• El impacto de la IA y los desafíos que plantea para las organizaciones ha protagonizado el Encuentro Cumplen
• Cumplen celebra su 10º aniversario en 2024, un año marcado, entre otras cuestiones, por el Reglamento de IA y la Directiva de Sostenibilidad
• “Vivimos en un momento de consolidación del Compliance. Los nuevos dominios normativos son muy diferentes al Derecho Penal, que es el germen de todo esto. De ahí, que sea un movimiento transformador”, ha afirmado el presidente de Cumplen, Carlos Sáiz Peña

El Encuentro Cumplen, que se ha celebrado el 25 y el 26 de enero en el Meeting Place de Madrid, ha sido el primer evento de este 2024 en el que la asociación celebra su 10º aniversario.

La Inteligencia Artificial (IA) ha sido, sin duda, el tema estrella de esta edición, su implementación en el ámbito de las organizaciones, sus riesgos, así como el cumplimiento del nuevo Reglamento IA. Además, en esta cita -que ha contado con el patrocinio Premium Exclusivo de Aenor y Lefebvre y el patrocinio Oro de Fortuny Legal y One Trust- se han abordado otros temas clave para los profesionales del Cumplimiento Normativo como la gestión del Compliance sociolaboral, de Competencia, las investigaciones internas o el papel del Compliance Officer en los Consejos de Administración. Durante la sesión inaugural, el magistrado de la Sala Segunda del Tribunal Supremo Julián Sánchez Melgar ha hecho un breve análisis de la responsabilidad penal de las personas jurídicas, así como un repaso sobre las sentencias más recientes del Supremo en materia de Compliance. El magistrado ha apuntado que hay delitos que hoy en día no generan responsabilidad penal para las empresas, como los delitos de tráfico, pero que podría llegar.

Junto a él, en la sesión inaugural han intervenido el presidente de Cumplen y vicepresidente de Ecix Tech, Carlos A. Sáiz Peña, y la catedrática de Derecho Penal de la Universidad Autónoma de Madrid y presidenta de Transparency International España y Miembro del Board Internacional de Transparency International, Silvina Bacigalupo, quien ha destacado la “visión” que tuvieron los fundadores de Cumplen hace 10 años al poner en marcha la asociación. “Se veía una necesidad de profesionales que pudieran asesorar adecuadamente en el marco del artículo 31 bis, que podía dar lugar a una importante función de control de riesgos y verificación del estado de prevención de esos riesgos. No puede haber en este momento una función más compleja en el ámbito jurídico”.

Por su parte, el presidente de Cumplen ha apuntado que “la comunidad profesional crece, crece el expertise, el conocimiento, el debate… y es muy enriquecedor. Vivimos en un momento de consolidación del Compliance, un modelo transformador arrollador. El rol está más asentado en las organizaciones. Los nuevos dominios normativos que se ubican en el ámbito del Compliance son muy diferentes al Derecho Penal, que es el germen de todo esto. De ahí, que sea un movimiento transformador”.

“La tecnología debe tener inteligencia normativa para poder ayudar a las empresas”

Tras las intervenciones de apertura, Gema Sanz, directora de Desarrollo de Negocio y Relaciones Institucionales en Madrid Network, ha moderado los talleres de Tecnología en Compliance. En el primero han participado Ana Belén Matellano, Strategic Account Manager en Lefebvre; Claudia Rasi, Senior Solution Engineer en One Trust, y Carlos A. Sáiz Peña, quienes han abordado la aplicación de tecnologías para hacer más eficiente la función de Compliance. Gema Sanz ha comenzado el debate destacando que “la figura del Compliance por la presión normativa es un tema estratégico en las empresas, pero no sólo por obligación legal, también por la responsabilidad corporativa y ética. Compliance y tecnología es el matrimonio perfecto porque hace más eficiente nuestro trabajo”.

