + Factorial Master Data) con campos identificador empleado + tipo dato + categoría profesional + sistema fuente; (2) clasificación tipo dato según categoría RGPD: datos identificación (DNI/NIE/pasaporte + nombre + dirección + teléfono + correo) base legal art. 6.1.b contrato; datos económicos (cuenta bancaria IBAN + retribución + complementos + plus convenio) base legal art. 6.1.b + art. 6.1.c obligación legal; datos categorías especiales art. 9 RGPD (salud + biometría + afiliación sindical + orientación sexual + datos genéticos) base reforzada art. 9.2 medicina trabajo + derecho colectivo + obligaciones empresario; datos compliance (canal denunciantes Ley 2/2023 + Programa Compliance Penal Código Penal art. 31 bis + KYC RD 304/2014) base legal art. 6.1.c + art. 9.2.b; (3) determinación sistemas destino mapeo cross-sistema (nómina + control horario + accesos físicos + plan pensiones + comedor + flota + portal empleado + canal denunciantes); (4) RAT art. 30 RGPD registro actividad tratamiento + finalidad + categoría + destinatarios + plazos retención + medidas seguridad; audit trail Decision Layer trazabilidad fuente cada dato
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Validar formato + plausibilidad datos entrada + minimización RGPD art. 5.1.c + Privacy by Design art. 25 Cómo se valida automáticamente formato + plausibilidad datos entrada + cumplimiento minimización RGPD art. 5.1.c + Privacy by Design art. 25 + sólo datos estrictamente necesarios finalidad? Motor de reglas
Regla determinista validación entrada: (1) verificación formato datos según esquema (DNI/NIE algoritmo módulo 23 + IBAN ES IBAN-26 algoritmo módulo 97 + código postal 5 dígitos provincia + Convenio Colectivo aplicable REGCON + categoría profesional grupo según Convenio); (2) plausibilidad cross-validación (dirección coherente con código postal localidad provincia + Convenio Colectivo coherente con sector CNAE + ubicación + categoría profesional dentro grupo profesional Convenio); (3) minimización RGPD art. 5.1.c verificación sólo datos estrictamente necesarios finalidad declarada RAT + bloqueo datos excesivos + alerta DPO; (4) Privacy by Design art. 25 RGPD configuración por defecto sólo datos mínimos + opt-in explícito para datos opcionales; (5) categorías especiales art. 9 verificación base legal reforzada (consentimiento explícito + medicina trabajo + derecho colectivo + obligaciones empresario) + flag escalado obligatorio DPO si datos salud + biometría + afiliación sindical + orientación sexual; (6) flag formato inválido + plausibilidad fallida + minimización violada + escalado revisor humano; audit trail Decision Layer
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por:
Detectar duplicados + conflictos datos cross-sistema mediante matching exacto + difuso + extracción IA patrones inconsistencia Cómo se detectan automáticamente duplicados + conflictos datos cross-sistema entre A3 + Sage + SAP + Workday + Personio + Bizneo + Factorial mediante matching exacto + difuso + IA patrones? Agente IA
Análisis IA asistido detección duplicados conflictos cross-sistema indicador NO decisión final: matching exacto identificadores únicos (DNI/NIE + número afiliación SS + número trabajador) + matching difuso fuzzy nombre + apellidos + dirección + extracción IA patrones inconsistencia (1) duplicado exacto cambio idéntico mismo empleado mismo campo pendiente sistema fuente diferente; (2) conflicto temporal cambios contradictorios mismo campo orden cronológico + ranking autoridad fuente + completitud datos; (3) conflicto cross-sistema mismo campo valor diferente entre A3 + Sage + SAP + Workday + Personio identificación deriva sistemática; (4) patrones anomalía IA estadística cambios masivos misma categoría + alertas comité empresa ET art. 64 + DPIA RGPD art. 35; (5) integración OneTrust DataDiscovery + BigID España + Collibra España data catalog + lineage; validación humana DPO + Director Asesoría Jurídica antes resolución conflicto; DPIA RGPD art. 35 + EU AI Act Article 4 AI literacy + AESIA + intervención humana significativa art. 22 RGPD + Carta Derechos Digitales Ley 12/2024 transparencia algorítmica + audit trail decisiones IA
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por:
Determinar matriz aprobación + escalado por categoría dato + sensibilidad + RGPD art. 9 categorías especiales + cuatro ojos cuenta bancaria Cómo se enruta automáticamente solicitud cambio responsable aprobación conforme matriz por categoría dato + sensibilidad + RGPD art. 9 + cuatro ojos cuenta bancaria + DPO datos sanitarios? Motor de reglas Auditor
Regla determinista matriz aprobación + escalado: (1) cambio dirección + teléfono + correo categoría datos identificación base legal art. 6.1.b contrato aprobación automática técnico RRHH; (2) cambio cuenta bancaria IBAN categoría datos económicos base legal art. 6.1.b contrato aprobación obligatoria principio cuatro ojos Director RRHH + Director Financiero antifraude ingeniería social; (3) cambio situación fiscal IRPF + cargas familiares categoría datos económicos base legal art. 6.1.c obligación legal AEAT modelo 111 + 190 aprobación obligatoria Director RRHH + Director Financiero; (4) cambio datos sanitarios + IT incapacidad temporal + accidente trabajo categoría especial art. 9 RGPD base legal reforzada art. 9.2.h medicina trabajo aprobación obligatoria DPO + servicio prevención INSST + secreto profesional médico; (5) cambio afiliación sindical categoría especial art. 9 base reforzada art. 9.2.d derecho colectivo aprobación obligatoria DPO; (6) cambio biometría reconocimiento facial + huella dactilar categoría especial art. 9 base reforzada DPIA obligatoria art. 35 + aprobación DPO + comité empresa ET art. 64; (7) cambio datos canal denunciantes Ley 2/2023 confidencialidad reforzada aprobación Compliance Officer + DPO + investigador independiente; audit trail Decision Layer trazabilidad cada enrutamiento + cita base legal RGPD
