Entrevistas

«En las asesorías jurídicas, lo más importante a la hora de contratar legaltech es que vean que va a ser usable por parte de su equipo»

El autor del post  Josep Mª Fernández Josep Mª Fernández
- de lectura

Écix Group empezó como despacho de abogados, evolucionó más tarde a consultora legal y en la actualidad se posiciona como la principal regtech española. Y desde el principio siempre han estado dos abogados en primera línea: Álvaro Écija, socio fundador, y Carlos Alberto Sáiz, socio. El primero, además de ser todo un geek, jugó a baloncesto como base en las categorías inferiores del Real Madrid. Carlos, por su parte, lleva 25 años componiendo y tocando en bandas, con dos discos a sus espaldas. Es fácil imaginarlos como John Stockton y Karl Malone en pleno pick and roll. No te pierdas lo que nos contaron en su sede porque si la letra es buena, la música te va a encantar.

Hemos trasteado en vuestra web y lo primero que vemos en el time line es lo siguiente: Écix Group se convierte en ECIXTech, la primera RegTech española. ¿Por qué esa evolución, ese pivotaje?

Álvaro – Queremos ser una empresa que ofrece soluciones regulatorias a clientes medianos y grandes para que resuelvan sus problemas legales de forma preventiva. La realidad es que vendemos mucho software legaltech a grandes y medianas empresas para que no se metan en problemas legales. Con el tema de la gestión de los riesgos hemos fusionado la empresa que teníamos de software regulatorio (tenemos ocho herramientas) con nuestros servicios para ofrecer una solución más completa a los clientes.

En concreto, te refieres a las herramientas de Élix, vuestra empresa de software…

Álvaro – Así es. Élix era 100% de Écix Group, y lo que hemos hecho es fusionar las dos áreas de negocio para ofrecer una solución integral a los clientes, como digo: tanto soluciones de software, como consultoría y como servicios de apoyo.

Pero vemos que combináis soluciones legaltech propias con otras ajenas, como por ejemplo Bigle Legal, CustomerComms, Vintegris, incluso Power BI. Y nos da la impresión de que la selección de estas últimas se ha hecho con mucho criterio. Cuál es ese criterio para establecer unas relaciones que más que de distribución comercial es de auténtico partnership.

Álvaro – Legaltech y regtech son muy amplios. Nosotros vamos más a herramientas regulatorias para que las empresas no se metan en riesgos jurídicos, que es el mundo del cumplimiento normativo, el regtech o como queramos llamarle. No estamos en otras áreas del legaltech, no buscamos bases de datos o gestores de expedientes. Ayudamos a empresas o grandes firmas a que cumplan la normativa, y la normativa más importante orientada a riesgos sabemos cuál es en España: prevención de riesgos penales, privacidad, ciberseguridad, blanqueo de capitales… Ese es nuestro posicionamiento: asesorar en esas materias.

Carlos – Al final nosotros llevamos desarrollando herramientas desde el año 2000, cuando sacamos una solución para la gestión del cumplimiento para la ley de protección de datos. Eso forma parte del ADN de la firma. Élix nació como una filial dedicada 100% a la innovación y al desarrollo de herramientas y ahora, viendo cómo funciona el mundo, se ha producido está fusión con nuestros servicios. ¿Por qué? Porque vemos una clara tendencia a la externalización de los procesos en las asesorías jurídicas y en las áreas de compliance y privacidad en proveedores de confianza para que le proporcionen una solución única. Se externaliza mucho por ejemplo la protección de datos, la ciberseguridad, el blanqueo de capitales.

Ponedme un ejemplo de cómo Bigle Legal, una legaltech especializada en Contract Lifecycle Management, se fusiona con vuestros servicios.

Carlos – Lo que nosotros queremos, como decía Álvaro, es dar soluciones en el sector que conocemos bien. Contestando a tu pregunta anterior, hemos seleccionado a nuestros partners legaltech haciendo mucho benchmarking para ver qué es lo que nosotros no teníamos desarrollado internamente pero que podían dar un apoyo a nuestros servicios. En el caso de Bigle Legal vimos la posibilidad de elaborar muchos documentos estándar vinculados a nuestro expertise. Bien es cierto que Bigle Legal tiene capacidad para hacer otras muchas cosas, pero en nuestro caso la vemos como un aliado para hacer avisos legales, de consentimiento, de cookies; es decir, modelos documentales que son muy habituales, que están muy estandarizados en la gestión de cumplimiento.