Por su parte, Ana Belén ha remarcado que “hay cuatro desafíos que son reiterativos:

generar cultura de Compliance en las empresas, una producción normativa inmensa,

la trazabilidad de lo que hacemos y la falta de recursos necesarios para afrontar los distintos riesgos”. En este sentido, Claudia Rasi ha agregado que, a su juicio, “uno de los desafíos es que el panorama normativo está en constante evolución. Es fundamental tener tecnología que te ayude en la optimización. El entorno tecnológico y los procesos de las empresas son muy complejos. Por eso, la tecnología debe tener inteligencia normativa para poder ayudar a las empresas a conocer todos los cambios y de alguna manera guiarte”. “En Reino Unido uno de los sectores donde más fuerte ha pegado el uso de la IA es en el sector legal, algo que todavía no ha ocurrido en España”, ha añadido Carlos A. Sáiz Peña.

Posteriormente, Javier Puyol, director en Puyol-Abogados & Partners, presidente del Consejo de Administración de Becompliance, council de MA Abogados, socio de Vessel Legal y vocal de la Junta Directiva de Cumplen; Cristina Fabre Chicano, directora de auditoría, cumplimiento y riesgos en CEPSA, y Bertol Gorospe, director de Desarrollo de Negocio de MIAbogado, han abordado la aplicación de tecnologías para hacer más eficiente la función del Compliance. Javier Puyol ha recordado que “la IA funciona en base a algoritmos y actualmente no se conoce cuál es el sesgo o inclinación que tienen”. En su opinión, “los valores que tienen los ciudadanos y las empresas hay que respetarlos”, algo que, según ha explicado, todavía no está ocurriendo con la IA, ya que cuenta con sesgos discriminatorios. “Es muy importante la regulación ética y la intervención humana”, ha subrayado.

En esta línea, Cristina Fabre ha afirmado que “debemos tener unos principios éticos en base a los que usar la IA, ¿esto te hace menos competitivo? Este debate también lo tenemos en la sostenibilidad. Creemos que no, porque al final te da una credibilidad en el mercado y eso también cotiza”. Bertol Gorospe, por su parte, ha incidido en que “hay herramientas predictivas que puedan anticiparse a las amenazas, pero hay muchos profesionales del Derecho que están lejos de estar digitalizados. Si no tenemos un ‘Teams’ difícilmente vamos a tener IA. Así que, lo siguiente es no tenerle miedo: esto te viene a ayudar, no te viene a sustituir. En cinco años todas las áreas legales van a tender a tener una tecnología de IA que les ayude en todo”.

Norma UNE 19604: “da un paso adelante respecto a otras normas que surgen en base a modelos más preventivos”

También se ha debatido sobre la Norma UNE 19604: sistema de gestión en Compliance sociolaboral, con la moderación de Ignacio Esteban Ros, socio del Departamento Laboral en Garrigues y vocal de la Junta Directiva de Cumplen, y la participación de Marta Fernández, secretaria del subcomité Técnico de UNE y gestión de proyectos de normalización en Asociación Española de Normalización; Mayrata Conesa, Manager de Compliance y Buen Gobierno en AENOR; y Ester Alonso, Corporate Labor Relations Director en Logista. Ignacio Esteban ha señalado que “nos enfrentamos a acelerados y disruptivos cambios en el contexto social y tecnológico, esta realidad social es la que recomienda organizaciones transparentes que incorporen sistemas de cumplimiento normativo en las empresas”.

Marta Fernández ha recordado que “hay unas 33.000 normas en el catálogo de UNE y las de Compliance están entre las 50 más importantes”. Ha explicado que “con la UNE 19604 se ha buscado que la norma sirva para todo tipo de organizaciones, eso ha sido un reto”. “Todo lo que en la norma aparece como ‘debería’ son recomendaciones. Por eso, se elaboró un anexo informativo donde se recogen ideas para los distintos ámbitos. Por ejemplo, en el ámbito de la igualdad y no discriminación se habla del empleo del CV ciego a la hora de seleccionar a una persona”. Durante su intervención, Mayrata Conesa ha destacado que “esta norma da un paso adelante respecto a otras normas que surgen en base a modelos más preventivos. Lo que proporciona un enfoque más completo del sistema de Compliance. Es una certificación de un sistema de gestión, se certifica que existe un modelo garantista”. A su juicio, “no hay modelo de Compliance que no tenga como base el liderazgo y el compromiso del órgano de gobierno de la organización. Ese liderazgo en esta norma va ligado a la necesidad de cultura de Compliance, siempre desde el liderazgo, desde arriba hacia abajo”.

