¿Gesprodat puede ayudar a mi empresa?

Sí. Si tu empresa maneja datos, opera en un entorno digital o necesita cumplir normativas, ofrecemos servicios de consultoría en cumplimiento normativo, consultoría de protección de datos y ciberseguridad para garantizar la seguridad y legalidad de tus operaciones.

¿Por qué es importante el cumplimiento normativo?

El cumplimiento normativo evita multas, sanciones y riesgos reputacionales. En Gesprodat realizamos evaluaciones de cumplimiento para adaptar tu empresa a regulaciones como RGPD, Directiva NIS2, ISO 27701 (gestión de información de privacidad) y Esquema Nacional de Seguridad (ENS).

¿Cómo puedo proteger la información de mi empresa?

Implementamos estrategias de seguridad a través de un Plan Director de Seguridad, que incluye auditorías, gestión de accesos, anonimización de datos, y medidas de protección contra ataques y fugas de información. También realizamos consultoría en brechas de seguridad para minimizar riesgos.

¿Qué riesgos corre mi empresa si no tiene seguridad informática?

Sin una estrategia de seguridad, tu empresa puede ser víctima de hackeos, robo de información, fraude financiero o pérdida de datos confidenciales. Contar con un responsable de seguridad y un delegado de protección de datos es clave para garantizar la integridad de la información.

¿Cuáles son los principales servicios que ofrecen?

Brindamos soluciones en consultoría de protección de datos, compliance empresarial y ciberseguridad. Nuestra especialización incluye: Consultoría LOPD: Adaptación de empresas a la Ley Orgánica de Protección de Datos y al RGPD. Consultoría compliance para empresas: Cumplimiento normativo en sectores regulados. Compliance tributario: Evaluación de riesgos fiscales y prevención de sanciones.

¿Mi empresa necesita auditorías de cumplimiento?

Si manejas datos de clientes, realizas transacciones en línea o tienes proveedores con acceso a información sensible, es fundamental realizar una evaluación de cumplimiento. En Gesprodat analizamos brechas normativas, mitigamos riesgos y garantizamos el alineamiento con estándares como ISO 27701, ENS y Directiva NIS2.

¿Qué sectores deben cumplir con normativas de seguridad y protección de datos?

Trabajamos con todos los sectores, incluyendo: Salud y farmacéutico: Protección de datos médicos y secreto empresarial. Financiero y bancario: Normativas de compliance tributario, Directiva NIS2 y DORA. Transporte y logística: Seguridad en la cadena de suministro y gestión de riesgos. Construcción e industria: Cumplimiento de normativas de protección de datos y auditorías de seguridad. Tecnología y startups: Implementación de seguridad en el desarrollo de software y protección contra ciberataques.

¿Cómo puedo saber si mi empresa está en riesgo?

Si has tenido problemas de seguridad, dudas sobre normativas o trabajas con datos sensibles, es clave hacer un análisis y evaluación de cumplimiento. Podemos ayudarte con una consultoría en brechas de seguridad y medidas de protección adaptadas a tu negocio.

¿Cómo trabajan con las empresas?

Análisis inicial: Identificamos riesgos y necesidades. Estrategia personalizada: Diseñamos un plan de seguridad y acciones específicas según el sector. Implementación y formación: Aplicamos medidas correctivas y capacitamos a tu equipo. Monitoreo y mejora continua: Aseguramos que la seguridad y el cumplimiento sean sostenibles a largo plazo.

¿Cómo contactar con Gesprodat?

Puedes escribirnos a través del formulario de contacto, info@gesprodat.com. Nuestro equipo de expertos en consultoría compliance para empresas está disponible para asesorarte según las necesidades de tu organización.

Política de Seguridad de la Información

Versión 3.0 Clasificación Pública

Referencia Org 1. Política de Seguridad de la Información

1. Aprobación y entrada en vigor

Texto aprobado el día 21 de abril de 2026 por la Directora General de GESPRODA S.L. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

2. Introducción

GESPRODAT S.L depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, autenticidad, trazabilidad o confidencialidad de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con celeridad a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la disponibilidad, integridad, autenticidad, trazabilidad, confidencialidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad y la norma ISO/IEC 27001, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC. Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de conformidad con la normativa de seguridad.

3. Alcance

El Alcance general de los sistemas de información asociados a los procesos de negocio que están sujetos a certificación del ENS y de la norma UNE ISO/IEC 27001 es el siguiente:

Sistemas de información que dan soporte a los servicios de:

Consultoría y formación en:
- Sistemas de Gestión (Calidad, Medioambiente, Sostenibilidad, RSC, Seguridad de los trabajadores, Seguridad de la información)
- Planes de igualdad
- Esquema Nacional de Seguridad
- Ciberseguridad
- Privacidad de datos personales (LOPDGDD/RGPD), delegado de protección de datos
- Compliance y Cumplimiento Normativo
Gestión e implantación de Sistemas de información Interna (Canales de denuncias)

Según declaración de aplicabilidad vigente.

La categoría objetivo de referencia que se determina para los sistemas de información descritos en este Alcance general es: NIVEL MEDIO.

4. Misión

Gesprodat es una consultoría que está especializada en Derecho de Nuevas Tecnologías, Compliance, Secretos Empresariales, Ciberseguridad y RGPD.

Tenemos más de 20 años de experiencia y, durante este camino, hemos acompañado a más de 3.500 proyectos con absoluta profesionalidad.

