Ir al contenido
W K
EU AI Act: No alto riesgo

Agente Gestión Documental RRHH

Cada documento de RRHH se clasifica, firma con eIDAS y archiva con su plazo de conservación, de modo que el derecho de acceso del empleado y el derecho al olvido del RGPD se resuelven sin rastrear hojas de Excel - una capa de gestión documental para el Director de RRHH, el DPO, el Compliance Officer y el Auditor Interno.

Expediente personal electrónico: RGPD art. 15 acceso, art. 17 Derecho al Olvido, LOPDGDD art. 87-91 y eIDAS firma cualificada - ciclo vida documentos con audit-trail y archivación conforme.

Analizar su proceso

Una selección de más de 5.000 proyectos en 25 años de desarrollo de software

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

El expediente personal se clasifica, conserva y firma según el RGPD y el eIDAS, sin hojas de Excel

El agente clasifica cada documento de RRHH de forma determinista, responde al derecho de acceso del art. 15 del RGPD en el plazo de un mes y concilia el derecho al olvido del art. 17 con los plazos fiscales de conservación. La firma cualificada eIDAS y la pista de auditoría completa acompañan cada documento, sin IA generativa en decisiones que afecten a los empleados.

Resultado: La conservación incompleta, la falta de pista de auditoría o un derecho de acceso mal atendido suelen pasar inadvertidos en una hoja de Excel hasta que llega la inspección. Una clasificación automática con registro completo los hace visibles antes, lo que importa porque las sanciones se acumulan: la AEPD llega al 4% de la facturación mundial o 20 millones de euros, la ITSS a 187.515 EUR y la AAI al millón por represalias, además de la responsabilidad penal de la persona jurídica y la civil ilimitada de los administradores.

79% Motor de reglas
14% Agente IA
7% Humano

La arquitectura asigna cada decisión de la gestión documental a una regla, a un indicador o a una persona, con su cita legal y su pista de auditoría:

Una multa de la AEPD puede llegar al 4% de la facturación mundial y una de la AAI al millón de euros, además de la improcedencia laboral y la responsabilidad penal de la persona jurídica

La gestión del expediente personal electrónico en España se sitúa en el cruce de cinco marcos de cumplimiento con consecuencias muy distintas. El RGPD rige el derecho de acceso (un mes de plazo, ampliable a dos), el derecho al olvido, las medidas de seguridad y el registro de actividades de tratamiento, con especial cuidado de los datos sensibles del art. 9. El Estatuto de los Trabajadores regula la forma del contrato, los derechos digitales y la información al Comité de Empresa. Los plazos de conservación los fijan la LGT (cuatro años fiscales), el Código de Comercio (seis contables), la PRL (cinco de vigilancia de la salud) y la normativa de pensiones (hasta cincuenta). El eIDAS gobierna la firma cualificada. Y el Código Penal añade la responsabilidad penal de la persona jurídica. Esta constelación significa que un mismo expediente, en una empresa del IBEX-35 o de mediana dimensión de entre 500 y 5.000 empleados, puede activar a la vez hasta cinco obligaciones de cumplimiento distintas.

Las sanciones acumuladas de AEPD, ITSS, AAI y Código Penal superan los 5 millones de euros

Las sanciones se acumulan entre organismos. La AEPD puede imponer hasta el 4 por ciento de la facturación mundial o 20 millones de euros por tratar datos sensibles sin evaluación de impacto, por no atender un derecho de acceso o por no notificar una brecha en 72 horas. La ITSS llega a 187.515 EUR y la AAI al millón por represalias contra denunciantes. La AESIA alcanza el 7 por ciento de la facturación y la directiva NIS2 los 10 millones de euros o el 2 por ciento. Por encima de todo está la responsabilidad penal de la persona jurídica, con suspensión de actividades, cierre de locales o disolución, y la responsabilidad civil ilimitada de los administradores. En una empresa mediana o grande con incumplimientos recurrentes, el conjunto puede superar los 5 millones de euros.

