nº 1000 - 26 de octubre de 2023
«Creemos firmemente en la importancia de la formación y de la comunicación como palanca clave para fomentar la cultura de cumplimiento»
María Díaz Aldao. Chief Compliance Officer & DPO de REPSOL
Chief Compliance Officer en REPSOL desde el mes de abril, María Díaz Aldao compagina el puesto con el de delegada de Protección de Datos en una compañía en la que lleva trabajando dieciocho años. Licenciada en Derecho en la especialidad comunitaria, desde que llegó a REPSOL ha asumido distintas responsabilidades en el área jurídica de la compañía.
«Entré en Repsol en 2005 porque el puesto que iba a ocupar me permitía seguir poniéndome la toga y defender a personas ante los juzgados»
«Los temas de Ética y Compliance están muy interiorizados dentro de la organización, porque hemos actuado con visión anticipatoria en todo momento»
«Repsol apuesta por una IA ética y responsable y, desde nuestra función, estamos orgullosos de poder ayudar a este propósito»
Usted cuenta con una larga trayectoria en REPSOL y, desde abril, ostenta el cargo de la nueva Chief Compliance Officer & delegada de Protección de Datos (DPO). ¿Cómo valora su trayectoria en la compañía, en la que ha asumido diversas responsabilidades en el área jurídica?
Entré en Repsol en 2005 porque el puesto que iba a ocupar me permitía seguir poniéndome la toga y defender a personas ante los juzgados, que era lo que más me gustaba de mi profesión. ¿Quién me iba a decir entonces que las sociedades iban a ser responsables penalmente en España que, como consecuencia de ello, iba a colaborar en el diseño de un modelo de prevención de delitos y que, gracias a esta experiencia, iba a poder encontrar mi verdadera vocación: la promoción de la ética en mi organización y con los terceros con los que nos relacionamos? Hay muchas formas de aportar en la búsqueda de una sociedad más justa y ésta es una manera muy bonita de hacerlo.
Este tipo de experiencias son las que te brinda Repsol. Te permite participar y formar parte de cambios en la sociedad, en una industria y, por supuesto, en tu propia vida profesional. Te da la oportunidad de evolucionar y reinventarte. En conclusión: ha sido un viaje maravilloso de la Justicia a la Ética (ambas con mayúsculas).
Chief Compliance Officer y delegada de Protección de Datos. ¿De qué manera compagina y convive con ambos cargos?
El Chief Compliance Officer (CCO) y el delegado de Protección de Datos (DPO) están estrechamente relacionados, ya que comparten responsabilidades clave. Ambos roles se encargan de garantizar que existen mecanismos para prevenir, identificar riesgos, detectar incumplimientos, proponer medidas correctivas, establecer planes preventivos, promover una cultura de cumplimiento y asegurar la mejora continua. Por lo tanto, en Repsol, en el 2017 y tras la aprobación del Reglamento General de Protección de Datos, se evaluaron las ventajas y desventajas de asignar a una sola persona ambos roles y se llegó a la conclusión de que las sinergias eran tan altas que la protección de datos personales debía formar parte de la estructura del Compliance, ya que se ha diseñado un modelo integral que garantiza que las estrategias de cumplimiento estén alineadas, así como el aprovechamiento de los procesos propios del Compliance o de los canales de reporte a los órganos de administración y dirección, entre otros.
La combinación de los roles puede ser desafiante, pero posible si se gestionan cuidadosamente. Por ello y con el firme objetivo de garantizar el mejor desarrollo de ambas funciones, cuento con equipos especializados diferentes. De este modo garantizamos el adecuado asesoramiento y despliegue de las medidas de prevención, detección y mitigación en cada caso.
Usted es la encargada de promover la cultura ética y de cumplimiento en REPSOL. ¿Cómo ha interiorizado la compañía esta nueva obligación?
En Repsol, creemos firmemente en la importancia de la formación y de la comunicación como palanca clave para fomentar la cultura de cumplimiento, demostrar el compromiso de la compañía en esta materia y acreditar la eficacia de nuestros modelos. Desde hace años estamos trabajando en la divulgación de todos aquellos aspectos que tienen que ver con Ética y Compliance en toda la organización, con planes de formación y comunicación específicos que se extienden a toda la actividad de la compañía y a todos los países donde está presente. Los planes incorporan nuevas temáticas diferenciales año a año, ajustadas con las necesidades de Repsol, las demandas de la sociedad, mejores prácticas y las tendencias en materia ética, anticorrupción, prevención penal, competencia, sanciones y embargos, blanqueo de capitales, financiación del terrorismo y protección de datos, y por supuesto, a los riesgos identificados en cada área de negocio y/o país. En general, los temas de Ética y Compliance están muy interiorizados dentro de la organización, porque hemos actuado con visión anticipatoria en todo momento. A modo de ejemplo, nuestro primer Código de Ética y Conducta se remonta a 2003 y el Canal al que reportar posibles incumplimientos del 2005.
