Agente Gestión Proveedores RRHH - CSDDD, RGPD Art. 28, ESRS S2 | Gosign

La Directiva CSDDD 2024/1760 Corporate Sustainability Due Diligence Directive de 13.06.2024 introduce la obligación de due-diligence en cadena de valor - desde 26.07.2027 para empresas 5000+ empleados y 1.500 millones EUR de facturación global, desde 26.07.2028 para 3000+/900 millones EUR, desde 26.07.2029 para 1000+/450 millones EUR. Transposición al ordenamiento español hasta 26.07.2026. Las obligaciones cubren (1) integración de la due-diligence en políticas - política de derechos humanos, política de medio ambiente, código de conducta para proveedores, (2) identificación de impactos reales y potenciales negativos - mapeo de cadena de valor tier 1 proveedores directos HR (nóminas, beneficios, formación, BPO), tier 2-N subproveedores, evaluación de riesgo de derechos humanos (trabajo forzoso Convenio OIT 29, trabajo infantil Convenio OIT 138, discriminación Convenio OIT 111, PRL Convenio OIT 155) y medio ambiente (emisiones GEI Acuerdo de París, agua Directiva 2000/60/CE, biodiversidad Convenio CBD), (3) prevención y mitigación - plan de acciones correctoras con el proveedor, auditorías externas (EcoVadis, SMETA), cláusulas contractuales con penalización CC art. 1152-1155 por infracción de estándares, (4) mecanismo de reclamación - canal para trabajadores de proveedores y comunidades locales, integración con la política de denunciantes de la Ley 2/2023, (5) monitorización y reporte - informe anual CSDDD integrado con ESRS S2 Workers in Value Chain. El agente automatiza la due-diligence mediante (a) clasificación del proveedor (país de registro, sector, certificaciones), (b) AI risk scoring sobre metadatos con confidence 80-88 por ciento con escalado al Especialista en ESG para proveedores de países de alto riesgo de derechos humanos (CPI Corruption Perception Index, ITUC Global Rights Index, US Department of State TIP Report), (c) integración con EcoVadis Sustainability Ratings para evaluación externa, (d) generación automatizada de informes trimestrales para el Consejo de Administración. Infracción de CSDDD genera sanción administrativa hasta 5 por ciento de la facturación global, responsabilidad civil del empleador por daños en cadena de valor (p.ej. trabajo infantil en subproveedor), exclusión de contratación pública UE, en casos extremos responsabilidad penal de los administradores LSC art. 236. Cross-reference a equivalencia LkSG para proveedores alemanes en cadena de valor de empresa obligada por LkSG.

El RGPD art. 28 introduce la obligación de contrato de encargo del tratamiento de datos para cada proveedor con acceso a datos de empleados - proveedores de nóminas (A3 Innuva HR, Sage, BPO Payroll), proveedores de beneficios (seguros colectivos, planes médicos, acción social), proveedores de formación (LMS, recruitment process outsourcing), proveedores SaaS HR (HRIS Workday, Personio, Bizneo). El contrato de encargo debe ser por escrito art. 28 ap. 3 y contener como mínimo: (1) objeto, duración, naturaleza, finalidad del tratamiento, (2) categorías de datos personales (datos del trabajador del Estatuto de los Trabajadores art. 8, datos sensibles RGPD art. 9), (3) categorías de interesados (empleados, candidatos, ex-empleados), (4) derechos y obligaciones del responsable, (5) obligaciones del encargado art. 28 ap. 3 letras a-h - tratamiento exclusivamente conforme a instrucciones documentadas, confidencialidad del personal, medidas de seguridad TOM Technical and Organizational Measures del RGPD art. 32, subencargados con autorización previa, asistencia al responsable en el ejercicio de derechos de los interesados, auditabilidad, devolución o supresión de datos al término, (6) derechos de auditoría. El agente valida el contrato mediante checklist de 35 elementos del RGPD art. 28 con confidence scoring 90-95 por ciento sobre cláusulas estructuradas - carencias marcadas para revisión del Delegado de Protección de Datos. Para transferencias de datos fuera del EEE las Cláusulas Contractuales Tipo SCC de la Decisión de la Comisión 2021/914 de 4.06.2021 son obligatorias desde 27.12.2022 para nuevos contratos - módulo 2 responsable-encargado (p.ej. cliente español usando proveedor estadounidense), módulo 3 encargado-subencargado (p.ej. proveedor español subcontratando a India). La sentencia Schrems II C-311/18 de 16.07.2020 anuló el Privacy Shield y exige medidas adicionales - Transfer Impact Assessment TIA con valoración del derecho nacional (FISA 702, Executive Order 12333 para EE.UU.), medidas técnicas (cifrado extremo a extremo, fragmentación de datos, claves HSM separadas de los datos), medidas organizativas (auditoría de subencargados). El Data Privacy Framework UE-EE.UU. de 10.07.2023 reemplaza parcialmente las SCC para EE.UU. para empresas certificadas. El agente valida SCC y TIA mediante AI con confidence 85-92 por ciento con escalado al Delegado de Protección de Datos - decisión de aceptación de transferencia a terceros países siempre al humano con documentación RGPD art. 30. Infracción genera sanción AEPD hasta 4 por ciento de la facturación o 20 millones EUR del RGPD.