Por su parte, Ester Alonso ha remarcado que “el legislador sí que suele decir lo que hay que cumplir, pero no cómo cumplir. Esto es un panorama de inseguridad jurídica brutal en las organizaciones. El gestor de las relaciones laborales debe tener una visión estratégica, un sistema de gestión que le ayude a prever el incumplimiento y esta es la finalidad a la que responde la norma UNE 19604”. Ha defendido que “tener un sistema de gestión de Compliance sociolaboral, sin lugar a duda, va a dar mayor confianza a los socios estratégicos de la empresa”.

Investigaciones internas: “lo primero que hay que hacer es proteger al informante, tanto su identidad como la información que está aportando”

Asimismo, durante el encuentro, se ha celebrado una mesa de debate sobre investigaciones en Compliance, moderada por Miquel Fortuny, socio director de Fortuny Legal y vocal de la Junta Directiva de Cumplen, en la que han intervenido Sandra Llamera, Chief Compliance Officer en Pharmamar; Sonia Trendafilova, Litigation Associate en Clifford Chance; y María Ángeles Villegas, magistrada Coordinadora del Gabinete Técnico de la Sala de lo Penal del Tribunal Supremo. Sandra Llamera ha afirmado que “quienes estemos involucrados en el proceso de investigación tenemos que ser absolutamente conscientes de que estamos representado el buen hacer en el tema de las investigaciones”. Asimismo, ha apuntado que “un reto adicional es cómo gestionar cuando el informante no obtiene el resultado que espera y cuando hay terceros implicados en la investigación”.  Sonia Trendafilova, por su parte, ha agregado que “una vez surgida la necesidad de realizar una investigación interna hay que acudir a la normativa interna para ver cómo afrontamos esta investigación. Lo primero que hay que hacer es proteger al informante, tanto su identidad como la información que está aportando. En ocasiones, al inicio de la investigación queremos correr y no pensamos en aspectos básicos que no perjudiquen los resultados”.

“El hecho de que haya una previsión legal de obligación de colaborar, en principio, no implica una vulneración del derecho a no autoincriminarse. Lo importante es el contenido del material que se aporta. Si se pide material que pueda tener relevancia incriminatoria eso sí vulneraría el derecho a no declarar”, ha explicado María Ángeles Villegas, quien ha reconocido que se trata de un tema “controvertido”. En esta materia, ha añadido, “tenemos que ajustarnos mucho a la nueva jurisprudencia, especialmente del TJUE”. Durante esta sesión, se ha producido la firma del acuerdo entre Cumplen y Women in a Legal World, organización que trabaja para incrementar la presencia de la mujer en las posiciones de dirección. Tamara Wegmann, Group Head of Legal and Compliance en Heritage B Group, y Carlos A. Sáiz Peña, presidente de Cumplen, han formalizado el acuerdo.

En este Encuentro Cumplen ha tenido especial protagonismo la Inteligencia Artificial con una mesa redonda en la que se ha abordado el Reglamento de IA y el impacto sobe el Compliance, moderada por Carlos A. Sáiz Peña, presidente de Cumplen y vicepresidente de Ecix Tech. Roberto Baratta Martínez, Director of Loss Prevention, Business Continuity and Security & DPO en ABANCA, Marjorie Colas, General Counsel & Compliance Officer Iberia en Accorinvest, y Antonio Muñoz Marcos, Data Protection Technical Director, Global DPO Office en Telefónica, han debatido sobre este tema. “¿Era necesario un Reglamento de IA? No creo que podamos estar en contra de una normativa que pone al ciudadano europeo en el centro y está aquí para defender nuestra salud y nuestra seguridad. Ninguna empresa querrá desarrollar innovación sin defender estos valores. Pasó con la protección de datos y ahora pasa con esto”, ha afirmado Marjorie Colas. “Hay sectores más tecnológicos con modelos muy avanzados, pero en otros hay que hacer un trabajo previo de formación para implementar políticas que se entiendan y que todo el mundo se sienta responsable, si no no funciona”.