Nuestro foco siempre ha sido la búsqueda del mayor impacto y efectividad en nuestras acciones formativas y de comunicación. Y para ello, hemos apostado por la innovación, utilizando técnicas disruptivas que nos permitan llegar a nuestros empleados de una forma ágil y fresca, combinando el uso de tecnología de vanguardia con un formato distendido en todas nuestras iniciativas. Contamos con iniciativas como la Red de People Compliance, que es una comunidad formada por más de 150 profesionales referentes y divulgadores de Compliance en sus áreas/negocios y países, que voluntariamente nos ayudan a impulsar estos temas desde su posiciones dentro de la Compañía o la organización anual de los Premios Compliance, con el objetivo de reconocer las mejores prácticas internas en Compliance que se entregan en el Día de Compliance de Repsol, evento anual que se celebra en la sede principal (Campus Repsol), en las que se repasan las normativas, novedades y tendencias de la Ética y el Compliance y que cuenta con el apoyo e involucración de la alta dirección. Adicionalmente se celebran otros eventos similares a nivel regional o local. Para mí lo más importante es que, no solo hemos conseguido demostrar la eficacia de estas iniciativas a través del feedback que recibimos, del conocimiento que medimos en nuestras formaciones, del número de registros de comunicaciones y consultas, conflictos de interés y regalos, sino que somos capaces de evidenciar el valor que la cultura de cumplimiento aporta a la propia compañía.
El canal de denuncias puede representar una forma efectiva para garantizar el anonimato de los denunciantes. Aun así, ¿existe todavía cierto miedo en el empleado o se ha conseguido blindar su confidencialidad?
En Repsol hemos trabajado arduamente desde hace años para fomentar la confianza en el canal de ética y cumplimiento porque es un elemento de relevancia en nuestro modelo. Para nosotros el anonimato, la confidencialidad, la independencia, la ausencia de represalias o la política de retención de datos han estado siempre muy presentes en nuestra normativa. Por supuesto, hemos aprovechado la Directiva Whistleblowing y la Ley 2/2023 de protección al informante para reforzar aún más, en ese afán de mejora continua, la formalidad de todo el proceso, pero lo cierto es que estos principios siempre han regido la gestión de las comunicaciones que hemos recibido en Repsol, porque tenemos claro que cada comunicación es una oportunidad de mejorar. Este enfoque, junto con una investigación efectiva, ha sido esencial para construir un clima en el que los trabajadores, terceros y colaboradores se sienten seguros participando en la detección y corrección de cualquier actuación irregular.
El DPO es una figura independiente que ejerce una función preventiva y proactiva, supervisando, coordinando y divulgando la política de protección de datos que siga la empresa. ¿Sintoniza esta letra con la música en las empresas?
Esta afirmación capta totalmente el espíritu de la figura del DPO en Repsol, ya que entendemos que la privacidad es una preocupación importante para nuestros stakeholders y desde el principio lo hemos enfocado como una actuación esencial para el éxito sostenido de la compañía. Por ello, para nosotros ha sido fundamental que el DPO sea independiente; solo de esta forma se puede garantizar que ejercerá sus funciones de manera imparcial, sin interferencias, con el objetivo centrado en la protección de las personas físicas, y sin estar comprometido por otros intereses comerciales. Actualmente el DPO está completamente integrado en todos los procesos de la compañía, tras realizar un importante esfuerzo y trabajar para que progresivamente la organización integrara estos aspectos en la cultura corporativa. Gracias a ello, se ha generado una relación de confianza por parte del cliente y por tanto una pieza clave para cultivar y conservar una percepción positiva de la marca.
Hablemos por último sobre los cambios de la función de Compliance en relación con la digitalización y, en especial, con la Inteligencia Artificial
El actual entorno es desafiante y los cambios tecnológicos de los últimos tiempos son vertiginosos, la digitalización de procesos y el uso de Inteligencia Artificial, especialmente la generativa, tienen un enorme potencial y traen aparejados claros beneficios para las compañías, entre los que podríamos destacar: la evolución de los modelos internos, simulacros de escenarios, la velocidad en la toma de decisiones y la explotación del dato. Sin embargo, a la vez supone grandes desafíos y ciertos riesgos, como vulnerabilidades en la privacidad, la necesidad de la exactitud de los datos, la fiabilidad, la transparencia y la ausencia de sesgos.
Como DPO puedo decir que estamos viendo este cambio como un reto muy ilusionante, la transformación tecnológica que estamos viviendo, junto con el nuevo marco normativo europeo, como el Reglamento de IA, el Reglamento de Servicios Digitales o la Data Act, nos obliga como función a una evolución de nuestra capacidad de análisis, reporte y habilidades de comunicación, para tener una respuesta proactiva de anticipación a las nuevas necesidades regulatorias desde una posición de alianza con las áreas técnicas. Repsol apuesta por una IA ética y responsable y, desde nuestra función, estamos orgullosos de poder ayudar a este propósito. ■