Cuatro agentes gestionan distintas fases del lifecycle de proveedores y datos HR con perfiles regulatorios distintos - son complementarios, no competidores. Vendor Management Agent (Cluster #57 adjacent-domains) se especializa en el ciclo de vida del proveedor - onboarding (clasificación, KYV, AML), contratación (LCSP, RGPD art. 28, SCC, SLA, KPI), monitorización (KPI continuos, plazos contractuales), due-diligence CSDDD 2024/1760, reporte ESRS S2 para auditor ICAC; perfil regulatorio: Ley 9/2017 LCSP, Directiva CSDDD, RGPD art. 28, SCC 2021/914, ESRS S2. Payroll-Processing Agent se especializa en el cálculo de retribuciones - integración con Sistema RED TGSS, cálculo de retenciones IRPF, cotizaciones a la Seguridad Social, modelo 111 y modelo 190; perfil regulatorio: Estatuto de los Trabajadores art. 26-30, Ley General de la Seguridad Social, Reglamento del IRPF. Compensation-Benchmarking Agent se especializa en el análisis del mercado retributivo - datos de benchmarking Mercer, Korn Ferry, Hay Group, datos del INE Instituto Nacional de Estadística, EU Pay Transparency Directive 2023/970 transposición hasta 7.06.2026; perfil regulatorio: ET art. 28 igualdad retributiva, EU Pay Transparency Directive, Constitución Española art. 14. HR-Document-Management Agent se especializa en el ciclo de vida de documentos del expediente personal - segmentos A/B/C/D/E del expediente, derecho de acceso RGPD art. 15+17, archivado conforme con plazos legales; perfil regulatorio: ET art. 8, RGPD art. 88, normativa de archivo. Cross-reference: Vendor Management Agent aprueba al proveedor de nóminas para Payroll-Processing Agent (contrato de encargo RGPD art. 28, SLA, KPI), el agente de benchmarking utiliza proveedores de datos ratificados por Vendor Management (Mercer España, Korn Ferry España), HR-Document-Management archiva los contratos con proveedores en el segmento B del expediente corporativo con plazo de 6 años CCom art. 30. Juntos crean el ciclo completo: Vendor Management hace onboarding y monitoriza proveedores HR, Payroll Processing calcula retribuciones con proveedor aprobado por Vendor Management, Compensation Benchmarking verifica la competitividad retributiva, HR Document Management archiva contratos y documentación. Los cuatro agentes comparten infraestructura de firma cualificada eIDAS Signaturit, audit-trail RGPD art. 30+32, integración con A3 Innuva HR como ERP central.