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Aprobar o rechazar cambio humano DPO + Director RRHH + Compliance Officer + verificación cumplimiento RGPD + LOPDGDD Confirma DPO + Director RRHH + Compliance Officer aprobación cambio datos empleado + cumplimiento RGPD + LOPDGDD + base legal verificada + autoriza aplicación sistema principal? Humano Auditor
Decisión humana obligatoria DPO Delegado Protección Datos + Director RRHH + Compliance Officer + Director Asesoría Jurídica revisión completa antes aplicación: (1) verificación base legal RGPD art. 6 contrato + obligación legal + interés legítimo + consentimiento + art. 9 categorías especiales reforzada; (2) verificación principio finalidad art. 5.1.b + minimización art. 5.1.c + exactitud art. 5.1.d + limitación plazo art. 5.1.e; (3) verificación LOPDGDD art. 87-91 monitorización tecnológica + videovigilancia + geolocalización + información trabajador + comité empresa; (4) verificación Convenio Colectivo aplicable REGCON + ET art. 64 derecho información comité empresa; (5) verificación canal denunciantes Ley 2/2023 cuando cambio dato denunciante + AAI + cifrado reforzado; (6) verificación PRL art. 22 cuando dato sanitario + servicio prevención INSST + secreto profesional médico; (7) verificación EU AI Act + AESIA cuando IA recomienda cambio + intervención humana significativa art. 22 RGPD; (8) firma electrónica cualificada eIDAS DPO autorización + sello tiempo + trazabilidad; documentación auditable + responsabilidad civil administradores LSC art. 226 + 236 + 237
Registro de decisión
Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.
Impugnable por: Auditor
Aplicar cambio aprobado sistema maestro RRHH + cifrado + audit trail + RAT art. 30 actualizado Cómo se aplica automáticamente cambio aprobado sistema maestro RRHH + cifrado TLS + RBAC + audit trail Decision Layer + actualización RAT art. 30 RGPD? Agente IA
Acción automatizada aplicación cambio sistema maestro: (1) escritura validada sistema principal HR (A3 Master Data + Sage Master Data + Cegid Master Data + SAP HCM Master Data + Workday HCM Spain + Personio Master Data) cifrado TLS + RBAC role-based access control + segregación funciones; (2) actualización RAT art. 30 RGPD registro actividad tratamiento + finalidad + categoría + destinatarios + plazos retención + medidas seguridad + responsable + encargado tratamiento art. 28 contratos; (3) generación token único cambio + sello tiempo cualificado eIDAS + trazabilidad + audit trail Decision Layer trazabilidad completa; (4) cumplimiento Privacy by Design art. 25 RGPD + Default + medidas técnicas organizativas adecuadas + pseudonimización art. 32 + cifrado AES-256; (5) registro evento Decision Layer + cita estatuto + base legal RGPD art. 6 + art. 9 si categoría especial + huella IA si IA recomendó; (6) integración INCIBE Instituto Nacional Ciberseguridad + RD 311/2022 ENS Esquema Nacional Seguridad + Ley 7/2024 NIS2; (7) retención audit trail justificada plazo prescripción acciones jurisdicción social art. 59.2 ET 1 año + LRJS Ley 36/2011 + Código Penal prescripción delito
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por:
Propagar cambio sistemas downstream + nómina + control horario + accesos + plan pensiones + canal denunciantes mediante mapeo certificado Cómo se propaga automáticamente cambio sistemas downstream nómina + control horario + accesos + plan pensiones + portal empleado mediante tabla mapeo + cifrado + RBAC? Agente IA Auditor
Acción automatizada propagación cambio sistemas downstream conforme tabla mapeo certificada: (1) integración sistemas destino confirmados por mapeo (nómina A3 Nóminas + Sage NominaPlus + Cegid Visma Meta4 + SAP Payroll Spain + control horario A3 + Bizneo + Factorial + accesos físicos sistema control acceso + plan pensiones VidaCaixa + Mapfre + Caser + comedor + flota); (2) verificación contrato encargado tratamiento art. 28 RGPD cada sistema destino + sub-encargado autorización + medidas seguridad equivalentes; (3) cifrado en tránsito TLS 1.3 + cifrado en reposo AES-256 + integridad MAC + autenticación mutua certificados; (4) RBAC role-based access control + segregación funciones + privilegio mínimo art. 32 RGPD; (5) verificación retención justificada cada sistema destino conforme finalidad + base legal + plazo prescripción + Derecho al Olvido art. 17 RGPD; (6) registro propagación cada destino + sello tiempo cualificado + audit trail Decision Layer; (7) cumplimiento Ley 7/2024 NIS2 transposición + RD 311/2022 ENS + INCIBE notificación incidentes 24h-72h-1 mes; (8) integración canal denunciantes Ley 2/2023 si dato denunciante con cifrado reforzado + acceso restringido Compliance Officer + DPO + investigador independiente
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por: Auditor
Confirmar sincronización exitosa todos sistemas destino + escalación fallo + reintento + alerta DPO Cómo se verifica automáticamente confirmación sincronización exitosa todos sistemas destino + manejo excepción fallo + reintento + escalación DPO? Motor de reglas Auditor