Trece etapas deterministas, un indicador de IA y una confirmación humana

El agente descompone la gestión documental en quince micro-decisiones, todas deterministas salvo un indicador asistido por IA y una confirmación humana. Cada decisión documenta el paso, la pregunta, el tipo de decisor (regla, indicador o persona) y su justificación con cita legal y pista de auditoría. Las trece decisiones por regla cubren la clasificación del documento, la conservación según los plazos legales, el derecho de acceso y el derecho al olvido, la firma cualificada eIDAS, la evaluación de impacto, la pista de auditoría, el canal de denuncias, el cumplimiento del Esquema Nacional de Seguridad, la información al Comité de Empresa y la integridad del expediente personal. El indicador asistido por IA es la auditoría de sincronización entre el HRIS, el ERP y el Sistema RED. Y la confirmación humana es el escalado al Comité de Auditoría en los casos de C-suite y administradores.

Coherencia con la jurisprudencia de lo Social y el Plan Estratégico de la AEPD

El agente comprueba la coherencia de cada paso frente a la jurisprudencia de la Sala IV de lo Social del Tribunal Supremo, las prioridades del Plan Estratégico de la AEPD y las resoluciones del Tribunal Constitucional y del Tribunal de Justicia de la UE. El derecho de acceso se atiende en un mes con entrega cifrada, y el derecho al olvido se concilia con los plazos de conservación vigentes. Importa especialmente porque en los litigios laborales y en las represalias contra denunciantes la carga de la prueba se invierte (LRJS art. 96, Ley 2/2023): corresponde a la empresa demostrar que no hubo discriminación. Sin un expediente documentado y conservado, esa prueba es casi imposible, de modo que la pista de auditoría es la mejor defensa.

Casos especiales: empleados públicos, trabajadores desplazados y pensiones a cincuenta años

Hay casos especiales que el agente contempla. Los empleados públicos (MUFACE, ISFAS, MUGEJU) se rigen por el EBEP, con un régimen disciplinario distinto del privado y cinco años de archivo. Los trabajadores desplazados quedan bajo la Directiva de Posted Workers y su transposición (Ley 11/2023), con la ley del lugar de trabajo y el certificado A1 de coordinación de la Seguridad Social. La documentación de pensiones se conserva hasta cincuenta años. Los datos sensibles del art. 9 del RGPD (salud, afiliación sindical, datos biométricos) exigen cifrado adicional, acceso restringido y una base jurídica reforzada. Y los supuestos de concurso de acreedores o de despido nulo, con readmisión obligatoria y salarios de tramitación, requieren conservar el expediente cinco años más.

Integración con los sistemas españoles de RRHH, gestión documental y firma

El agente se integra por API con las principales plataformas del mercado español. En el lado de RRHH y nóminas, con A3 de Wolters Kluwer y Sage como líderes, junto a Cegid, Bizneo, Holded, SAP SuccessFactors, Workday y Personio. Para la privacidad y el cumplimiento, con OneTrust, BigID, Collibra y ServiceNow. Para el canal de denuncias, con NAVEX, EQS y Whispli, entre otros. La gestión de contenidos se apoya en plataformas ECM como DocuWare, d.velop, ELO o Hyland OnBase, y la firma cualificada eIDAS en proveedores como Signaturit, Validated ID o la FNMT-RCM. El agente enlaza además con los de Gestión de Datos de Empleados, Generación de Ofertas, Casos de Relaciones Laborales y Monitorización y Formación en Cumplimiento.

Tabla de microdecisiones

¿Quién decide en este agente?

14 pasos de decisión, separados por decisor

79%(11/14)
Motor de reglas
determinístico
14%(2/14)
Agente IA
basado en modelo con confianza
7%(1/14)
Humano
asignación explícita
Humano
Motor de reglas
Agente IA
Cada fila es una decisión. Expanda para ver el registro de decisión y si se puede impugnar.
Clasificar el documento de RRHH y registrarlo en el RAT ¿Qué tipo de documento de RRHH es (contrato, nómina, evaluación, disciplinario, médico, denuncia, igualdad o formación) y qué categoría del art. 9 RGPD tiene (salud, afiliación sindical)? Motor de reglas Auditor

