Los ‘compliance officers’ se preparan para los nuevos riesgos derivados de la IA, la ciberseguridad y la protección de datos

Entre dos reformas penales, la del año 2010 y la del 2015, una circular de la Fiscalía general del 2015 y un entorno digital cada vez más complejo con exigencias legales en materia de ciberseguridad, protección de datos e inteligencia artificial, apareció el papel del compliance officer en esta última década, en la que surgió ASCOM, Asociación Española de Compliance, impulsada por 11 profesionales ha ido evolucionando.

En este Día del Compliance Officer que reunió a más de 500 profesionales en la capital de España, con ponencias claves sobre sus retos profesionales, el propio Manuel Marchena, presidente de la Sala de lo Penal del Tribunal Supremo, ya    elogio el papel de estos expertos como transformadores de la cultura de cumplimiento en las organizaciones.

Ahora varios de estos profesionales, ubicados en empresas de primer nivel en nuestro país, explican a Economist & Jurist cómo ha evolucionado su papel en la actualidad y a que retos se enfrentan en el día a día como gestores de los riesgos de sus entidades. Unos retos más digitales que nunca, derivados de la inteligencia artificial (IA), la ciberseguridad y la protección de datos. Un trabajo realizado en la sombra pero necesario para mejorar la reputación de las compañías de un colectivo que sigue sin contar con su estatuto profesional, pese a las demandadas hechas por el colectivo.

Javier López-Galiacho, director de Cumplimiento y Sostenibilidad del Grupo Fomento de Construcciones y Contratas (FCC), es integrante de la Junta Directiva de ASCOM. “Creo que, como dije en mi discurso de ingreso en la Real Academia de Doctores, la ética y la sostenibilidad han pasado de los cuentos a las cuentas. Todos los temas de sostenibilidad se están haciendo de cumplimiento y debida diligencia. En nuestro grupo FCC tenemos unidos la unidad de cumplimiento con la de sostenibilidad. Esto empezó de forma voluntaria desde la responsabilidad social corporativa, con las reformas penales del 2010 y 2015 se ha hecho algo necesario como gestión de riesgo de las empresas y de toma de decisión en los consejos de administración”, señala López-Galiacho.

Para este experto, ponente en una mesa sobre canales de denuncia y acoso, la puesta en marcha de dichos canales generó problemas en las organizaciones en su implementación: “Los canales de denuncia se tenían voluntariamente, pero desde la Ley 2/2023 de protección al denunciante, se volvieron obligatorios. Ahora lo que deja claro esta Ley, que traspone una directiva del 2019, es que hay que asegurar la confidencialidad y la no represalia para el denunciante. La aprobación de la Autoridad de Protección al Denunciante es clave en el ámbito sancionador”.

Sobre su actividad como compliance officer comenta que “debemos liderar la cultura ética y de cumplimiento de cada organización; al mismo tiempo gestionar adecuadamente los canales de denuncia para instruir las comunicaciones que te llegan; y en tercer lugar, es importante tener una gestión de los riesgos actualizada y en permanente revisión, como nos piden también las autoridades desde que se aprobase la reforma del Código Penal del 2015. Se trata de reducir los riegos de la empresa y respaldar la reputación de la compañía”.

Mesa redonda sobre acoso laboral, en la que Jesus Pindado y Javier López-Galiacho han coincidido con Juan Antonio Sánchez, de Carrefour España, y con Cristina Cañas, de Renfe. (Imagen: ASCOM)

Elena Canabal, vocal de la Junta de ASCOM, compliance officer en un bróker y responsable del grupo de trabajo en esta entidad Under 35, cree que “hay un paradigma nuevo sobre lo que debe ser el papel del liderazgo de los compliance officer. Este nuevo líder compagina muchos aspectos ya consolidados de una profesión que se ha ido formando. Es un líder muy psicológico, que le preocupa no solo su equipo, sino cómo hacer los procesos más eficientes. Está alineado con la IA, herramienta que le ayudarán a tomar decisiones y ser más eficiente”.

En su opinión, “en nuestro trabajo nos enfrentamos a diversos retos como son la economía de escala en las empresas y otras cuestiones. En cuanto a su perfil puede ser diverso mientras que tenga una ética sólida y una constancia y diplomacia interna. La cuestión es tener los skills necesarios para realizar esa labor como profesional. En algunas empresas el compliance officer ha evolucionado a un departamento con más integrantes. Hay muchas responsabilidades que asumir en estos momentos”.