Te pongo otro ejemplo, el de IBM. Hablamos de una empresa muy grande con la que hemos firmado otro partnership para trabajar temas que tienen que ver con el gobierno del dato. Tienen buenas herramientas para saber dónde hay datos distribuidos en la infraestructura de una organización, y nosotros nos dedicamos precisamente al gobierno y a la protección de ese dato. Y no teníamos una herramienta de e-discovery de datos. Existen otras alianzas con soluciones de firma electrónica, terceros de confianza cualificados, que son positivas para los temas de eIDAS, de identidad digital, que tienen mucho que ver con el cumplimiento.

«La realidad es que vendemos mucho software legaltech a grandes y medianas empresas para que no se metan en problemas legales»

Hablando de legaltech en el nicho de evidencias digitales, ¿dais importancia al hecho de que sean terceros de confianza cualificados por el Ministerio?

Carlos – Lo cierto es que hay clientes que lo valoran y lo prefieren, y otros que simplemente quieren un grado de fiabilidad mayor del que tienen. Depende del cliente, y todos sabemos que una entidad cualificada tiene unas garantías legales, pero también hay otras soluciones que sin estar cualificadas son suficientes para lo que cliente necesita.

En vuestra web aparece el siguiente mensaje: “Soluciones tecnológicas para garantizar el cumplimiento regulatorio y evitar multas y sanciones”. Regtech está muy presente tanto en este claim como en el nombre que le habéis dado a vuestras soluciones de compliance, ciberseguridad y privacidad. Pero la frontera entre regtech con legaltech es muy delgada, ¿no crees?

Carlos – Sin duda. Hay gente que cree que legaltech es el uso de tecnología para prestar servicios legales y regtech va más enfocado a soluciones tecnológicas para el cumplimiento normativo. Quizás en el mercado anglosajón haya más matices, pero creo que en español la frontera es realmente fina. ¿Por qué a nosotros nos gusta más la parte de regtech? Porque estamos muy vinculados a lo regulatorio que tiene que ver con el compliance y los riesgos, se ajusta más a nuestra especialidad. Pero podríamos decir que regtech es una parte de un concepto más amplio de legaltech.

El look and feel de vuestra web bien podría ser el de una potente empresa tecnológica. Imagino que eso está hecho con toda la intención.

Carlos – Lo está. Y lo hemos hecho pensando en dos aspectos. El primero, que la web esté alineada con lo que hacemos, y el segundo, es el cambio de color, el verde, que viene motivado por el cambio que hemos dado hacia la sostenibilidad, algo muy importante para nuestros clientes.

Y que además de necesaria, atrae muchas inversiones…

Carlos – Correcto. Creo que la sostenibilidad, al igual que la tecnología y la transformación has sido en estos últimos años los grandes temas, va a ser fundamental, y no sólo por estrategias de RSC, sino también en las operaciones de M&A, en las compras de sociedades, en dónde invierten los fondos de inversión. Un cliente me dijo recientemente que una parte importantísima de la revisión y valoración de una compañía en la que iban a invertir era el tema de sostenibilidad. El mundo que viene no sólo valora la caja, los flujos, el dinero, sino también la parte del compliance, de la ética, y ahora llega la sostenibilidad, los derechos humanos, el medio ambiente, y nosotros queremos dar el mensaje que queremos llegar a ese nievo mundo.

«Hay gente que cree que legaltech es el uso de tecnología para prestar servicios legales y regtech va más enfocado a soluciones tecnológicas para el cumplimiento normativo. Quizás en el mercado anglosajón haya más matices, pero creo que en español la frontera es realmente fina»

¿Podríamos decir que MIA es la joya de la corona de vuestra factoría legaltech Élix?