Regla determinista verificación sincronización + manejo excepciones: (1) verificación confirmación cada sistema destino con identificador transacción + sello tiempo + integridad checksum + token sesión; (2) manejo excepción fallo sincronización con reintento configurable backoff exponencial 5min/15min/1h + máximo 3 intentos + circuit breaker; (3) escalación fallo persistente DPO + Director RRHH + Compliance Officer + alerta inmediata canal seguro; (4) verificación coherencia cross-sistema posterior sincronización mediante matching exacto + difuso + alerta deriva sistemática; (5) registro fallo audit trail Decision Layer con causa + sistema fallido + acción correctiva + tiempo recuperación + responsable; (6) RGPD art. 33 notificación AEPD brecha seguridad 72h si fallo afecta integridad confidencialidad disponibilidad + art. 34 comunicación interesado riesgo alto; (7) Ley 7/2024 NIS2 notificación INCIBE incidente 24h-72h-1 mes ciberseguridad; (8) coordinación Ley 2/2023 canal denunciantes si fallo afecta dato denunciante + AAI
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por: Auditor
Procesar solicitud Derecho al Olvido art. 17 RGPD + verificación retención + supresión cross-sistema + comunicación destinatarios Cómo se procesa automáticamente solicitud Derecho al Olvido art. 17 RGPD + verificación retención justificada + supresión cross-sistema + comunicación destinatarios? Motor de reglas
Regla determinista procesamiento Derecho al Olvido art. 17 RGPD: (1) recepción solicitud empleado o ex-empleado + verificación identidad + autenticación reforzada + plazo respuesta 1 mes prorrogable 2 meses adicionales art. 12 RGPD; (2) verificación causales art. 17.1 RGPD: datos no necesarios finalidad recogida + retirada consentimiento sin otra base legal + oposición tratamiento sin motivos legítimos prevalentes + tratamiento ilícito + obligación legal supresión + datos menor; (3) verificación excepciones art. 17.3 RGPD: libertad expresión + obligación legal + interés público salud + investigación + reclamaciones jurídicas; (4) verificación retención justificada por base legal: contrato laboral 4 años SS + 5 años LRJS + 6 años LGT prescripción tributaria + 10 años KYC RD 304/2014 + plazo prescripción delito Código Penal; (5) supresión cross-sistema todos sistemas (A3 + Sage + Cegid + SAP + Workday + Personio + Bizneo + Holded + Factorial + nómina + control horario + accesos + plan pensiones + canal denunciantes); (6) comunicación destinatarios art. 19 RGPD informar destinatarios cesión cuando aplicable; (7) registro audit trail Decision Layer + base legal supresión + plazo + responsable; (8) sanción AEPD art. 83.5 RGPD 4% facturación incumplimiento Derecho al Olvido
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por:
Mantener RAT Registro Actividades Tratamiento art. 30 RGPD + DPIA art. 35 categorías especiales + actualización continua Cómo se mantiene automáticamente RAT art. 30 RGPD + DPIA art. 35 categorías especiales + actualización continua + integración con AEPD + sub-encargados art. 28? Agente IA Auditor
Acción automatizada mantenimiento RAT + DPIA: (1) RAT art. 30 RGPD registro actividades tratamiento responsable contiene nombre datos contacto responsable + DPO + finalidades + categorías interesados + categorías datos personales + categorías destinatarios + transferencias internacionales + plazos retención + medidas seguridad técnicas organizativas; (2) DPIA art. 35 RGPD obligatoria categorías especiales art. 9 + tratamiento gran escala empleados + monitorización sistemática + decisiones automatizadas significativas + biometría + canal denunciantes; (3) plantilla DPIA AEPD guía evaluación impacto 2023 + sistemática descripción tratamiento + necesidad proporcionalidad + identificación riesgos + medidas mitigación + consulta interesados representativos + comité empresa ET art. 64; (4) integración OneTrust Privacy Office + BigID España + Collibra España data catalog + lineage automatización RAT + DPIA; (5) actualización continua cuando nuevo tratamiento + cambio finalidad + nuevo encargado tratamiento art. 28 + nueva transferencia internacional + nuevo Convenio Colectivo REGCON; (6) reportes AEPD + APDCAT + AVPD + ARM + AESIA EU AI Act + AAI canal denunciantes + cooperación inter-autoridades; (7) audit trail Decision Layer + retención mínimo 5 años + verificación periódica anual + auditoría externa expertos independientes UNE 19601 + ISO 37301
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por: Auditor
Notificar brecha seguridad RGPD art. 33 AEPD 72h + art. 34 interesado + Ley 7/2024 NIS2 INCIBE + comunicación cross-autoridades Cómo se notifica automáticamente brecha seguridad datos empleados RGPD art. 33 AEPD 72h + art. 34 comunicación interesado riesgo alto + Ley 7/2024 NIS2 INCIBE 24h-72h-1 mes? Motor de reglas
Regla determinista notificación brecha seguridad: (1) detección brecha mediante alerta SIEM + IDS + monitoreo continuo + INCIBE Instituto Nacional Ciberseguridad cooperación; (2) RGPD art. 33 notificación AEPD plazo 72h conocimiento brecha cuando riesgo derechos libertades interesados + descripción naturaleza + categorías + número aproximado + datos contacto DPO + consecuencias probables + medidas adoptadas; (3) RGPD art. 34 comunicación interesado plazo razonable cuando riesgo alto + lenguaje claro + naturaleza brecha + datos contacto DPO + consecuencias probables + medidas adoptadas; (4) Ley 7/2024 NIS2 transposición notificación INCIBE 24h alerta temprana + 72h notificación incidente + 1 mes informe final cuando sectores esenciales servicios digitales; (5) coordinación AEPD + INCIBE + AAI canal denunciantes Ley 2/2023 si brecha afecta dato denunciante + Fiscalía Anticorrupción si infracción penal; (6) registro brecha audit trail Decision Layer + causa + alcance + medidas correctivas + responsable + tiempo recuperación; (7) sanción AEPD art. 83.4 RGPD hasta 2% facturación o 10 millones EUR ausencia notificación + Ley 7/2024 NIS2 hasta 10 millones EUR + 2% facturación; (8) responsabilidad civil administradores LSC art. 226 + 236 + 237 deber lealtad cuidado diligencia
Registro de decisión
Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.