Una regla determinista, apoyada en NLP, identifica el tipo de documento y lo registra en el RAT del art. 30 del RGPD, marcando las categorías especiales del art. 9 (salud, afiliación sindical, datos biométricos) y fijando el plazo de conservación que corresponde a cada tipo.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Validar la base jurídica del tratamiento y el plazo de conservación ¿Cuál es la base jurídica del art. 6 RGPD para el documento (vínculo contractual, obligación legal o interés legítimo) y su plazo de conservación (4 años fiscales, 6 contables, 5 de PRL, hasta 50 de pensiones)? Motor de reglas Auditor

Una regla determinista fija la base jurídica del art. 6 del RGPD y el plazo de conservación según la norma aplicable: cuatro años por prescripción fiscal (LGT art. 66), seis para la contabilidad (Código de Comercio art. 30), cinco para la vigilancia de la salud (PRL) y hasta cincuenta para las pensiones.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Tramitar el derecho de acceso del art. 15 RGPD en el plazo de un mes ¿Cómo se tramita el derecho de acceso del art. 15 RGPD del empleado en el plazo de un mes, ampliable a dos, con una copia electrónica de sus datos? Motor de reglas

Una regla determinista tramita el derecho de acceso del art. 15 del RGPD: verifica la identidad del solicitante, busca sus datos en los sistemas de RRHH, genera un paquete electrónico cifrado y lo entrega en el plazo de un mes, ampliable a dos, dejando constancia en la pista de auditoría.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por:

Resolver el derecho al olvido conciliándolo con los plazos legales ¿Cómo se resuelve el derecho al olvido del art. 17 RGPD conciliándolo con los plazos legales de conservación (4 años fiscales, 6 contables, 5 de PRL)? Motor de reglas

Una regla determinista resuelve el derecho al olvido del art. 17 del RGPD verificando primero si algún plazo legal sigue vigente (cuatro años fiscales, seis contables, cinco de PRL, cincuenta de pensiones). Mientras lo esté, el dato se bloquea y se seudonimiza en lugar de borrarse, y todo queda registrado en la pista de auditoría.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por:

Elegir el tipo de firma electrónica y la archivación en el sector público ¿Qué tipo de firma electrónica (cualificada o avanzada) se aplica al documento de RRHH, con la archivación conforme al ENI y al ENS en el sector público? Motor de reglas Proveedor

Una regla determinista elige el tipo de firma electrónica según el documento: cualificada (QSig, Anexo II del eIDAS) cuando se necesita el mismo valor que la firma manuscrita, o avanzada (AdES) en el resto. En el sector público se aplican además el ENI y el ENS (RD 311/2022).

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Proveedor

Comprobar si es obligatoria la evaluación de impacto del art. 35 RGPD ¿Es obligatoria la evaluación de impacto del art. 35 RGPD para el sistema de gestión documental, con las obligaciones del responsable del despliegue del EU AI Act? Motor de reglas Auditor

Una regla determinista comprueba que la evaluación de impacto del art. 35 del RGPD es obligatoria, ya que hay tratamiento sistemático de datos especiales del art. 9 y clasificación automatizada a gran escala. El EU AI Act añade transparencia y supervisión humana como obligaciones del responsable del despliegue.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Asegurar la pista de auditoría y la conservación a largo plazo ¿Cumple la pista de auditoría las medidas de seguridad del art. 32 RGPD sobre almacenamiento inalterable, con la conservación de diez años de la LSC y los plazos ampliados de la banca? Motor de reglas Auditor

Una regla determinista verifica que la pista de auditoría cumple las medidas de seguridad del art. 32 del RGPD (cifrado, seudonimización, integridad) sobre almacenamiento inalterable WORM, con la conservación de diez años que exige la LSC y los plazos ampliados de veinticinco a treinta años en sectores regulados como la banca.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Valorar la notificación de una brecha a la AEPD en 72 horas ¿Afecta la incidencia de seguridad a los datos de los empleados de modo que requiera notificar a la AEPD en 72 horas y comunicarlo a los afectados (art. 34 RGPD)? Agente IA Auditor

El sistema analiza el tipo de incidencia, los datos afectados y su alcance, y propone si procede notificar a la AEPD en 72 horas y comunicar a los afectados (art. 34 del RGPD), lo que es probable si hay datos especiales del art. 9 o riesgo alto. Es un indicador, no una decisión final: la valida el DPO con la asesoría jurídica.