Carlos – Sin duda. Como decía antes Álvaro tenemos ocho herramientas que conforman la suite de nuestro offering. ¿Cuál es la diferencia de MIA respecto a otras? Hemos trabajo mucho en herramientas de gestión de cumplimiento de normativo, de riesgos, de firma de consentimientos. Son soluciones de gestión en tanto en cuanto necesitas un operador que introduzca datos y los saque. MIA va más allá y tiene dos pilares fundamentales. El primero, que incorpora inteligencia artificial. Y el segundo, que no es una herramienta a la que tengas que meter datos, basta con que le dejes leer documentos y ya te da un resultado. Es nuestra joya de la corona porque es la herramienta en la que hemos invertido más dinero, y sobre todo, porque MIA nace de un proyecto de investigación que hacemos con la Faculta de Matemáticas de la Universidad Complutense. Todo eso nace cuando nos proponemos crear un algoritmo de cálculo de riesgo legal, desde un punto de vista matemático. Para nosotros lo importante es la base que tiene por detrás, mucho más que los recursos que hayamos podido invertir. De hecho, seguimos colaborando con la UCM para afinar y mejorar el algoritmo.

Cuéntanos cómo ha sido la cohabitación entre juristas, tecnólogos y matemáticos.

Carlos – Para nosotros no, porque llevamos toda la vida dialogando con tecnólogos, llevamos ‘aguantándonos’ mucho tiempo. En el caso de MIA, además, hemos trabajado junto a catedráticos y profesores de Matemáticas, a los que preguntamos si era posible crear un algoritmo de cálculo de riesgo legal, y que nos contestaron que, si existen datos, se puede hacer. Cuando tienes datos y tienes el método, puedes tener capacidad de predicción.

¿MIA es un software de uso interno, con el objetivo de captar y fidelizar a vuestros clientes, o está abierto al mercado?

Carlos – MIA es mucho más escalable. Nació con este proyecto de investigación como una herramienta propia, licenciable para un cliente que quiera revisar su documentación y evaluar sus riesgos. Pero va más allá. Estamos implantándola por detrás de todas nuestras herramientas de gestión para que sea el motor que revise los documentos en esas herramientas. Un ejemplo. Tenemos la solución ePrivacy, de gestión de cumplimento en protección de datos, y por detrás está MIA leyendo los documentos. Pero queremos que también sea el motor de revisión documental, a través de conectores API, de otras muchas herramientas que evidentemente no tienen esta funcionalidad, como puede ser un CRM, un software de recursos humanos, etc., siempre que contengan documentación legal.

MIA incorpora un módulo de Seguridad de la Información. ¿Qué impacto pueden tener la directiva NIS2 y el reglamento DORA, así como el parece que inminente eIDAS2? ¿La ciberseguridad va a dejar de ser una opción para convertirse en una estrategia?

Carlos – Ya vivimos en 1999 el revulsivo que supuso la publicación de la Ley de Protección de Datos, la LOPD. Fue un momento importante porque todo el mundo se dio cuenta de que securizar la información no era un tema voluntario. Durante estos años hemos visto que hay cierta normativa sobre ciberseguridad pero este año, sin duda, con la aprobación de NIS2 y de DORA, especialmente, es importantísimo porque la palanca regulatoria es fundamental por dos motivos. Por un lado, porque es algo obligatorio y hay una autoridad regulatoria con capacidad sancionadora que te puede exigir tener determinadas medidas de seguridad. Y por otro, porque la decisión de implantar ciberseguridad ya no depende del CISO ((Chief Information Security Officer) o de un técnico de sistemas, sino de los directivos: ya se trata de un tema estratégico. ¿En qué vamos a tener que trabajar? La ciberseguridad, cuando la aterrizas, es un tema técnico, y estas dos normas están bien pensadas porque lo que intentan es que haya una parte de gobernanza, de nombramientos, de presupuestos, de tener un plan de gestión de incidentes. Con estas normas hemos ganado en que la ciberseguridad va a tener más visibilidad, y son la palanca para que la toma de conciencia y la inversión en ciberseguridad en todo tipo de compañías sea una realidad.

Poniendo el foco en la ciberseguridad, ¿apostáis por la nube o trabajar on premise? Más allá de la tecnología que se utilice, hay que tener en cuenta las diferentes responsabilidades que se pueden derivar estando en un entorno u otro.

