En el ecosistema empresarial actual, donde la ética y la transparencia se han convertido en activos tan valiosos como la innovación, Elena del Tiempo representa una de las voces más influyentes del Compliance en España.
Vocal de la Junta Directiva de la Asociación Española de Compliance (ASCOM), es una pieza clave en la consolidación de la cultura del cumplimiento en nuestro país, contribuyendo a impulsar iniciativas de formación, divulgación y profesionalización que han situado a esta asociación como referente dentro y fuera de nuestras fronteras.
Licenciada en Derecho y con una dilatada trayectoria en compañías como Siemens, American Express, Transfesa (Grupo Deutsche Bahn) y, actualmente, Microsoft, donde ejerce como “Compliance Officer” para España y Portugal, del Tiempo combina el rigor normativo con una visión profundamente humana del liderazgo.
“En ASCOM”, cuenta con humor –uno de los rasgos que definen su personalidad– “solemos decir que somos la ‘Casa del Compliance’, porque hemos creado una verdadera comunidad”.
Para ella, el Compliance no es un freno a la innovación, sino su mejor aliado: un marco de confianza que permite a las empresas crecer de forma sostenible y responsable.
En esta conversación, reflexiona sobre el papel del Compliance en la estrategia de negocio, los desafíos que plantea la Inteligencia Artificial, la importancia del ejemplo como principio de autoridad y la necesidad de que la ética impregne tanto el sector privado como el público.
Su mensaje es claro: solo las organizaciones que comprenden el valor de la integridad están realmente preparadas para el futuro.
¿Cómo se puede integrar el Compliance en la estrategia de negocio sin que se perciba como un freno a la innovación? Mucha gente piensa que el implementarlo frena la innovación en la empresa.
En realidad, todo depende de la comunicación: de saber explicar el por qué y el para qué de las cosas. Si logras que la gente entienda la utilidad y el propósito de una medida, cambias por completo la percepción que puedan tener sobre ella, incluso si al principio la ven como algo negativo o burocrático.
Esto requiere mucha comunicación y concienciación. Es un proceso similar a lo que ocurrió con el uso del cinturón de seguridad. Hace varios años, nadie lo usaba porque no se comprendía su importancia. Hoy en día, resulta impensable subir a un coche sin abrocharlo. ¿Qué cambió? Hubo campañas, mensajes constantes y una educación escolar y social que hicieron entender su valor, más allá de la norma que lo exige.
Las reglas son necesarias, sí, pero por sí solas no bastan. Para que las personas actúen, primero deben comprender por qué existen y qué beneficios aportan. Cuando eso ocurre, el mensaje se multiplica: la gente lo transmite, lo aplica y, si además ve a sus líderes dar ejemplo, el cambio se extiende de manera natural a todo el equipo.
¿Cuáles considera que son los mayores retos actuales para un programa de Compliance en una multinacional tecnológica como Microsoft?
Hoy en día, el mayor reto para las empresas en cualquier ámbito es la gestión segura de los datos. En un entorno digitalizado, si los datos no están protegidos, se pierde el control total sobre la organización. Por eso, la gestión adecuada y el uso responsable de los datos son fundamentales. Cuando los datos son fiables, se analizan correctamente y se mantienen en un entorno seguro, es posible tomar decisiones realmente útiles para la empresa.
Otro reto es la adaptación a un entorno regulatorio cambiante y global. La diversidad normativa entre países exige una vigilancia constante. En España, por ejemplo, la responsabilidad penal de las personas jurídicas implica que una empresa puede enfrentarse a sanciones muy graves, incluso a su disolución, mientras que en otros países las sanciones pueden limitarse a multas económicas.
Esto obliga a las multinacionales a contar con programas de cumplimiento sólidos que se puedan adaptar alineándolos con las leyes locales.
Finalmente, la integración de tecnologías disruptivas en las áreas de Compliance representa un desafío al que muchas empresas se están enfrentando. Los beneficios son significativos, ya que permiten enfocar las actividades de cumplimiento normativo en aquello que realmente aporta valor a la empresa. Sin embargo, esto también exige una capacidad de adaptación y el desarrollo de habilidades necesarias para tomar decisiones adecuadas.
Así, por ejemplo, la IA puede ser una herramienta poderosa, pero su valor depende de cómo la utilicemos. Nosotros, en Microsoft, siempre hablamos de IA responsable. La clave está en integrar la IA de forma responsable, con supervisión humana, ética y sentido crítico.
No se trata de IA versus humanos, sino de una IA responsable con humanos. El futuro será de quienes sepan combinar tecnología con juicio, automatización con empatía, y datos con contexto.
¿De qué manera afronta y previene Microsoft la lucha contra la corrupción?
En Microsoft contamos con un robusto Programa de Compliance que aplica a todos los países por igual, junto con la adaptación del programa a las leyes locales y a los cambios regulatorios globales. Tenemos implantadas políticas globales estrictas y una formación continua obligatoria para combatir la corrupción y el soborno, dirigidas tanto a empleados como a proveedores y socios comerciales.
Hacemos un uso estratégico de la IA responsable y un análisis avanzado de datos para identificar y anticipar riesgos en tiempo real, permitiendo respuestas proactivas y mejorando la seguridad de la información.
