Carlos Alberto Sáiz, vicepresidente de Cumplen: “La legaltech y la IA tienen un papel clave en este tsunami normativo”

Una de las sesiones de este 10º Encuentro Cumplen abordó el impacto del Reglamento DORA. Esta normativa de la Unión Europea unifica y eleva los estándares de resiliencia operativa para fortalecer la seguridad en el sector financiero. Así, protege a las entidades financieras y sus clientes de las amenazas cibernéticas e interrupciones operativas, es decir, de los riesgos propios de la digitalización.

Carlos Alberto Sáiz, vicepresidente de Cumplen, fue el encargado de moderar la mesa. El abogado aportó sus más de 20 años de experiencia asesorando en proyectos de Derecho TIC, legaltech, ciberseguridad, gestión de riesgos y cumplimiento normativo. Y, de esta forma, puso el foco en tecnología, ciberseguridad y regulación.

¿De qué manera está ayudando Cumplen en la adaptación al Reglamento DORA?

Cumplen siempre ha tenido una visión holística del cumplimiento normativo. Cuando comenzamos, hace diez años, todo el mundo estaba volcado en el compliance penal o los modelos de prevención de delitos.

Ahora, compliance también es sostenibilidad, ciberseguridad, protección de datos, etcétera. Por tanto, ayudamos a los asociados y a toda la comunidad profesional tratando todos los diferentes enfoques.

¿En qué medida es importante trabajar con legaltech?

La presión regulatoria y el tsunami normativo que llega a las compañías acrecientan sus tareas, de las cuales muchas son burocráticas y  algunas, incluso, de poco valor. Pero hay que hacerlas, y ahí es donde la tecnología tiene un papel clave.

Cuando hablamos de grandes volúmenes de escritos, documentos parecidos, tareas repetitivas… las legaltech, y en concreto la IA, nos pueden ayudar mucho para enfrentarlo de manera más exhaustiva, rápida y confiable.

¿Cómo soluciona la herramienta MIA, diseñada por Écix, los problemas de ciberseguridad?

Hay muchos casos de uso. Por ejemplo, MIA ayuda a los clientes a hacer sus procesos de diligencia de vida para saber si los terceros cumplen las normas y son confiables. Si mandas un formulario con cien preguntas a mil proveedores, hablamos de miles de documentos que no puedes revisar ni por tiempo ni por recursos.

Ahí, una IA bien entrenada hace ese trabajo de una manera más rápida y metódica, dándole velocidad a un negocio que necesita esas contrataciones. En resumen, garantías, cumplimiento, flexibilidad y aceleración.

¿Cómo está aceptando el mercado MIA y MIAbogado?

Estamos muy contentos. MIA es el motor del que nacen las otras soluciones y estamos especializándonos en usos determinados para ayudar a los clientes con sus procesos internos.

Queremos llegar a procesos complejos de negocio con tintes legales, y MIA está trabajando muy bien. Por ejemplo, en diligencia de vida de proveedores, en revisión masiva de contratos o en generación de faxes y de preguntas comunes a las asesorías jurídicas.

¿La gestión de terceros es una de las principales causas de brechas de seguridad?

Sí, muchas de las brechas que hay en materia de ciberseguridad viene de la cadena de suministro, de los proveedores. Algunas grandes compañías que trabajan aquí tienen buenas estructuras, invierten en ciberseguridad y repelen muchos ataques, pero otras no tanto.

Los atacantes son conscientes de esto. De hecho, entre el 60 % y el 80 % de los ataques de ciberseguridad y de las brechas que se consuman están hechas a los proveedores de las compañías a las que quiere llegar el atacante.

¿Son los presupuestos un factor clave?

Sí, porque hay más presión regulatoria, más requisitos, más necesidades, etcétera. Los profesionales del compliance y del área jurídica deben apostar por legaltech, inteligencia artificial, digitalización de la función… ya que muchas tareas se pueden hacer con mayor velocidad, llegar a una volumetría más amplia y de una manera más confiable.

En compliance, ¿la diferencia entre ser reactivo y proactivo sale cara?

Poco a poco empezamos a ver cómo un paper compliance tiene una vida útil corta. Al final, el compliance es cuando tienes una decisión difícil, ahí es donde se ve si la costura de tu compliance resiste o no.

¿Hay una tendencia de integrar el área compliance en la asesoría jurídica?

Hace años, empezó muy vinculada a la asesoría jurídica en muchos sitios. Poco a poco, la función se va haciendo más madura, va creciendo y va logrando esa independencia.

La asesoría jurídica está muy vinculada al negocio, a dar soporte y a proteger los intereses de la propia compañía. Compliance se distingue por la metodología de análisis de riesgos. Es decir, enfrentarte a una cuestión, hacer un análisis de riesgos, poner contramedidas y supervisar que funcione.

En el mundo jurídico no todo es así. Hay muchas normas que están más relacionadas con esta metodología (privacidad, blanqueo de capitales, compliance penal…). Por eso, el área compliance va creciendo y ya muchas compañías engloban controles de competencia en esta área.

“Consumimos tecnología que no creamos y regulamos innovaciones que no lideramos”, decía Javier Lacort en Xataka sobre el Mobile World Congress.

No es una cuestión de este año, aunque quizá ahora sea más patente. Sólo hay que hacer una mirada a lo que es Europa y no vemos ninguna empresa tecnológica liderando en el top cinco. Ni IA, ni plataformas de cloud, ni redes sociales, ni nada parecido.

No estoy del todo de acuerdo con afirmaciones como “Europa legisla y China copia”, pero es cierto que Europa tiene un papel de consumidor de tecnología. Veremos la reacción de Europa en la Comisión Europea ante la nueva actitud de Estados Unidos, pero es difícil remontar un partido cuando vas perdiendo por mucho a cero.