Las categorías estratégicas de proveedores HR (nóminas, BPO HR outsourcing total, proveedores de beneficios colectivos, proveedores de SaaS HRIS) requieren procedimientos de licitación periódicos típicamente cada 3-5 años - con el fin de (1) verificar la competitividad de precios, (2) actualizar las condiciones tecnológicas (p.ej. nueva versión de software), (3) cumplimiento con la legislación actual (CSDDD 2024/1760, EU Pay Transparency Directive), (4) evitar la dependencia del proveedor lock-in. Para entidades del sector público (instituciones públicas, sociedades estatales, entidades con financiación UE 50 por ciento+) la Ley 9/2017 LCSP es obligatoria a partir de los umbrales - 143.000 EUR para suministros y servicios sector clásico, 215.000 EUR sector especial (servicios públicos), 5.538.000 EUR para obras. Procedimientos LCSP: procedimiento abierto art. 156 (más popular, abierto a todos), procedimiento restringido art. 160 (en dos fases con selección de licitadores), diálogo competitivo art. 172 (para contratos complejos innovadores), asociación para la innovación art. 177 (para desarrollo de nuevos productos). Etapas del procedimiento: (1) preparación del Pliego de Cláusulas Administrativas Particulares con descripción del objeto, criterios de adjudicación (precio máximo 50 por ciento conforme con LCSP, calidad, experiencia, certificaciones ESG/CSDDD), requisitos de participación (Registro Mercantil, AEAT, TGSS, no estar incurso en prohibición de contratar), (2) anuncio en la Plataforma de Contratación del Sector Público PLCSP o TED Tenders Electronic Daily UE para contratos por encima del umbral europeo, (3) recepción de ofertas (mínimo 35 días para procedimiento abierto con TED), (4) valoración formal y técnica, (5) selección de la oferta más ventajosa, (6) formalización del contrato. El agente automatiza la preparación del paquete - clasifica la categoría, genera el Pliego desde plantillas (con cláusulas españolas LCSP, RGPD art. 28, CSDDD), publica en PLCSP/TED, recibe ofertas a través de plataforma electrónica con firma cualificada Signaturit, pre-screening formal (situación censal AEAT, TGSS, sanciones), genera matriz de valoración para la mesa de contratación. La decisión de selección del adjudicatario siempre a la mesa de contratación con representación del Departamento de RRHH, Procurement, Asesoría Jurídica, Departamento de TI, Delegado de Protección de Datos - los criterios tienen pesos, pero la decisión final requiere juicio estratégico. Infracción del procedimiento LCSP genera sanción JCCPE Junta Consultiva de Contratación Pública del Estado hasta 10 por ciento del valor del contrato, recurso ante TARC Tribunales Administrativos de Recursos Contractuales, en casos extremos nulidad del contrato.

La Ley 15/2007 de Defensa de la Competencia LDC regula el control de concentraciones M&A y los acuerdos restrictivos de competencia en el mercado español. La CNMC Comisión Nacional de los Mercados y la Competencia tiene dos áreas clave de control: (1) art. 8 obligación de notificación de concentración - volumen global de las partes en la concentración por encima de 240 millones EUR o volumen nacional de cada una por encima de 60 millones EUR, plazo de notificación previo al cierre, prohibición de cierre de la transacción antes de la decisión de la CNMC (gun-jumping), sanciones por infracción hasta 10 por ciento de la facturación, (2) art. 1 prohibición de acuerdos restrictivos de competencia - cárteles de precios, reparto de mercado, colusión en licitación (clave para proveedores HR participantes en procedimientos LCSP), sanciones hasta 10 por ciento de la facturación anual. Relevante para vendor management HR: consolidación del mercado de proveedores (p.ej. SAP adquisición de Concur, Workday adquisición de Peakon), vínculos personales (administrador del proveedor A está también en el consejo del proveedor B - riesgo de cártel), ofertas conjuntas en licitaciones (joint venture con competidor - riesgo de colusión art. 1). El agente automatiza el screening - (a) monitorización de concentraciones entre proveedores HR estratégicos a través de RSS feeds CNMC, PLCSP, TED, base de datos de fusiones española, (b) AI scoring del riesgo de consolidación del mercado con confidence 80-88 por ciento sobre metadatos (cuota de mercado, número de proveedores en categoría, M&A activity), (c) flag de riesgo de dependencia de un solo proveedor (vendor lock-in) cuando la consolidación reduce el número de alternativas por debajo de 3, (d) requisito de consulta con el Especialista en Procurement y el Asesor Jurídico antes de renegociar el contrato con proveedor tras la concentración. Para contratación pública según LCSP: el agente valida que el proveedor participante en la licitación no infringe el art. 1 LDC (colusión en licitación) mediante análisis de vínculos de capital con otros licitadores en el Registro Mercantil - ofertas en pareja (técnicamente independientes pero económicamente vinculadas) son base de exclusión del procedimiento LCSP art. 71. Infracción genera sanción CNMC hasta 10 por ciento de la facturación anual, recurso ante la Audiencia Nacional, en casos extremos sanción penal del art. 286 ter del Código Penal (colusión en licitación - pena de prisión hasta 4 años). La CNMC tiene facultades de inspección dawn raids en sedes de empresas - el agente genera audit-trail RGPD art. 30 documentando cada decisión de vendor management para inspección.