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Auditor

Almacenar la documentación del canal de denuncias de forma confidencial ¿Cómo se almacena la documentación del canal de denuncias de la Ley 2/2023, con la confidencialidad del Sistema Interno de Información y su conservación durante cinco años? Motor de reglas Auditor

Una regla determinista almacena la documentación del canal de denuncias de la Ley 2/2023 con la confidencialidad del Sistema Interno de Información, los plazos de siete días para el acuse y tres meses para la resolución, y la conservación confidencial durante cinco años, con cifrado y acceso restringido.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Verificar el Esquema Nacional de Seguridad y la NIS2 ¿Cumplen los sistemas de gestión documental el Esquema Nacional de Seguridad en el sector público y la transposición de la NIS2, con la notificación de incidentes en sus plazos? Motor de reglas Auditor

Una regla determinista comprueba que los sistemas cumplen el Esquema Nacional de Seguridad (RD 311/2022) en el sector público y la transposición de la directiva NIS2 (Ley 7/2024), con la notificación de incidentes en sus plazos escalonados (alerta temprana en 24 horas, evaluación en 72 e informe final en 30 días).

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Auditar la sincronización de los documentos entre sistemas ¿Están los documentos sincronizados entre el HRIS, el ERP financiero y el Sistema RED de la Seguridad Social, con su traza y sin discrepancias? Agente IA Proveedor

El sistema audita la sincronización de los documentos entre el HRIS, el ERP y el Sistema RED, y señala discrepancias. Es un indicador, no una decisión final: la validan el Director de RRHH, el DPO y el Compliance Officer.

Registro de decisión

Versión del modelo y puntuación de confianza
Datos de entrada y resultado de clasificación
Justificación de la decisión (explicabilidad)
Rastro de auditoría con trazabilidad completa

Impugnable: Sí - completamente documentado, revisable por humanos, objeción mediante proceso formal.

Impugnable por: Proveedor

Informar al comité de empresa de los cambios relevantes del sistema ¿Requiere algún cambio del sistema de gestión documental informar al comité de empresa (art. 64 ET) y al delegado sindical, conforme al convenio? Motor de reglas Auditor

Una regla determinista detecta los cambios relevantes en el sistema (de archivación, conservación, acceso o clasificación) que obligan a informar previamente al Comité de Empresa según el ET art. 64 y al delegado sindical, con el plazo de quince días antes de su implantación.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Verificar que el expediente personal electrónico está completo ¿Está el expediente personal electrónico completo, con el contrato y sus anexos, los derechos digitales, el registro en el RAT, la traza y la accesibilidad WCAG 2.1 AA? Motor de reglas Auditor

Una regla determinista verifica que el expediente personal electrónico esté completo: el contrato y sus anexos según el ET art. 8, los derechos digitales del RD-ley 28/2020, el registro en el RAT del RGPD y la accesibilidad WCAG 2.1 AA, todo con su pista de auditoría y su plazo de conservación.

Registro de decisión

ID de la regla y número de versión
Datos de entrada que activaron la regla
Resultado del cálculo y fórmula aplicada

Impugnable: Sí - aplicación de la regla verificable. Objeción posible por datos incorrectos o versión de regla errónea.

Impugnable por: Auditor

Escalar al Comité de Auditoría los casos de la alta dirección ¿Qué casos documentales de la alta dirección y de los administradores deben escalarse al Comité de Auditoría y a la Junta General? Humano

Una persona decide obligatoriamente los casos de C-suite y administradores, donde entran en juego el deber de diligencia de los arts. 226 a 237 de la LSC y la responsabilidad penal de la persona jurídica. Intervienen el Comité de Auditoría, el Servicio Jurídico y el auditor externo, conforme al Código de Buen Gobierno de la CNMV.

Registro de decisión

ID del decisor y rol
Justificación de la decisión
Marca de tiempo y contexto

Impugnable: Sí - a través del superior, Comité de Empresa o proceso formal de objeción.

Registro de decisión y derecho a impugnar

Cada decisión que este agente toma o prepara se documenta en un registro de decisión completo. Los empleados afectados pueden revisar, comprender e impugnar cada decisión individual.