Impugnable por:
Generar paquete evidencia auditoría AEPD + APDCAT + AVPD + ARM + ITSS + AESIA + AAI + comité empresa + audit trail Decision Layer Cómo se genera automáticamente paquete evidencia gestión datos empleados preparado auditoría externa + AEPD + autoridades regionales + ITSS + AESIA EU AI Act + AAI canal denunciantes + comité empresa? Agente IA Auditor
Acción automatizada generación reportes cumplimiento marcos requeridos: (1) paquete AEPD RGPD art. 5 principios + art. 6 base legal + art. 9 categorías especiales + art. 17 Derecho al Olvido + art. 22 decisiones automatizadas + art. 25 Privacy by Design + art. 28 contratos encargado + art. 30 RAT + art. 32 medidas seguridad + art. 33 notificación brecha + art. 35 DPIA + art. 88 ámbito laboral + LOPDGDD art. 87-91; (2) paquete APDCAT Cataluña + AVPD País Vasco + ARM Madrid según ubicación empresa + sector público; (3) paquete ITSS Inspección Trabajo LISOS + ET art. 17 no discriminación + art. 20 control empresarial + art. 20 bis derechos digitales + monitorización tecnológica + videovigilancia + geolocalización; (4) paquete AESIA EU AI Act Article 4 AI literacy + Article 26 deployer + supervisión humana significativa + categoría 4(b) anexo III empleo + DPIA + intervención humana significativa art. 22; (5) paquete AAI Ley 2/2023 canal denunciantes + datos denunciantes + cláusula contrato información obligatoria + plazos acuse 7 días + respuesta motivada 3 meses; (6) paquete comité empresa ET art. 64 derecho información plan plantilla + estructura + Convenio Colectivo aplicable REGCON + plan igualdad RD 901/2020 + canal denunciantes; (7) paquete INCIBE Ley 7/2024 NIS2 + RD 311/2022 ENS + notificación incidentes; audit trail Decision Layer trazabilidad cada cambio dato + huella IA si IA recomendó + cita estatuto + base legal RGPD
Registro de decisión
Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.
Impugnable por: Auditor
Registro de decisión y derecho a impugnar
Cada decisión que este agente toma o prepara se documenta en un registro de decisión completo. Los empleados afectados pueden revisar, comprender e impugnar cada decisión individual.
¿Este agente encaja en su proceso?
Analizamos su proceso concreto y mostramos cómo este agente se integra en su entorno de sistemas. 30 minutos, sin preparación necesaria.