En este sentido, Roberto Baratta ha apuntado que “los ciclos tecnológicos se han acelerado en los últimos 10 años. Creo que -la IA- sí que está afectando a derechos y libertades personales, así que, si tenemos normas para todo, yo creo que está bien tenerla. En este continente vivimos de la regulación. Todas las regulaciones que vienen de la Comisión tienen como trasfondo una batalla con Estados Unidos”. Al final, ha agregado, “el modelo norteamericano se ha acabado adaptando a regañadientes al modelo europeo sobre protección de datos porque es aquí donde facturan”. Antonio Muñoz ha considerado que “cuanta más sinergia haya entre privacidad y Compliance, organizativamente hablando, más fácil será implementarlo”. A su juicio, “la experiencia del Reglamento General de Protección de Datos (RGPD) nos ha marcado mucho a todos. Ahora debemos aprovechar el tiempo que tenemos, empezar a utilizar herramientas que ya estamos utilizando en Protección de Datos para empezar a registrar sistemas de IA. Estamos a tiempo de hacer las cosas bien”.

Como en anteriores ediciones, se ha presentado el Informe Transparencia y Buen Gobierno sobre Prácticas de Ética y Cumplimiento de las empresas del Ibex 35. En la presentación, moderada por David López Medina, secretario general de Cumplen, han intervenido Javier Martín, director ejecutivo de Fundación Haz; Fernando Fraile, Compliance Strategy & Global Coordination en Iberdrola, y Sofía de las Cuevas, directora de Asesoría Jurídica y Cumplimiento en Enagás.

Javier Martín ha presentado los resultados del informe, entre los que ha destacado que un 100% de las empresas participantes tienen un código ético de conducta, pero sólo un 34% una política general. En cuanto a la verificación externa, sólo un 9% cuenta con ella, entre otras cosas, según ha indicado, porque la certificación ISO es muy reciente. Por otro lado, un 57% de las empresas dedica recursos a la formación, mientras que sólo un 11% a la concienciación. Además, ha apuntado que el 86% de las organizaciones tienen un canal ético implementado. Sin embargo, según ha apuntado, no basta contar con un canal, también hay que tener un sistema de gestión del canal, y en este caso el porcentaje baja al 63%. Los resultados, según ha concluido, han registrado una importante mejoría en los últimos tres años. No obstante, ha remarcado que “hay que seguir insistiendo en que es necesario mejorar la rendición de cuentas con la práctica de un informe anual”.

“Nuestro desafío ha estado en cómo plantear la campaña de concienciación y de comunicación respecto a los profesionales que trabajan en la organización. Es un trabajo que ha salido bien, pero no ha sido fácil. También hemos hecho un roadshow de cumplimiento por las distintas instalaciones que tenemos en España para hablar de cumplimiento”, ha explicado Sofía de las Cuevas, directora de Asesoría Jurídica y Cumplimiento en Enagás, una de las empresas que ha participado en el informe. Por su parte, Fernando Fraile, Compliance Strategy & Global Coordination en Iberdrola, ha señalado que en su caso una razón para participar en el informe ha sido que “no encontrábamos un foro en el que se hablara de las obligaciones de cumplimiento del día a día, tenemos un montón de índices y organizaciones que nos preguntan y que quieren saber sobre ética empresarial. Es una forma de ponerlo todo en un sitio, es agilidad. También por una cuestión de sostenibilidad”.

“Es importante que los profesionales del Compliance sean nombrados por la Comisión de auditoría”

La jornada ha finalizado con la presentación de los resultados de la encuesta "Situación del Compliance", realizada por el alumnado del Máster en Compliance Officer de la Universidad Complutense de Madrid, por parte de Paola Andrea Rodríguez Pérez, abogada asociada en Notaría Pública Número 2, y Karina Talledo de la Piedra, legal, fiscal y Compliance. Posteriormente, ha cerrado la jornada la mesa de debate sobre Compliance en Competencia, moderada por Eduardo Navarro, consejero ejecutivo en Becompliance y vicepresidente segundo de Cumplen. Han participado Ignacio Mendoza, Legal Director en Heineken, Yolanda Martínez, socia de Marimón Abogados, y Daniel García-Zarza, subdirector adjunto de cárteles y clemencia en la Comisión Nacional de los Mercados y la Competencia (CNMC). Este último ha afirmado que “la CNMC valora enormemente todas las iniciativas en materia de cumplimiento normativo porque nos interesa que los mercados funcionen por si solos, sin necesidad de acudir a un arma como un expediente sancionador”.