¿Qué regla en qué versión se aplicó?
¿En qué datos se basó la decisión?
¿Quién (humano, motor de reglas o IA) decidió - y por qué?
¿Cómo puede la persona afectada presentar una objeción?
Cómo el Decision Layer lo implementa arquitectónicamente →

¿Este agente encaja en su proceso?

Analizamos su proceso concreto y mostramos cómo este agente se integra en su entorno de sistemas. 30 minutos, sin preparación necesaria.

Analizar su proceso

Notas de governance

EU AI Act: No alto riesgo
El HR Document Management Agent no se clasifica como sistema de IA de alto riesgo según el Reglamento UE 2024/1689: da soporte a la gestión documental sin tomar decisiones automatizadas sobre el empleo, la retribución o el acceso a oportunidades. El marco regulatorio aplicable parte del RGPD y la LOPDGDD, que rigen el derecho de acceso, el derecho al olvido, la evaluación de impacto y el registro de actividades de tratamiento. A ello se suman el Estatuto de los Trabajadores en cuanto a la forma del contrato y los derechos digitales, los plazos de conservación de la LGT, el Código de Comercio, la LGSS, la PRL y la normativa de pensiones, el eIDAS para la firma cualificada, la Ley 2/2023 sobre el canal de denuncias, el Código Penal en materia de descubrimiento de secretos y responsabilidad de la persona jurídica, y la transposición de la directiva NIS2. La independencia del auditor se preserva: el agente facilita la gestión sin influir en la evaluación de la AEPD, la ITSS, la AAI o los tribunales. La integridad de la evidencia se mantiene con firma electrónica y pista de auditoría completa, y la documentación se conserva según los plazos de prescripción aplicables, hasta cincuenta años en el caso de las pensiones. El Decision Layer registra la trazabilidad completa como defensa frente a un derecho de acceso o un procedimiento sancionador, ya que las sanciones de la AEPD, la ITSS, la AAI, la AESIA y la NIS2 son acumulables y se suman a la responsabilidad penal de la persona jurídica y a la civil ilimitada de los administradores.

Evaluación

Agent Readiness 66-73%
Governance Complexity 68-75%
Economic Impact 56-63%
Lighthouse Effect 36-43%
Implementation Complexity 40-47%
Volumen de transacciones Mensual

Requisitos previos

  • Sistema HRIS A3 Wolters Kluwer + Sage NominaPlus + Cegid Visma Meta4 + Bizneo HR + Holded + SAP SuccessFactors Spain + Workday HCM Spain + Personio Spain con read access datos empleados + procedimientos documentos + Convenios Colectivos REGCON + RAT art. 30 RGPD
  • Sistema Enterprise Content Management ECM (DocuWare + d.velop + ELO + Hyland OnBase + Box + Dropbox Business + Google Workspace) con HR-Document-Lifecycle + retencion automatica + audit-trail + WORM Write Once Read Many almacenamiento + cifrado AES-256 + ENI/ENS
  • Sistema firma cualificada eIDAS Signaturit + Validated ID + Lleida.net + FNMT-RCM + Universign + Tractis + DocuSign + Adobe Sign + Yousign con QSig (Vertrauensdiensteanbieter VDA Anexo II eIDAS) + AdES + workflow archivacion + audit-trail + ESIGN Act + UETA
  • DPIA art. 35 RGPD para sistema HR-Document-Management + AESIA EU AI Act 2024/1689 Article 26 deployer obligations + RAT art. 30 + Standard Contractual Clauses cloud-data-transfer + DPO consultation art. 39 + AEPD Plan Estrategico 2024-2027
  • Programa Compliance Penal art. 31 bis Codigo Penal + UNE 19601 + due diligence administradores LSC art. 226+236+237 + Fiscalia Anticorrupcion + auditor externo Big-4 + Programa de Integridad + AML SEPBLAC KYC documentacion
  • Convenios Colectivos sectoriales REGCON ET art. 82-85 + procedimiento documental sectorial + comision paritaria + arquivacion 4 anos + LRJS art. 96 reverse burden of proof + Subject Access Request art. 15 RGPD plazo 1 mes

Qué contiene esta evaluación: 9 diapositivas para su equipo directivo

Personalizada con sus datos. Generada en 2 minutos en su navegador. Sin carga, sin inicio de sesión.