Carlos – La apuesta es clara por la nube. La tendencia hacia el llamado journey to cloud poco a poco se va imponiendo, incluso en las grandes corporaciones. Casi todo el mundo tiene claro que ir a la nube supone una deslocalización de tu información pero, a la vez, una mayor securización. Los operadores en cloud tienen ya mayor inversión, mejores medidas de protección. Lo que da un poco de miedo es que todos nos estamos yendo a cinco o seis operadores de nube y a la vez sabemos que estamos mejor allí que en casa. Es más fácil un ciberataque a un servidor en casa que si lo tengo en Amazon. Así de fácil y así de cruel: tenemos el negocio es una infraestructura que no es la nuestra, es de alguien que te está dando un servicio.

«Con NIS2 y DORA la ciberseguridad va a tener más visibilidad, y son la palanca para que la toma de conciencia y la inversión en ciberseguridad en todo tipo de compañías sea una realidad»

¿En qué nube trabajáis?

Carlos – Nosotros trabajamos con Amazon. Trabajamos con clientes que, por ejemplo, nos exigían Azure, pero en el 90% de los casos es Amazon.

En los servidores de Amazon hay muchas legaltech alojadas…

Carlos – Sí, porque te da muchas posibilidades de escalabilidad, y a nivel de seguridad está muy bien. No hemos tenido problemas de rendimiento ni de caídas

Trasteando en vuestra web hemos visto que tenéis una herramienta, eRadar, que monitoriza en directo la totalidad de sanciones impuestas; por país, marco normativo, norma y sector. El objetivo es que el profesional conozca antes que nadie las últimas multas y cómo se comportan los principales órganos sancionadores. No deja de ser una especie de comparador de las diversas políticas de sanciones que existen.

Carlos – Para nosotros tiene dos grandes virtudes. Uno es, efectivamente, ser un comparador entre diferentes jurisdicciones y el tipo de sanciones y sus cantidades que publican, por ejemplo. Y el otro es que para que MIA funcione bien y tenga una calificación de riesgos de un documento necesita saber cómo se está sancionando este tipo de documento. Y para eso necesita tener toda la información posible. Si lo llevamos al mundo de la privacidad, para nosotros saber que una transferencia internacional de datos está muy castigada, o no informar a los clientes con cláusulas adecuadas está poco castigado, es algo muy importante. Porque ese es el peso de lo que nosotros llamamos la amenaza. eRadar es bueno para los clientes, por ejemplo en su benchmarking interno, pero también para nosotros porque alimentamos a MIA con toda esa información.

Atesoráis una experiencia muy ‘bestia’ como consumidores de legaltech, pero también como prescriptores y ‘aterrizadores’ de tecnología legal para vuestros clientes, como hemos comentado antes. ¿Qué es lo que más valoráis a la hora de contratar legaltech? ¿Qué solucione un problema real? ¿Que se integre con la tecnología existente y la que se implante en un futuro? ¿Qué esa tecnología sea capaz de confirmar su eficacia con datos?

Carlos – Creo que lo más importante, teniendo en cuenta los intereses que hay en las asesorías jurídicas a la hora de contratar legaltech, es que vean que va a ser usable por parte de su equipo. Es decir, como vean una herramienta difícil, con una gestión de cambio complicada, con una curva de aprendizaje demasiado alta, habrá mucha resistencia. Herramientas que sean fáciles a la hora de ser integradas en la cultura de trabajo de un equipo legal es fundamental. Y luego está el tema de las integraciones, que también me parece prioritario.

Hablemos del abogado como gestor de incertidumbres, lo que supone asumir un papel más proactivo que reactivo. Y en Écix con MIA y otros servicios ponéis el pie en la auditoría y consultoría. Pero por lo que me decíais antes, vais más allá de ello, incluso mucho más allá de lo que es una firma tradicional.