En cuanto a la complejidad del trabajo de estos profesionales “es complicado trasladar la sensibilidad y la cultura compliance porque al final no hay mejor manera de hacerlo. Hay que darse cuenta que no estás en la mente de tus empleados. Por eso es fundamental empatizar con ellos y dar mensajes claves. Tenemos la fama de ser como el policía amistoso en las organizaciones. Siempre parece que tenemos el afán de controlar, pero lo importante es que gracias a las habilidades que tenemos como profesionales nos podamos ir ganando a nuestros compañeros y que entiendan lo que hacemos”.

Riesgos de criptoactivos

Gloria Hernández, socia de la boutique legal finReg 360 y miembro de la Junta Directiva de ASCOM, explicó en una entretenida ponencia el papel de los compliance officer en la gestión de los criptoactivos: “La evolución ha sido notable, también en el sector financiero sujeto a distintas regulaciones. La más importante es que ahora se tiene mucho más en cuenta a los profesionales de cumplimiento en este tipo de entidades financieras. Ahora el área de negocio es consciente que el compliance officer debe estar desde el principio para definir la idea y el producto. Ahora el reto fundamental es encontrar el equilibrio entre la innovación y garantizar la seguridad de las entidades financieras”.

Desde su punto de vista, no ha sido fácil que esta figura del compliance officer haya recalado en estas empresas que gestionan criptoactivos. “Al final es importante que el profesional conozca bien el negocio y sus particularidades y pueda hablar el mismo lenguaje que los expertos en estos medios pegos. A este respecto el uso de tecnologías emergentes nos puede ayudar en la gestión de este tipo de activos digitales que están sujetos a muchas fluctuaciones y que en un día pueden subir o bajar un 10%de su valor total”.

Parte del trabajo de estos profesionales según esta jurista se encuentra en entender la regulación que llega con el Reglamento Mica que se vertebra a través de otros trece Reglamentos, así como cualquier decisión de organismos europeos como la ESMA y la EBA, necesarios para que los negocios puedan funcionar y no estar expuestos a sanciones importantes. “En este escenario financiero tan cambiante las operaciones de criptomonedas tienen su riesgo y el papel de estos profesionales es el de mitigarlos y dotarlas de la seguridad jurídica necesaria”, comenta.

Gloria Hernández explicó de forma muy amena cómo debe gestionar un ‘compliance officer’ los criptoactivos. (Imagen: ASCOM)

Minimizar los nuevos riesgos

En opinión de Elisabeth Escayola, profesional que forma parte del área de compliance de Triodos Bank, y que fue otra de las fundadoras de ASCOM en el 2014, “ahora los compliance officer nos enfrentamos a los nuevos riesgos que van apareciendo y que tienen un carácter tecnológico, relacionado con la ciberseguridad y la protección de datos, así como de IA. Estas herramientas las utilizamos en nuestra actividad, pero tienen una parte delicada que debemos tener controlada en cuanto a los sesgos o a la vulneración de derechos fundamentales. Se trata de minimizarlos e intentar prevenirlos, realmente”.

Respecto a los canales de denuncia y su implementación, uno de los debates de este Día del Compliance Officer, Escayola señala que “aterrizar esa obligación regulatoria que está clara en materia de procesos es algo más complicada. Había dudas sobre quién conforma ese comité de denuncias, como se gestionan. Al final son debates internos que hemos tenido que resolver para poder implementarlos según indica la normativa vigente para que sean en su uso fácilmente accesibles”.

Desde Triodos Bank, como el resto de entidades financieras, están a la espera de la llegada del Reglamento Dora “es una normativa importante que debe ayudar al sector financiero a mejorar su tiempo de respuesta en cuanto a cómo recuperarse de un ataque informático. Muchas entidades llevamos trabajando años en materia de ciberseguridad, ahora debemos demostrar que nuestro trabajo y estrategias realmente han valido para algo. Sin una buena estrategia de ciberseguridad no se puede implementar la transformación digital con garantías de ninguna organización”.

Jesus Pindado es otro de los 11 fundadores de ASCOM y miembro de su junta directiva y compliance officer de una entidad financiera. Pindado moderó la mesa redonda sobre denuncias por acoso laboral desde el canal de denuncias, donde participaron Juan Antonio Sánchez, director jurídico de laboral del grupo Carrefour en España; el propio Javier López-Galiacho; y Cristina Cañas, jefa de compliance de RENFE.

Desde su punto de vista “la función de compliance ha sufrido una transformación radical en esta década. Al principio era poco conocida y centrada en el ámbito penal, tras aprobarse la responsabilidad penal de las personas jurídicas. Ahora también se habla de compliance y protección de datos con nuevas obligaciones. Y en estos años el ‘know how’ del compliance en relación a los riesgos es necesaria en el ámbito de la IA y de la sostenibilidad. Desde esa perspectiva la gestión de riegos va a evolucionar de forma notable en los próximos años”.

