Compliance tecnológico: Cinco retos para la temporada 2021/22
Después de un verano tan deseado, comenzamos una nueva temporada trepidante y llena de retos y objetivos dentro del mundo del Derecho Digital. A continuación, indico algunos de esos aspectos que considero que van a plantearnos una importante dedicación a los profesionales que nos dedicamos a ayudar a las organizaciones a cumplir las normas, mitigar sus riesgos y aportar eficiencia a los nuevos negocios y operaciones digitales:
- Reto 1. Legal Risk mapping: Cada vez resulta más complicado en organizaciones de cierto tamaño tener un mapa visual que nos ofrezca información clara de qué normas nos aplican, qué grado de madurez de cumplimiento tenemos en cada una de ellas, qué controles o medidas son comunes para cumplir varias normas, etc.
La presión normativa a las que las empresas están sometidas es abrumadora, en asuntos generales y, en particular, en asuntos digitales. En muchas compañías se genera algún tipo de estudio de aplicabilidad normativa impulsado por Legal, Compliance, DPO, etc. que, en muchos casos, pronto queda obsoleto y pierde valor.
En cambio, desde los Board cada vez existe más preocupación por el impacto que los incumplimientos normativos pueden tener en la empresa, ya sea por las sanciones o barreras de negocio que puedan representar, como por el impacto reputacional.
Por ello, resulta conveniente trabajar en la realización y actualización de estos legal risk mapping:
- con detalle del alcance, operaciones o servicios de la compañía donde nos aplican,
- que refleje los indicadores y evidencias de cumplimiento necesarias para tener en tiempo real un termómetro de Compliance Tecnológico,
- que establezca el grado de madurez y cumplimiento de los diferentes requisitos normativos y nos ayude a saber dónde trabajar y con qué medios para mitigar los riesgos más representativos,
- con capacidad de absorber los nuevos requisitos y obligaciones que van a venir impuestas por reciente o inminente normativa (ENS, NIS, DORA, nuevos criterios RGPD, Derechos Digitales, Cookies, nueva ley sobre canales de denuncia y protección de alertadores, reconocimiento facial, etc.)
- Reto 2. Uso de inteligencia artificial en procesos de la compañía: El uso de procesos de inteligencia artificial se está extendiendo poco a poco en todas las áreas de una organización.
Si bien inicialmente se aplicó a la gestión de clientes, mejorar su perfilado y segmentación, predecir hábitos de consumo o preferencias, actualmente las áreas de RRHH, operaciones, administración y financiero, legal, etc. también se están apuntando al uso de tecnologías y herramientas que utilizan la Inteligencia Artificial.
En este sentido, será fundamental participar y asesorar como profesionales de derecho digital en tales proyectos desde dos diferentes enfoques:- Comprobar que el uso de IA está alineado a las buenas prácticas internacionales que se han publicado desde diferentes instituciones (trazabilidad, auditoría, calidad de algoritmos, etc.), así como alinearlo a los criterios de la futura normativa europea que ya se ha planteado por la Comisión Europea. Por supuesto, uno de los retos es la protección de los derechos de los individuos y que el uso de IA no vulnere los mismos en términos de igualdad, privacidad, etc.
En este sentido, España publicó noviembre de 2020 una Estrategia Nacional de Inteligencia Artificial donde uno de sus 6 ejes estratégicos es el de “establecer una marco ético y normativo que refuerce la protección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social”. - Protección de intangibles por la aplicación de IA en procesos de negocio, es decir, proteger los algoritmos creados o licenciados, los resultados y datos generados por aplicación de la IA, secretos comerciales, viabilidad para comercializar información disociada, etc.
- Comprobar que el uso de IA está alineado a las buenas prácticas internacionales que se han publicado desde diferentes instituciones (trazabilidad, auditoría, calidad de algoritmos, etc.), así como alinearlo a los criterios de la futura normativa europea que ya se ha planteado por la Comisión Europea. Por supuesto, uno de los retos es la protección de los derechos de los individuos y que el uso de IA no vulnere los mismos en términos de igualdad, privacidad, etc.
- Reto 3. Gobierno del camino al Cloud: Sin duda muchísimas organizaciones llevan tiempo contratando más y más servicios en Cloud, trasladando gran parte de su IT a la nube, ya sea en modo IaaS, PaaS, SaaS, etc. y la tendencia es seguir haciéndolo en mayor medida.