  1. 1

    Portada - Nombre del proceso, puntos de decisión, potencial de automatización

  2. 2

    Resumen ejecutivo - FTE liberados, coste por transacción, fecha de amortización

  3. 3

    Situación actual - Volumen de transacciones, costes de error, escenario de crecimiento

  4. 4

    Arquitectura de solución - Humano - motor de reglas - agente IA

  5. 5

    Gobernanza - EU AI Act, comité de empresa/GoBD, pista de auditoría

  6. 6

    Análisis de riesgos - 5 riesgos con probabilidad e impacto

  7. 7

    Hoja de ruta - Plan de 3 fases con fechas concretas

  8. 8

    Caso de negocio - Comparación de 3 escenarios más matriz de sensibilidad

  9. 9

    Propuesta de discusión - Próximos pasos concretos

Incluye: comparación de 3 escenarios

No hacer nada vs. nueva contratación vs. automatización - con su nivel salarial, su tasa de error y su plan de crecimiento.

Mostrar metodología de cálculo

Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours

Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor

Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)

FTE: Saved hours ÷ 1,720 annual work hours

Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)

New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE

Todos los datos permanecen en su navegador. Nada se transmite a ningún servidor.

Agente Gestión Documental RRHH

Initial assessment for your leadership team

A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.

All data stays in your browser. Nothing is transmitted.

Agentes relacionados

Agente Casos Relaciones Laborales

Cada caso laboral (disciplinario, acoso, denuncia o despido) avanza con su plazo de prescripción controlado, las cláusulas obligatorias verificadas y un expediente trazable que sostiene la defensa ante la jurisdicción social.

W K
Readiness: 66-73%
Economic: 56-63%
Governance: 68-75%
Microdecisiones: 14
Mensual

Preguntas frecuentes

¿Cuál es el plazo del derecho de acceso del art. 15 RGPD y la sanción de la AEPD?

El art. 15 RGPD reconoce el derecho de acceso del interesado, que se solicita por escrito (en papel, por correo o por el portal) y se responde en el plazo de un mes, ampliable a dos en los casos complejos con justificación documentada. La empresa debe entregar la confirmación del tratamiento, las categorías de datos, los destinatarios, el plazo de conservación, el origen de los datos, las decisiones automatizadas y una copia electrónica cifrada de los datos personales. Atender la solicitud fuera de plazo se sanciona con hasta el 4% de la facturación mundial, y el plan estratégico de la AEPD da prioridad a los datos laborales. Las represalias contra un denunciante alcanzan, además, 1 millón de euros.

¿Cómo se concilia el derecho al olvido del art. 17 RGPD con la prescripción fiscal de cuatro años?

Hay un conflicto aparente: el art. 17 RGPD obliga a eliminar los datos cuando ya no son necesarios, pero los plazos legales obligan a conservarlos (cuatro años por la prescripción fiscal, seis por la contabilidad, cuatro por las cotizaciones, cinco por la vigilancia de la salud y hasta cincuenta por las pensiones). La solución es que, mientras un plazo legal siga vigente, el derecho al olvido se bloquea de forma lógica (acceso restringido, seudonimización y cifrado adicional) en lugar de borrar físicamente el dato; solo cuando vence el plazo, la supresión física pasa a ser obligatoria. Todo queda documentado con consulta al DPO, el reporte a la AEPD si procede y una pista de auditoría completa. Para la coordinación entre sistemas, conviene apoyarse en el Employee-Data-Management (clúster #30).

¿Qué tipo de firma electrónica eIDAS se requiere para los documentos de RRHH?

El reglamento eIDAS distingue la firma simple, la avanzada y la cualificada. En los documentos de RRHH se exige la firma cualificada, que tiene el mismo valor probatorio que la manuscrita, en los contratos de trabajo y sus modificaciones, los acuerdos de extinción (indemnizaciones y finiquitos), las sanciones disciplinarias graves y muy graves, los acuerdos del canal de denuncias y los documentos con datos sensibles del art. 9 (salud, afiliación sindical). Los prestadores de confianza certificados en España incluyen a Signaturit (líder del mercado), Validated ID, Lleida.net, la FNMT-RCM, Universign o Tractis. La firma cumple además los requisitos del ENI y el ENS en el sector público.

¿Cómo funciona el archivado conforme al Esquema Nacional de Seguridad y a la NIS2?