Analizar su procesoNotas de governance
Evaluación
Requisitos previos
- Sistema maestro RRHH (A3 Wolters Kluwer Master Data + Sage Master Data + Cegid Master Data + SAP HCM Master Data + Workday HCM Spain + Personio Master Data + Bizneo + Holded + Factorial) + cifrado TLS 1.3 + AES-256 + RBAC role-based access control + segregación funciones + RAT art. 30 RGPD
- Reglas validación definidas por campo + categoría dato RGPD + minimización art. 5.1.c + Privacy by Design art. 25 + Default configuración + sólo datos estrictamente necesarios finalidad declarada + actualización anual cambios normativos
- Matriz aprobación + escalado por categoría dato + sensibilidad + RGPD art. 9 categorías especiales + cuatro ojos cuenta bancaria + DPO datos sanitarios + Compliance Officer canal denunciantes Ley 2/2023
- Interfaces integración sistemas downstream (nómina + control horario + accesos + plan pensiones + comedor + flota + portal empleado + canal denunciantes) + contrato encargado tratamiento art. 28 RGPD + sub-encargado autorización + medidas seguridad equivalentes
- Acuerdos tratamiento datos cubren todos sistemas reciben datos empleados + transferencias internacionales + cláusulas tipo SCC + decisiones adecuación + medidas suplementarias Schrems II
- DPIA evaluación impacto protección datos RGPD art. 35 obligatoria categorías especiales art. 9 + tratamiento gran escala empleados + monitorización sistemática + decisiones automatizadas significativas + biometría + canal denunciantes Ley 2/2023 + plantilla AEPD guía 2023
- RAT Registro Actividades Tratamiento art. 30 RGPD actualizado + integración OneTrust Privacy Office + BigID España + Collibra España data catalog + lineage + automatización + reportes AEPD + APDCAT + AVPD + ARM
- Plan respuesta brecha seguridad RGPD art. 33 notificación AEPD 72h + art. 34 comunicación interesado + Ley 7/2024 NIS2 INCIBE 24h-72h-1 mes + coordinación AAI Ley 2/2023 + Fiscalía Anticorrupción
- Procedimiento Derecho al Olvido art. 17 RGPD + verificación causales + excepciones + retención justificada por base legal + supresión cross-sistema + comunicación destinatarios art. 19 + plazo respuesta 1 mes prorrogable 2 meses
- Acuerdo comité empresa ET art. 64 + ET art. 91 derechos digitales negociación colectiva + plan plantilla + Convenio Colectivo aplicable REGCON + plan igualdad RD 901/2020 + canal denunciantes Ley 2/2023 + comisión negociadora paritaria
Contribución a la infraestructura
Qué contiene esta evaluación: 9 diapositivas para su equipo directivo
Personalizada con sus datos. Generada en 2 minutos en su navegador. Sin carga, sin inicio de sesión.
- 1
Portada - Nombre del proceso, puntos de decisión, potencial de automatización
- 2
Resumen ejecutivo - FTE liberados, coste por transacción, fecha de amortización
- 3
Situación actual - Volumen de transacciones, costes de error, escenario de crecimiento
- 4
Arquitectura de solución - Humano - motor de reglas - agente IA
- 5
Gobernanza - EU AI Act, comité de empresa/GoBD, pista de auditoría
- 6
Análisis de riesgos - 5 riesgos con probabilidad e impacto
- 7
Hoja de ruta - Plan de 3 fases con fechas concretas
- 8
Caso de negocio - Comparación de 3 escenarios más matriz de sensibilidad
- 9
Propuesta de discusión - Próximos pasos concretos
Incluye: comparación de 3 escenarios
No hacer nada vs. nueva contratación vs. automatización - con su nivel salarial, su tasa de error y su plan de crecimiento.
Mostrar metodología de cálculo
Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours
Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor
Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)
FTE: Saved hours ÷ 1,720 annual work hours
Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)
New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE
Todos los datos permanecen en su navegador. Nada se transmite a ningún servidor.
Agente Datos Maestros Empleados HR - RGPD art. 5/17/35, LOPDGDD | Gosign
Initial assessment for your leadership team
A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.
All data stays in your browser. Nothing is transmitted.
Páginas relacionadas
Agentes relacionados
Agente Self-Service Empleado - RGPD art. 12-22, eIDAS, WCAG 2.1 AA | Gosign
Plataforma autoservicio empleado RGPD art. 12-22 + Self-Service solicitudes (vacaciones + baja medica + certificados + cambio direccion) + nomina + transparencia retributiva + firma electronica cualificada eIDAS + Mobile App + Chatbot RGPD art. 22 + accesibilidad WCAG 2.1 AA - control unico portal en lugar de buzon RRHH para Direccion RRHH, Comite Empresa, DPO y Servicio TI.
Agente Procesamiento Bajas IT - RD 625/2014, Sistema RED, RGPD art. 9 | Gosign
Procesamiento determinista parte de baja IT + Sistema RED TGSS comunicación + Mutua Colaboradora SS + cálculo prestación IT base reguladora + RD 625/2014 + Convenios Colectivos REGCON complemento empresa + detección casos largos vigilancia salud Ley 31/1995 art. 22 + confidencialidad estricta Ley 41/2002 + RGPD art. 9 datos salud - parte de baja en 60 segundos en lugar de tres semanas demora postal para Director RRHH, Servicio Prevención y Servicio Médico Empresa.
Agente Control Horario - ET art. 34.9, RD-ley 8/2019, CCOO 14.5.2019 | Gosign
Validación determinista control horario + registro jornada obligatorio art. 34.9 ET + RD-ley 8/2019 transposición EuGH CCOO 14.5.2019 + RD-ley 6/2024 reducción 37,5 horas + cálculo pluses turnos nocturnidad + festividad + cumplimiento descansos art. 37 + alertas anomalías sistemáticas - registro completo en lugar de Excel manual sin validación legal para Director RRHH, Servicio Prevención y Comité Empresa.
Preguntas frecuentes
¿Cómo se cumple RGPD art. 9 categorías especiales datos empleados salud + biometría + afiliación sindical + orientación sexual + base legal reforzada?