Por su parte, Yolanda Martínez ha apuntado que “la norma UNE es muy completa, además incluye muchos conceptos del Derecho de la Competencia que como punto de partida para un Compliance Officer están muy bien. Además, sigue las pautas de contenido de la CNMC. Dicho esto, que sea efectivo o valorado positivamente por un eventual expediente sancionador dependerá del caso. Siempre será un plus, pero no creo que vaya a modificar el criterio propio de la autoridad de competencia”. Ignacio Mendoza ha agregado que desde su organización “nuestro programa de cumplimiento en Competencia sobre todo se basa en la formación”. “Intentamos llegar a todos los estratos comerciales, para ello hacemos de 10 a 15 formaciones anuales”, ha explicado. “Cada año desarrollamos un plan de competencia en el que definimos qué acciones se van a desarrollar ese año. Toda decisión estratégica comercial que se toma siempre cuenta con una persona del departamento legal”.

El Encuentro Cumplen ha celebrado una segunda jornada en la que se ha analizado qué esperan los Consejos de Administración del Compliance, con la moderación de Almudena Salvadores, directora de Cumplimiento en AENA y vocal de Cumplen. En esta mesa de debate han participado Rita Estévez, presidenta de la Comisión de Tecnología, vocal de la Comisión de Auditoría y Retribuciones en Morabanc, consejera independente en Línea Directa y vocal de la Comisión de Nombramientos y Retribuciones de Sostenibilidad; Tomás Varela, presidente de la Comisión de Auditoría de AENA, presidente de la Comisión de Auditoría de Julius Baer y consejero independiente de Finalbion SLU. AENA, y Jaime García-Legaz, miembro de los Consejos de Administración de Renantis, Nature Investments, Boab AENA Brasil y Canal de Isabel II.

Tomás Varela ha destacado que “si tradicionalmente la empresa está organizada por una serie de funciones a lo largo de toda su cadena de valor, y eso se configura en una estrategia y constituye el valor de la compañía, Compliance está en todas esas capas, va de extremo a extremo de la actividad de la compañía, por tanto, requiere una experiencia muy amplia”. Por su parte, Rita Estévez ha subrayado que “una compañía que no incorpore la IA generativa va a perder competitividad en el corto plazo, pero hay que hacerlo con una reflexión estratégica importante. El modelo de la compañía se va a ver transformado”. Asimismo, ha añadido que desde la perspectiva de riesgos “Compliance tiene un papel muy importante. La IA es una herramienta con mucho potencial, pero genera riesgos legales, reputacionales, de ciberseguridad…”. Por eso, “nuestra obligación como Consejo es cuidar al equipo e integrar la IA siempre desde una perspectiva de formación”. Jaime García-Legaz ha señalado que “es importante que los profesionales del Compliance sean nombrados por la Comisión de auditoría y que el CEO tenga claro que las órdenes las dicta la Comisión de auditoría”.

Posteriormente, con la moderación de Miguel Soler Ruiz-Boada, Internal Audit & Compliance Officer Director en Prosegur y vocal de la Junta Directiva de Cumplen, María Llosent, consultoría estratégica, ha abordado los nuevos perfiles del Compliance. “En las dinámicas organizacionales el Compliance Officer juega todo el rato entre pertenecer y no pertenecer, porque cuando perteneces parece que validas todo lo que pasa y cuando no perteneces no te lo cuentan. Ese juego es la clave, necesitamos pertenecer y al mismo tiempo mantenernos en alerta para reaccionar, porque nos permite escuchar los mensajes de la organización”. Durante el Encuentro Cumplen, también se ha reflexionado sobre los modelos público y privado con Patricia Muleiro, DPO & Compliance Officer en Clínica Universidad de Navarra y vocal de la Junta Directiva de Cumplen, como moderadora; Belén López Donaire, directora de los Servicios Jurídicos de la Administración de la Junta de Comunidades de Castilla-La Mancha; Diego Recacha Pló, director de Compliance y Control Interno de Leroy Merlin España; Gemma Sánchez, letrada y asesoría jurídica en Cámara de Comptos de Navarra.