Álvaro – Nuestro objetivo es dar confianza a nuestros clientes. Y utilizamos MIA, que emplea modelos y predicciones matemáticas, para conseguir esa certidumbre en un mundo realmente incierto. MIA es como el motor central de todo nuestro portfolio de servicios porque lleva a cabo una labor automatizada, lee grandes volúmenes de información que los utiliza para dar certidumbre al futuro. Cuando una empresa va a tener problemas jurídicos en el futuro, ya está dando indicios en el presente. Cuando entramos en una empresa, la herramienta lee toda la información y analizando sus documentos jurídicos e indica que la empresa se va a meter en un problema y el organismo que le puede sancionar con una multa. Y todo esto las matemáticas lo interpretan mejor que las personas, porque el volumen de información que tienes que leer y calcular es tan alto que los abogados no están preparados para hacerlo. La certidumbre tiene dos parámetros científicos: el ataque y la defensa. Los abogados trabajan desde una posición defensiva. Pero no anticipan qué está ocurriendo ahí fuera, ignoran dónde está la amenaza. Con las matemáticas sí puedes anticipar lo que viene, en base a lecturas de grandes volúmenes de información.

«Lo más importante a la hora de contratar legaltech en las asesorías jurídicas es que vean que va a ser usable por parte de su equipo»

Nos llama mucho la atención, desde hace bastante tiempo, que Écix Group está muy activa en la formación en derecho digital y legaltech. En concreto, hablamos recientemente con Alfonso Peralta, juez que codirige un programa organizado por la Cámara de Granada y su Universidad. ¿Por qué está presencia en estos programas formativos? ¿Por posicionamiento? ¿Tiene que ver con la captación de talento?

Carlos – Aparecer en los sitios adecuados para estar en la vanguardia, formar parte de asociaciones, foros, think tanks, etc., es fundamental para nosotros. Formar parte de programas formativos en colegios profesionales y universidades nos ayuda a visibilizar lo que hacemos y también para detectar talento. De hecho, muchos de los becarios que trabajan con nosotros han sido antes alumnos de esos programas. Creo que hay que hacer un esfuerzo en fenómenos que están creciendo como es el legaltech e iniciativas como vuestro Legal Tech Day, del que fuimos colaboradores.

Entre esas iniciativas está ISMS Forum, asociación con la que estáis muy vinculados…

Carlos – Así es, creemos que ISMS Forum es la asociación de referencia en España alrededor de la ciberseguridad, con una comunidad de cerca de 2.000 profesionales. Arrancó hace unos 15 años y se ha mostrado como una iniciativa muy interesante para que esos profesionales puedan debatir, contactar, aprender a través de cursos y certificaciones. Actualmente en ISMS Forum existe un equipo de diez personas, tiene un presupuesto de 2 millones de euros, produce muchos y valiosos informes y organiza más de 40 eventos al año. Es una alianza muy fructífera, igual que las que tenemos con Cumplen en el terreno de compliance, y con ENATIC en derecho digital.

¿Hasta qué punto es importante para una firma como la vuestra tener todas las certificaciones, como ISO 27001 y otras que vemos en vuestra web? ¿Es un elemento potente para generar confianza en los clientes’

Carlos – Cuando te vinculas a una certificación te estás obligando, es un compromiso que adquiere la organización para tener un nivel de seguridad muy alto, para hacer las cosas de una determinada forma. Y de cara a los clientes es muy importante, y en este sentido tenemos un presupuesto interno considerable dedicado a estas certificaciones. Todas son fundamentales para dar seguridad a los clientes en el entorno privado, y también en el entorno público es básico, porque muchos de los pliegos que salen ya te exigen esas certificaciones.

Carlos, para acabar, haznos un breve dibujo sobre el ecosistema legaltech y el espacio que quiere ocupar Écix en él.

Empieza a haber mucha legaltech que son empresas o startups tecnológicas que llegan a este sector, que evidentemente algo de conocimiento legal tienen. Nosotros venimos con una herencia de ser un despacho de abogados, hemos pasado por ser una consultora legal y ahora somos una regtech. Nos consideramos la primera compañía regtech española porque no hay empresas que se denominen como regtech con tanto foco, con tanto nicho ni con tanto nivel de inversión. Hay que ahondar mucho en profesionalizar el sector y nosotros nos hemos posicionado tras muchos años desarrollando tecnología y servicios. Y ahora es el momento de unir todo y ofrecer soluciones de regtech en el mercado