RGPD art. 9 categorías especiales datos personales prohibición tratamiento general + excepciones art. 9.2 base legal reforzada: (1) art. 9.2.b obligaciones empresario derecho laboral + protección social ámbito Convenio Colectivo o autorizada Estado miembro + LOPDGDD art. 6 obligación legal específica; (2) art. 9.2.d derecho colectivo afiliación sindical + actividades fundación legítima + miembros + ex-miembros + contactos regulares; (3) art. 9.2.h medicina trabajo + diagnóstico médico + prestación asistencia salud + servicio prevención homologado INSST + médico trabajo + secreto profesional médico Ley 31/1995 PRL art. 22; (4) art. 9.2.f reclamaciones jurídicas + tutela judicial efectiva; (5) datos biometría reconocimiento facial + huella dactilar control acceso categorías especiales art. 9.1.d datos biométricos identificación unívoca + DPIA obligatoria art. 35 + base reforzada + comité empresa ET art. 64 + Convenio Colectivo REGCON; (6) datos salud laboral RGPD art. 9.2.h + acceso restringido servicio prevención + médico trabajo + comunicación empresa sólo aptitud puesto + RD 39/1997 reglamento servicios prevención; (7) datos afiliación sindical + opiniones políticas + creencias religiosas + orientación sexual + identidad género + características sexuales protección reforzada base legal específica + interés legítimo no aplica; (8) datos genéticos categorías especiales art. 9.1 base reforzada DPIA obligatoria; sanción AEPD art. 83.5 RGPD hasta 4% facturación mundial o 20 millones EUR. Para empresa 1.500 empleados implementación categorías especiales incluye RAT específico art. 30 + DPIA art. 35 obligatoria + Privacy by Design art. 25 + cifrado reforzado AES-256 + acceso restringido DPO + servicio prevención + Compliance Officer + audit trail Decision Layer.
¿Cómo se procesa solicitud Derecho al Olvido art. 17 RGPD + verificación retención justificada + supresión cross-sistema?
RGPD art. 17 Derecho al Olvido + supresión datos personales + plazo respuesta 1 mes prorrogable 2 meses adicionales art. 12: (1) recepción solicitud empleado o ex-empleado + verificación identidad + autenticación reforzada + canal seguro + plazo respuesta 1 mes + prórroga 2 meses cuando complejidad o número solicitudes; (2) verificación causales art. 17.1 RGPD: datos no necesarios finalidad recogida + retirada consentimiento sin otra base legal + oposición tratamiento sin motivos legítimos prevalentes + tratamiento ilícito + obligación legal supresión + datos menor; (3) verificación excepciones art. 17.3 RGPD: libertad expresión información + obligación legal interés público + interés público salud + investigación archivística + reclamaciones jurídicas; (4) verificación retención justificada por base legal específica: contrato laboral 4 años obligaciones SS prescripción + 5 años LRJS Ley Reguladora Jurisdicción Social Ley 36/2011 acciones laborales + 6 años LGT Ley 58/2003 prescripción tributaria + 10 años KYC RD 304/2014 prevención blanqueo + plazo prescripción delito Código Penal + 5 años Ley 2/2023 canal denunciantes; (5) supresión cross-sistema todos sistemas (A3 + Sage + Cegid + SAP + Workday + Personio + Bizneo + Holded + Factorial + nómina + control horario + accesos + plan pensiones + canal denunciantes) mediante orquestación + verificación confirmación cada sistema; (6) comunicación destinatarios art. 19 RGPD informar destinatarios cesión cuando aplicable + sub-encargados art. 28 + transferencias internacionales; (7) registro audit trail Decision Layer + base legal supresión + plazo + responsable + sello tiempo cualificado eIDAS; (8) sanción AEPD art. 83.5 RGPD 4% facturación incumplimiento Derecho al Olvido + reclamación interesado AEPD + jurisdicción social. Para empresa 1.500 empleados con 20 solicitudes año implementación Derecho al Olvido incluye plataforma centralizada (OneTrust Privacy Office + BigID España + Collibra España) + automatización supresión cross-sistema + verificación retención + audit trail.
¿Cómo se cumple LOPDGDD art. 87-91 monitorización tecnológica + videovigilancia + geolocalización + desconexión digital + comité empresa ET art. 64?
LOPDGDD LO 3/2018 art. 87-91 derechos digitales ámbito laboral + información trabajadores + comité empresa: (1) art. 87 derecho intimidad uso dispositivos digitales puestos disposición empleador + acceso contenidos sólo necesidades cumplimiento obligaciones laborales + protección dignidad + información política empresa expresa + Convenio Colectivo REGCON; (2) art. 88 derecho desconexión digital + horario establecido contrato + descansos + permisos + vacaciones + situaciones suspensión contractual + política empresa + Convenio Colectivo + ET art. 20 bis derechos digitales; (3) art. 89 derecho intimidad frente uso dispositivos videovigilancia grabación sonido lugar trabajo + información trabajadores + comité empresa + colocación dispositivos + RGPD art. 88 + ET art. 20.3 control empresarial; (4) art. 90 derecho intimidad frente utilización sistemas geolocalización ámbito laboral + información trabajadores + finalidad limitada + comité empresa; (5) art. 91 derechos digitales negociación colectiva Convenio Colectivo REGCON + comisión paritaria sectorial; (6) ET art. 64 derecho información comité empresa plan plantilla + estructura + datos agregados + monitorización + videovigilancia + geolocalización + desconexión digital + decisiones automatizadas significativas; (7) AEPD Plan Estratégico 2024-2027 prioriza monitorización tecnológica + biometría control acceso + sancionable AEPD art. 83.5 4% facturación + ITSS LISOS muy grave 7.501-225.018 EUR ausencia información trabajador + comité empresa. Para empresa 1.500 empleados implementación LOPDGDD art. 87-91 incluye política empresa monitorización + información trabajadores + comité empresa ET art. 64 + DPIA art. 35 + RAT art. 30 + Convenio Colectivo aplicable REGCON + audit trail Decision Layer.