A su juicio, el compliance officer tiene más recursos que antes para realizar su trabajo “necesita más conocimientos, pero aun en muchas empresas es un profesional cualificado que reporta a la dirección de la compañía. Creo que en la actualidad la función de compliance tiene ahora un reto de ser capaces de responder a la empresa en la gestión de riesgos nuevos. “Entre esos nuevos riesgos hay que señalar el desarrollo de la IA, la sostenibilidad, la adecuada gestión de las personas en el ámbito laboral. Se trata de dar una respuesta transversal a la resolución de los problemas desde la función del compliance”.

Elena Canabal, junto a Francisco Bonatti, fue una de las conductoras de este Día del ‘Compliance Officer’. (Imagen: ASCOM)

Los nuevos riesgos son digitales

Para José Manuel Garcelán, quien muchos años compliance officer del grupo Antolin, “la función nuestra como profesionales ha evolucionado de forma notable. A partir de 2015 con la nueva reforma penal y la circular de la Fiscalía de ese año se generaron muchos cambios en esta materia. Las empresas han trabajado duro en estos programas de cumplimiento al igual que los jueces y magistrados se han hecho con este tema a lo largo de sus sentencias. La función se ha incrementado no solo en la parte penal. Ahora es más transversal se ocupa de privacidad, medioambiente o sostenibilidad”.

En su opinión “esta evolución de la actividad de compliance officer ha hecho que la práctica sea más transversal que reporta sobre muchos temas a los respectivos consejos de administración de sus empresas. Eso hace que la formación nuestra sea multidisciplinar y que en algunos casos determinadas compañías, por su volumen y responsabilidades, hayan optado por un modelo más colegiado, creando departamentos con varios profesionales, cada uno ocupándose de una materia bajo la supervisión del chief compliance officer”.

Sobre los retos más destacados que tiene que afrontar este colectivo, Garcelán indica que “con la llegada de la IA tenemos que asegurar que el uso de los compliance officer se hace desde parámetros éticos y sólidos. Se trata de seguir el Reglamento de IA, aprobado el pasado mes de agosto. Otro ámbito que preocupa es el ámbito de la ciberseguridad. De alguna manera se está creando el concepto de compliance digital y los profesionales del cumplimiento tenemos que entender la regulación, así como la implementación de estas herramientas cada vez más útiles para ser más eficientes en las empresas”.

También se ha presentado la actualización del Libro Blanco del compliance officer, que actualiza aquel primero del 2021 por el consejo asesor presidido por Alain Casanovas, socio responsable de compliance en KPMG; Miguel Ángel Encinar y Ángeles Vilegas, ambos magistrados de la Sala Segunda del Supremo; María Rubio, socia fundadora de Rubio Casas Abogados; José Luis Fernández, responsable de la cátedra Iberdrola de ética económica; y Francisco Caamaño, catedrático de Derecho Constitucional y exministro de Justicia, impulsor de la reforma del 2010 de la responsabilidad penal de las personas jurídicas.

Panorámica del evento. Más de 500 expertos en cumplimiento se reunieron en Madrid. (Imagen: ASCOM)

Edo Bakker, experto en prevención de blanqueo de capitales desde su consultora Agile Control Solutions, gestiona uno de los blogs de referencia en esta materia. Para este experto “ha crecido el ritmo de delitos penales tanto por blanqueo y financiación de terrorismo. Esto hace que se incrementen los riesgos penales y que los programas de compliance sean necesarios ahora más que nunca. Al final muchos directivos acaban imputados y en el banquillo de los acusados”.

Desde su punto de vista “en este tipo de situaciones el papel del compliance officer es clave. Hay que darse cuenta que ni la dirección ni los consejos de administración pueden estar en el día a día, eso hace que el papel de estos profesionales sea cada vez más importante. Se trata de que la empresa siga haciendo negocios tanto en el corto como en el medio plazo controlando este tipo de riesgos penales que pueden generar problemas a la dirección de la misma. Se trata de evitar sanciones y el riesgo de reputaciones inherente a ello”.

Desde su punto de vista “el compliance officer aparece integrado en un comité con otros expertos donde se oye su opinión, como gestor de riesgos en esa compañía. En otras empresas puede ser un órgano colegiado con compliance officers especializados en distintas materias, como pueden ser protección de datos, medioambiente o la práctica laboral, además de la penal. Es muy importante para ello que el compliance officer conozca bien la empresa y sus particularidades”.