ESG/CSRD introduce el reporte obligatorio de sostenibilidad a partir de 12 estándares ESRS European Sustainability Reporting Standards. ESRS S2 Workers in the Value Chain afecta a los trabajadores de proveedores y subproveedores en la cadena de valor - es el estándar clave para Vendor Management Agent. Los estándares ESRS S2 exigen: (1) S2-1 Políticas relativas a trabajadores en cadena de valor - política de derechos humanos conforme con UNGP UN Guiding Principles on Business and Human Rights, OECD Guidelines for Multinational Enterprises, política de due-diligence CSDDD 2024/1760, código de conducta para proveedores con mínimo 11 estándares de derechos laborales (conformes con Convenios OIT 29 trabajo forzoso, 138 edad mínima, 105 abolición trabajo forzoso, 87 libertad sindical, 98 negociación colectiva, 100 igualdad retributiva, 111 antidiscriminación, 155 PRL), (2) S2-2 Procesos de implicación - auditorías in situ (SMETA Sedex Members Ethical Trade Audit), encuestas a trabajadores, visitas a proveedores, reporte BAFA para obligados por LkSG, (3) S2-3 Mecanismos de reclamación - canal para trabajadores de proveedores y comunidades locales integrado con la política de denunciantes Ley 2/2023 (alcance ampliado que cubre no solo a trabajadores de la empresa sino también a trabajadores de proveedores), (4) S2-4 Acciones correctoras - corrección de incumplimientos identificados por la due-diligence, plan correctivo con el proveedor, monitorización de progreso, en casos extremos denuncia del contrato con proveedor, (5) S2-5 Objetivos - reducción de riesgo de derechos humanos, certificaciones SA8000, EcoVadis Gold/Silver, reducción de emisiones GEI de proveedores (Scope 3 GHG Protocol). El agente genera informes ESG automáticamente a partir de los metadatos de proveedores (país de registro, sector, certificaciones, EcoVadis rating), resultados de la due-diligence (auditorías, visitas, encuestas), datos sobre incumplimientos y acciones correctoras. El audit-trail es inmutable con sello de tiempo RFC 3161 - identificador del aprobador, fecha y hora de aprobación, firma cualificada Signaturit, base legal (LCSP, CSDDD, RGPD art. 28, SCC, ESRS S2), Decision-Type (KI/Regla/Humano). El auditor ICAC tiene acceso a los informes ESG y al audit-trail mediante API del agente - control de la existencia de políticas de vendor management, due-diligence de proveedores, ratificación de contratos, monitorización de KPI, mecanismos de reclamación, acciones correctoras. Cross-reference con IBEX-35 CIS CNMV y Código de Buen Gobierno de las Sociedades Cotizadas - las sociedades cotizadas reportan trimestralmente. Infracción del reporte ESRS S2 genera modificación de la opinión de auditoría ICAC (salvedad), infracción IBEX-35 CIS (exclusión del índice, caída de cotización), en casos extremos infracción de la EU Taxonomy 2020/852 (clasificación como actividad no sostenible). Cross-reference al Audit Compliance Agent para la auditoría externa de las cuentas anuales LSC art. 263 y los requisitos ISO 27001/SOC 2.