¿Cómo se gestiona DPIA Evaluación Impacto Protección Datos RGPD art. 35 categorías especiales + canal denunciantes + biometría + decisiones automatizadas?
RGPD art. 35 DPIA Evaluación Impacto Protección Datos obligatoria cuando tratamiento probable suponga riesgo alto derechos libertades personas físicas: (1) supuestos obligatorios DPIA art. 35.3 RGPD: evaluación sistemática aspectos personales + decisiones automatizadas significativas art. 22 + tratamiento gran escala categorías especiales art. 9 + observación sistemática gran escala zona pública; (2) supuestos AEPD lista 2018 obligatorios DPIA: tratamiento datos categorías especiales gran escala + monitorización sistemática zona accesible al público + categorías especiales menores + datos biométricos identificación unívoca + datos genéticos + transferencias internacionales no países adecuados + nuevas tecnologías; (3) plantilla AEPD guía DPIA 2023 + sistemática descripción tratamiento + finalidades + necesidad proporcionalidad + identificación riesgos derechos libertades + medidas mitigación + consulta interesados representativos + comité empresa ET art. 64 + consulta previa AEPD si riesgo residual alto art. 36 RGPD; (4) DPIA obligatoria datos canal denunciantes Ley 2/2023 + cifrado reforzado + acceso restringido + minimización + Privacy by Design; (5) DPIA obligatoria biometría reconocimiento facial + huella dactilar control acceso + base reforzada art. 9.2 + comité empresa; (6) DPIA obligatoria decisiones automatizadas significativas selección + promoción + asignación tareas + monitorización rendimiento + intervención humana significativa art. 22 + EU AI Act + AESIA + Carta Derechos Digitales Ley 12/2024; (7) DPIA obligatoria datos sanitarios PRL art. 22 + servicio prevención INSST + secreto profesional médico; (8) DPIA obligatoria gran escala empleados >1.000 + monitorización sistemática + LOPDGDD art. 87-91; (9) actualización DPIA cuando cambio significativo + revisión periódica + auditoría externa expertos independientes; sanción AEPD art. 83.4 RGPD hasta 2% facturación o 10 millones EUR ausencia DPIA + art. 83.5 hasta 4% incumplimiento medidas. Para empresa 1.500 empleados implementación DPIA incluye plataforma OneTrust Privacy Office + BigID España + Collibra España + plantilla AEPD guía 2023 + revisión DPO + Director Asesoría Jurídica + Compliance Officer + comité empresa ET art. 64.
¿Cómo se notifica brecha seguridad datos empleados RGPD art. 33 AEPD 72h + art. 34 comunicación interesado + Ley 7/2024 NIS2 INCIBE?
RGPD art. 33 + 34 + Ley 7/2024 NIS2 transposición Directiva ciberseguridad obligaciones notificación brecha seguridad: (1) RGPD art. 33 notificación AEPD plazo 72h conocimiento brecha cuando riesgo derechos libertades interesados + descripción naturaleza categorías número aproximado afectados + datos contacto DPO + consecuencias probables + medidas adoptadas o propuestas; (2) RGPD art. 34 comunicación interesado plazo razonable cuando riesgo alto derechos libertades + lenguaje claro + naturaleza brecha + datos contacto DPO + consecuencias probables + medidas adoptadas; (3) excepciones art. 34.3 medidas técnicas protección hicieron datos ininteligibles + medidas posteriores garantizan riesgo no probable + esfuerzo desproporcionado comunicación individual + comunicación pública medios equivalentes; (4) Ley 7/2024 11 abril 2024 NIS2 transposición Directiva UE 2022/2555 ciberseguridad + sectores esenciales (energía + transporte + bancario + sanidad + agua + infraestructura digital + administración pública + espacial) + servicios digitales + notificación INCIBE Instituto Nacional Ciberseguridad: alerta temprana 24h + notificación incidente 72h + informe final 1 mes + información intermedia + reporte avances; (5) coordinación AEPD + INCIBE + AAI Ley 2/2023 canal denunciantes si brecha afecta dato denunciante + Fiscalía Anticorrupción si infracción penal + APDCAT/AVPD/ARM regional; (6) plan respuesta brecha + roles + responsabilidades + procedimientos + simulacros periódicos + auditoría externa expertos independientes; (7) registro brecha audit trail Decision Layer + causa + alcance + medidas correctivas + responsable + tiempo recuperación + sello tiempo cualificado eIDAS; (8) sanción AEPD art. 83.4 RGPD hasta 2% facturación o 10 millones EUR ausencia notificación + Ley 7/2024 NIS2 hasta 10 millones EUR + 2% facturación incumplimiento sectores esenciales; responsabilidad civil administradores LSC art. 226 + 236 + 237. Para empresa 1.500 empleados implementación plan respuesta incluye SIEM + IDS + monitoreo continuo + INCIBE cooperación + plantillas notificación AEPD + INCIBE + comunicación interesado + audit trail Decision Layer.
¿Cuál es la sanción AEPD por incumplimiento RGPD + LOPDGDD + categorías especiales art. 9 + decisiones automatizadas art. 22 + ausencia DPIA?