Las implicaciones a nivel legal, de riesgos y cumplimiento son muy diversas en ese “journey to Cloud”, y a la vez muy diferentes de un modelo de internalización de la tecnología, en aspectos como la responsabilidad contractual del proveedor, el control de los datos, los riesgos de ciberseguridad, la gestión de evidencias de cumplimiento, Auditorías y supervisión por terceros o por Autoridades de Control, licenciamiento de software y modo servicio, gestión de crisis y brechas de seguridad, plan de salida y cambio de proveedor, etc.
Por todo ello, se hace más necesario que nunca diseñar e implantar un sistema de Gobierno para el Cloud en cada organización, donde se definan los roles, responsabilidades y jerarquías en las variadas tomas de decisión que hay que tomar y que pueden conllevar importantes impactos para la compañía en términos de ineficiencia, asunción de riesgos, mayor coste en la factura del proveedor, problemas de seguridad, falta de coordinación interna, etc.
Es necesario quitarse de la cabeza que ir a la Cloud es igual a desalojar todo tipo de responsabilidades en la compañía y que esa responsabilidad es asumida por el proveedor de manera íntegra. Es vital dotarse de esas políticas y procedimientos internos sobre Cloud para una mejor gestión de la contratación, monitorización y mantenimiento, cálculo de ahorro económico, mejor interlocución con el proveedor, mayor mitigación de riesgos, mejor control de eventuales crisis… - Reto 4. Implantación de Legaltech: Se habla mucho de Legaltech, de su mercado floreciente y de lo que aporta la digitalización y la incorporación de tecnologías en la función de las áreas legales, de Compliance y de Riesgos.
Pero considero que es necesario dar un paso más y sacar todo el partido a las posibilidades que muchas herramientas nos ofrecen. En muchas organizaciones apenas se han implantado ninguno de estos sistemas o se limitan a gestores documentales, de expedientes, bases de datos, y otros productos de estas características.
En algunas grandes corporaciones ya podemos ver cómo se han incorporado a los equipos legales y de Compliance expertos en tecnologías que ayudan a valorar la oferta de mercado, realizar demos y pilotos, liderar la implantación de las tecnologías seleccionadas, hacer un seguimiento de su utilidad y uso a través de indicadores, etc.
En esta temporada 21/22 creo que debemos dar un paso de madurez y apostar por tecnologías Legaltech más disruptivas (y muy testeadas) que incorporan machine learning e IA y cuya aportación es enorme para una Asesoría en términos de valor añadido, capacidad de gestión de riesgos legales, ahorro de tiempo de los equipos, visión holística del estado de la compañía a nivel legal, capacidad de report a Dirección y Consejo, mejor relación e interlocución con áreas de negocio y con empleados, mejor control de medidas legales en los procesos de negocio, etc. - Reto 5. Apoyo continuo en la Transformación Digital: Considero que ya era un reto en la temporada anterior 20/21, y quizá lo siga siendo en la siguiente. Y es que los profesionales del Derecho Digital deben estar al lado de las áreas de IT y las oficinas de Transformación Digital, ya que los retos a los que se enfrenta la organización son enormes.
Resulta fundamental conocer el diseño de los nuevos procesos, de la incorporación de tecnologías, del tratamiento de los datos, etc. que se pretende realizar en la organización, ya que el impacto legal es muy grande en aspectos como las responsabilidades contractuales, el cumplimiento de la normativa de protección de datos, propiedad intelectual e industrial, la protección de activos intangibles, la ciberseguridad, etc.
Para terminar, resulta necesario implantar un sistema de “legal by design” y poder dar esa cobertura legal de manera continua desde que se diseña ese nuevo producto o servicio, pero además resulta necesario establecer un buen sistema de gestión que facilite internamente los análisis de riesgos legales, la custodia de evidencias de cumplimiento y control, la monitorización de controles legales en el avance del proyecto, etc.
Hay muchos más retos para los profesionales del derecho digital, pero he querido hacer mención a estos cinco que considero los más fascinantes que se nos plantean para los próximos meses.
Mucho ánimo y salud compañer@s para enfrentarnos a esta temporada 2021/22.
Carlos A. Saiz
Presidente de ENATIC y socio de Ecix Group
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!