En Gesprodat trabajamos un equipo de profesionales de distintos sectores que nos encargamos de que las empresas se puedan adaptar a los entornos digitales y puedan cumplir con todo tipo de normativas. Por ese motivo, dentro del equipo de Gesprodat encontrarás profesionales del Derecho e Informáticos.

De ese modo cubrimos todas las necesidades de nuestros clientes para que la digitalización cumpla con todos los requisitos legales, pero, sin abandonar algo primordial, estar actualizados y hacer que vuestras plataformas digitales sean rápidas, tengan usabilidad y estén a la última en todos los aspectos.

5. Marco normativo

GESPRODAT S.L está sujeto, a título enunciativo y no limitativo, a las siguientes normativas y regulaciones:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
Real Decreto Legislativo 1/1996 (Ley de Propiedad Intelectual).
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal
Ley de IA, REGLAMENTO (UE) 2024/1689.

6. Datos de carácter personal

GESPRODAT S.L trata datos de carácter personal. Los procedimientos de protección de datos, a los que tendrán acceso sólo las personas autorizadas, recoge los tratamientos afectados y los responsables correspondientes. Todos los sistemas de información de GESPRODAT S.L se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en los mencionados procedimientos.

7. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

regularmente, al menos una vez al año,
cuando cambie la información manejada,
cuando cambien los servicios prestados,
cuando ocurra un incidente grave de seguridad,
cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

8. Notificación de incidentes

De conformidad con lo dispuesto en el artículo 25 del RD 311/2022, GESPRODAT S.L notificará a los organismos competentes aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados en relación con la categorización de sistemas recogidos.

9. Desarrollo de la política de seguridad de la información

Esta Política de Seguridad de la Información complementa las políticas de seguridad de GESPRODAT S.L en diferentes materias:

Procedimientos de seguridad informática internos.
Procedimientos de protección de datos personales internos.
Procedimientos operativos internos con incidencia en la seguridad de la información.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La normativa de seguridad estará disponible electrónicamente en el portal ENS de GESPRODAT S.L.

10. Obligaciones del personal

Todos los miembros de la compañía tienen la obligación de conocer, comprender y cumplir 6 tanto la Política de Seguridad de la Información como la Normativa de Seguridad vigente.

Es responsabilidad de cada empleado aplicar las medidas de seguridad establecidas en el ejercicio de sus funciones, garantizando así la protección de los activos de información de la organización.

El Comité de Seguridad TIC será el encargado de proporcionar los medios y recursos necesarios para la correcta difusión y comprensión de estas normativas, asegurando que todo el personal reciba la formación y actualización correspondiente. Además, se fomentará una cultura de seguridad mediante sesiones de concienciación, capacitaciones periódicas y la disponibilidad de documentación accesible para todos los colaboradores.

11. Terceras partes

Cuando GESPRODAT S.L preste servicios a organismos de naturaleza pública o maneje información de organismos de naturaleza pública, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando GESPRODAT S.L subcontrate servicios con terceros o ceda información a terceros, en el marco de una prestación de servicios a organismos de naturaleza pública, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que atañe a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

12. Mejora continua

La seguridad de la información se gestiona como un proceso de mejora continua, integrado de forma sistemática en los procesos habituales de revisión y gobierno de la organización.

Este proceso tiene en cuenta los cambios en la organización, los servicios, las amenazas, las tecnologías y la legislación aplicable, y se materializa a través de revisiones periódicas que permiten analizar, valorar y tomar decisiones en materia de seguridad de la información, demostrando el compromiso y liderazgo de la Dirección.

Como parte de la mejora continua del sistema de seguridad de la información, se llevan a cabo, de forma proporcionada al contexto y nivel de riesgo de la organización, las siguientes actividades, entre otras:

Revisión de la Política de Seguridad de la Información.
Revisión de los servicios y de la información tratada, así como de su categorización.
Ejecución periódica del análisis de riesgos, al menos con carácter anual o cuando se produzcan cambios significativos.
Realización de auditorías internas y, cuando proceda, auditorías externas.
Revisión de la eficacia de las medidas de seguridad implantadas.
Revisión y actualización de las normas y procedimientos de seguridad.

La mejora continua se apoya igualmente en los procesos de comunicación, concienciación y formación en seguridad de la información, promoviendo la participación activa del personal como elemento clave para la evolución y madurez del sistema.

13. Tratamiento de exenciones y excepciones

La organización establece procedimientos para la gestión de exenciones y excepciones a los controles de seguridad de la información definidos en el Sistema de Gestión de Seguridad de la Información (SGSI).

Cualquier exención (dispensa permanente o prolongada del cumplimiento de un control) o excepción (incumplimiento temporal de un control) deberá ser solicitada de forma justificada, evaluada en función del riesgo que representa, y aprobada por el Responsable de Seguridad de la Información o por el órgano competente designado.

Estas situaciones serán documentadas, incluyendo la justificación, la evaluación de riesgos, las medidas compensatorias (si corresponde) y el plazo de vigencia. Se establecerán mecanismos para su revisión periódica, caducidad o renovación, asegurando que no comprometan la confidencialidad, integridad o disponibilidad de la información.

14. Resolución de conflictos

En caso de conflicto entre los diferentes responsables de información o de servicio que componen la estructura organizativa de la Política de Seguridad de la Información, éste será resuelto por el superior jerárquico de los mismos, pudiendo participar en la resolución y mediación el Responsable de Seguridad de la Información. En caso de no llegar a un acuerdo, se elevará para su resolución en última instancia al Comité de Seguridad de la Información.