“Los marcos de integridad están relacionados con el derecho a la buena administración y la propia carta de derechos fundamentales. Esto se traduce en que hay que poner el foco en la mejora de la calidad y de los servicios públicos poniendo al ciudadano en el centro de las administraciones”, ha explicado Belén López Donaire. “Los marcos de integridad sirven además para cumplir los Objetivos de Desarrollo Sostenible (ODS)”, ha agregado. Por su parte, Gema Sánchez ha apuntado que “desde las entidades fiscalizadoras nos acercamos a los temas de integridad con referencia a corrupción y rendición de cuentas, pero también tenemos que ser ejemplo para el ciudadano y para las entidades que fiscalizamos en relación con la implantación de programas de ética y de integridad”. Y es que, “en España vamos muy por detrás de lo que han hecho otras entidades de fiscalización externa. Desde el punto de vista internacional, las principales entidades de fiscalización cuentan con modelos de integridad, con buzones internos y externos desde hace muchísimos años. Ver lo que los demás han hecho nos sirve de ejemplo”, ha añadido.

Diego Recacha Pló ha recordado que “en España empezó toda la ola de cumplimiento entre 2010 y 2015, desde entonces hemos evolucionado bastante. Ahora los sistemas de cumplimiento tienen una parte de cumplimiento legal, pero también una parte voluntaria alineada con los valores de impacto positivo que generan una transformación del negocio”. Para terminar, se ha celebrado una mesa titulada ‘2024 el año del cumplimiento en ASG’ en la que han participado Elena Bascones, Compliance Officer de Seguros RGA y vicepresidenta de Cumplen, como moderadora; Miriam Porres, directora ESG & Compliance en Sorigué y delegada DIRSE en Cataluña; Santiago Durán, presidente del Instituto de Contabilidad y Auditoría de Cuentas (ICAC), y Juan Ignacio de Guzmán, director Global de Relaciones Institucionales y Sostenibilidad de Prosegur.

Santiago Durán ha recordado que hay una Directiva sobre sostenibilidad pendiente de trasposición, cuya fecha límite es el 6 de junio. “Se elaboró el anteproyecto en mayo del año pasado, con la participación del ICAC. Ahora, una vez constituido el Gobierno debe pasar al Parlamento dentro del plazo suficiente para que pueda ser aplicado por las empresas”. Esta Directiva, ha destacado, “establece un marco único para toda la Unión Europea para elaborar información sobre sostenibilidad”, así como “un marco de verificación similar al de una auditoría de cuentas, con unos requisitos y unas exigencias para el verificador”.

“Desde el 2021 hay un tsunami normativo que nos arrasa, por eso cada mes hacemos un recopilatorio de la normativa ASG. Solo el año pasado enviamos 198 notificaciones. Es un trabajo que DIRSE nos facilita, pero que luego hay que estudiar e integrar en tu organización”, ha destacado Miriam Porres. “¿Cómo se unen las funciones de Cumplimiento Normativo y Sostenibilidad? Si no trabajamos de la mano de las diferentes áreas va a ser imposible. En nuestro caso, estamos desarrollando grupos de trabajo en los que participamos activamente las dos áreas con diferentes equipos para prepararnos y definir todo aquello que viene, que todo no está claro del todo, y esto es uno de los mayores retos”, ha concluido Juan Ignacio de Guzmán.

Cumplen se ha reservado una sorpresa final para los asistentes: una sesión de improvisación de Jamming Sessions que ha cerrado el Encuentro Cumplen con la participación de su presidente, Carlos A. Sáiz Peña. Cumplen arranca así el año de su décimo aniversario, que continuará en los próximos meses con más eventos sobre Cumplimiento Normativo.