AEPD Agencia Española Protección Datos aplica RGPD art. 83 escalonadas con sanciones acumulables y coordinadas con autoridades regionales: (1) RGPD art. 83.4 hasta 2% facturación mundial o 10 millones EUR (art. 8 condiciones consentimiento menor + art. 11 tratamiento sin identificación + art. 25 Privacy by Design Default + art. 30 RAT + art. 33 notificación brecha + art. 35 DPIA + art. 37-39 DPO + art. 41-43 organismos certificación); (2) RGPD art. 83.5 hasta 4% facturación mundial o 20 millones EUR (art. 5 principios + art. 6 base legal + art. 7 condiciones consentimiento + art. 9 categorías especiales + art. 12-22 derechos interesado incluido Derecho al Olvido + decisiones automatizadas + art. 44-49 transferencias internacionales + art. 58 obligaciones autoridad); (3) sanción muy grave AEPD ausencia base legal categorías especiales art. 9 + ausencia DPIA art. 35 + ausencia RAT art. 30 + Privacy by Design art. 25 + decisión automatizada sin intervención humana significativa art. 22 + Derecho al Olvido art. 17 incumplimiento; (4) coordinación APDCAT Cataluña + AVPD País Vasco + ARM Madrid + AESIA EU AI Act + AAI Ley 2/2023 canal denunciantes + ITSS Inspección Trabajo + INCIBE Ley 7/2024 NIS2 + cooperación inter-autoridades; (5) AEPD Plan Estratégico 2024-2027 prioriza datos laborales + IA en RRHH + canal denunciantes + biometría + Carta Derechos Digitales Ley 12/2024 + sanciones reforzadas; (6) procedimiento sancionador AEPD inicio expediente + plazo 9 meses + alegaciones + propuesta resolución + resolución sancionadora + recurso reposición + recurso contencioso-administrativo Audiencia Nacional; (7) responsabilidad civil administradores LSC art. 226 deber lealtad + art. 236 responsabilidad daños + art. 237 carácter solidario. Plan acción AEPD 2024-2027 prioriza ámbito laboral + monitorización tecnológica + biometría + IA en RRHH + canal denunciantes + Carta Derechos Digitales. Empresa 1.500 empleados con incumplimientos recurrentes RGPD art. 5 + 9 + 22 + 35 sanción acumulable >5 millones EUR + reincidencia + responsabilidad civil administradores LSC + jurisdicción social tutela derechos fundamentales LRJS art. 181.
¿Cuál es la diferencia entre Employee Data Management Agent + Contract Offer Generation Agent + Onboarding Workflow Agent?
Los tres agentes operan en dominio HR español pero con focos diferentes. El Employee Data Management Agent HR (este aquí) opera plataforma centralizada datos maestros empleados España RGPD art. 5 principios + art. 6 base legal + art. 9 categorías especiales + art. 17 Derecho al Olvido + art. 22 decisiones automatizadas + art. 25 Privacy by Design + art. 28 contratos encargado tratamiento + art. 30 RAT + art. 32 medidas seguridad + art. 33 notificación brecha + art. 35 DPIA + art. 88 ámbito laboral + LOPDGDD LO 3/2018 art. 87-91 monitorización tecnológica + ET art. 17 no discriminación + art. 20 control empresarial + art. 20 bis derechos digitales + Ley 2/2023 datos canal denunciantes + Ley 12/2024 Carta Derechos Digitales + sincronización cross-sistema A3 + Sage + Cegid + SAP + Workday + Personio + Bizneo + Factorial + Derecho al Olvido cross-sistema + RAT actualizado + DPIA categorías especiales + reportes AEPD + APDCAT + AVPD + ARM. Cluster HR Operations domain. El Contract Offer Generation Agent HR (cluster Workforce Transitions) opera generación contrato laboral España ET art. 8 forma + art. 14 periodo prueba + art. 15 modalidades RDL 32/2021 + art. 17 no discriminación + art. 21 no competencia + Pay Transparency 2023/970 horquilla salarial + Ley 2/2023 cláusula canal denunciantes + Convenio Colectivo REGCON + firma electrónica cualificada eIDAS Signaturit + comunicación SEPE Contrat@. El Onboarding Workflow Agent HR opera coordinación procesos integración nuevo trabajador (alta SS TGSS + IRPF AEAT + IT + EPI + accesos + plan acogida PRL art. 19 + presentación equipo + revisión periodo prueba + objetivos primeros 90 días). Cross-reference: Employee Data Management Agent es infraestructura compartida que Contract Offer Generation Agent + Onboarding Workflow Agent + Compliance Training Agent + Payroll Processing Agent reutilizan datos maestros + RAT + DPIA + categorías especiales + Derecho al Olvido + Convenio Colectivo REGCON aplicable + comité empresa ET art. 64.
¿Qué pasa después?
30 minutos
Primera reunión
Analizamos su proceso e identificamos el punto de inicio óptimo.
1 semana
Discover
Mapeo de su lógica de decisión. Reglas documentadas, Decision Layer diseñado.
3-4 semanas
Build
Agente productivo en su infraestructura. Gobernanza, audit trail, cert-ready desde el día 1.
12-18 meses
Autosuficiencia
Acceso completo al código fuente, prompts y versiones de reglas. Sin vendor lock-in.
Implementar este agente?
Evaluamos su paisaje de procesos y mostramos como este agente encaja en su infraestructura.