El Esquema Nacional de Interoperabilidad y el de Seguridad (RD 311/2022) son obligatorios en el sector público y voluntarios en el privado. El ENS tiene tres niveles (básico, medio y alto), y los documentos de RRHH con categorías especiales del art. 9 RGPD exigen el nivel alto, que implica el cifrado AES-256 sobre almacenamiento inalterable WORM, el acceso jerarquizado por rol, una pista de auditoría completa, una copia de seguridad georredundante con tiempos de recuperación exigentes y una auditoría certificada cada dos años. La NIS2 (Ley 7/2024) añade la gestión de riesgos y la notificación de incidentes al INCIBE en sus plazos escalonados (alerta temprana en 24 horas, evaluación en 72 e informe final en 30 días), con una sanción de hasta 10 millones de euros o el 2% de la facturación.

¿Cuáles son las sanciones de la AEPD, la AAI y la Inspección de Trabajo por incumplir la gestión documental?

Las sanciones se acumulan. La AEPD llega al 4% de la facturación mundial o 20 millones de euros por tratar datos especiales sin evaluación de impacto, por no atender un derecho de acceso o por no notificar una brecha en 72 horas. La Inspección de Trabajo alcanza 187.515 euros, y la autoridad del canal de denuncias el millón por represalias. El Código Penal añade la responsabilidad de la persona jurídica, con suspensión de actividades, cierre de locales o disolución, junto con la responsabilidad civil ilimitada de los administradores. La autoridad de IA puede imponer hasta el 7% de la facturación, y la NIS2 hasta 10 millones de euros o el 2%. En una empresa con incumplimientos recurrentes, el conjunto puede superar los 5 millones de euros, además de la responsabilidad penal.

¿Cómo se gestionan los documentos de la alta dirección y de los administradores?

Los documentos de la alta dirección y de los administradores reciben un tratamiento privilegiado, porque ponen en juego el deber de diligencia (LSC art. 226), la responsabilidad civil ilimitada por los actos contrarios a la ley o a los estatutos (art. 236) y su carácter solidario (art. 237), además del programa de compliance penal y la intervención del auditor externo. La documentación incluye los contratos, la política de retribuciones, el Say-on-Pay de la Junta, las actas y las cláusulas de recuperación del bonus y de límite máximo. Rige el Código de Buen Gobierno de la CNMV. Para los benchmarks y la búsqueda de directivos, conviene apoyarse en el Compensation-Benchmarking-Agent (clúster #26) y en el Executive-Recruiting-Agent (clúster #34).

Como se diferencia el HR Document Management Agent del Expense Processing Agent?

Ambos operan en RRHH, pero con focos distintos. El Expense Processing Agent (clúster #35) se concentra en los gastos y las dietas de viaje: las cuantías exentas del IRPF, la deducción del IVA, la facturación electrónica, los beneficios flexibles y la verificación de blanqueo. El HR Document Management Agent (este) gestiona el expediente personal electrónico: el derecho de acceso y el derecho al olvido, los plazos de conservación fiscales y contables, la información al comité de empresa, la firma cualificada eIDAS, la pista de auditoría y el flujo de archivación con plataformas de gestión de contenidos. Se complementan: el de gastos aporta los documentos de gasto al de gestión documental para su archivación, y este archiva los expedientes del Employee-Data-Management (clúster #30), el Contract-Offer-Generation (clúster #29) y el Employee-Relations-Case (clúster #31). Ambos comparten el marco del RGPD, la LOPDGDD, el Estatuto de los Trabajadores y los convenios colectivos.

¿Qué pasa después?

1

30 minutos

Primera reunión

Analizamos su proceso e identificamos el punto de inicio óptimo.

2

1 semana

Discover

Mapeo de su lógica de decisión. Reglas documentadas, Decision Layer diseñado.

3

3-4 semanas

Build

Agente productivo en su infraestructura. Gobernanza, audit trail, cert-ready desde el día 1.

4

12-18 meses

Autosuficiencia

Acceso completo al código fuente, prompts y versiones de reglas. Sin vendor lock-in.

Implementar este agente?

Evaluamos su paisaje de procesos y mostramos como este agente encaja en su infraestructura.