Nos aseguramos de que nuestros proveedores y socios comerciales cumplan los estándares éticos de la compañía y disponemos de canales de información seguros, así como auditorías internas, testeos y monitoreos periódicos que garantizan la transparencia y la responsabilidad en todas las áreas de la empresa.
Desde mi punto de vista, cualquier empresa —grande o pequeña— debería contar con un programa mínimo de cumplimiento, no solo por obligación legal, sino también por responsabilidad social.
Este tipo de programas no solo protege a la empresa frente a riesgos legales, sino que también fortalece su reputación y sostenibilidad a largo plazo. Cuando una organización no cuenta con un sistema sólido de cumplimiento, su riesgo reputacional aumenta de forma exponencial, poniendo en peligro su futuro.
¿Cuáles son los países que están en la línea de España de castigar a la empresa y a los gestores de la empresa de la misma forma? ¿Y quiénes son los más?
La legislación varía mucho de país a país. En Alemania, la responsabilidad penal de las personas jurídicas no está reconocida, ya que solo las personas físicas pueden ser penalmente responsables. Sin embargo, existe un régimen de sanciones administrativas que permite imponer multas a la persona jurídica si una persona en posición directiva comete una infracción penal o administrativa en beneficio de la empresa.
En Estados Unidos, el enfoque es radicalmente distinto. La legislación permite imputar penalmente a las personas jurídicas por delitos cometidos por sus empleados o agentes en beneficio de la entidad. Este sistema se caracteriza por su naturaleza punitiva, con sanciones que pueden incluir multas multimillonarias, acuerdos judiciales y supervisión externa.
Por ello, los programas de cumplimiento normativo son esenciales para mitigar riesgos legales, y las autoridades valoran positivamente su existencia al determinar sanciones.
En Portugal, se reconoce la responsabilidad penal de las personas jurídicas de forma más limitada. Solo ciertos delitos permiten imputar a una persona jurídica, y las sanciones suelen consistir en multas económicas y medidas accesorias como la pérdida de beneficios fiscales o la exclusión de contratos públicos. Desde 2021, las empresas con más de cincuenta empleados están obligadas a implantar programas de prevención contra la corrupción.
Por su parte, Italia fue pionera en Europa: desde 2001 el Decreto Legislativo 231/2001 permite imputar a las personas jurídicas por una amplia gama de delitos cometidos en su interés o beneficio.
Sin embargo, las empresas pueden eximirse de responsabilidad si demuestran haber adoptado un modelo de organización, gestión y control eficaz, supervisado por un organismo de vigilancia independiente. Este sistema ha servido de referencia para otros países europeos, como es nuestro caso.
«El factor humano sigue siendo la piedra angular de todo proceso de toma de decisiones, incluso —y especialmente— en la era de la Inteligencia Artificial (IA)».
¿Qué papel cree que debe jugar la Inteligencia Artificial en la detección y prevención de la corrupción?
Trabajando en Microsoft, puedo afirmar que el impacto de la IA responsable en el ámbito del Compliance es realmente impresionante. Las ventajas que ofrece son inmensas. En primer lugar, la IA responsable permite trabajar con datos seguros y fiables, lo que minimiza el riesgo de errores humanos.
En segundo lugar, proporciona una capacidad de predicción sin precedentes, analizando ingentes cantidades de información para anticipar posibles riesgos antes de que ocurran. En tercer lugar, facilita la automatización de procesos, mejorando la eficiencia al revisar y optimizar procedimientos que considerábamos correctos.
La IA responsable permite que en Compliance tomemos decisiones de manera más rápida, precisa y eficaz, basándonos en la prevención de riesgos y la detección de irregularidades. Si una empresa cuenta con un sistema de cumplimiento verdaderamente sólido, el objetivo final debería ser precisamente ese: centrarse en la prevención, utilizando datos fiables de forma inteligente y segura.
Nunca antes las empresas habían contado con un sistema de control y prevención tan potente como el que existe hoy. La IA ha transformado por completo el panorama, permitiendo que las áreas de Compliance se concentren en lo que realmente importa. Antes, acceder y analizar todos los datos disponibles era prácticamente imposible, ya que habría requerido un equipo enorme para procesarlos.
Ahora, gracias a la tecnología, esto ha cambiado. Se estima que el volumen de datos de una empresa se duplica cada dos años, lo cual es inabarcable para las personas. Sin embargo, la IA responsable nos permite analizar miles de millones de datos de forma automática y precisa.
Esto hace posible detectar riesgos que antes podían pasar desapercibidos, predecir tendencias y anticiparse a problemas que podrían afectar la reputación de la empresa.
¿El Compliance es una forma moderna del nuevo temor de Dios? En la tradición judeocristiana, el temor de Dios significa ser consciente de que Él lo veía todo, lo que inspiraba responsabilidad, rectitud y también miedo, por supuesto, por el castigo que podría imponer.
Hoy en día, de lo que se trata es de crear una cultura de responsabilidad, y transparencia, donde las personas comprendan las normas y actúen con integridad. No por miedo al castigo, sino porque entienden el por qué y el para qué de esas reglas.
En este sentido, la comunicación y la concienciación son esenciales: hay que explicar que el cumplimiento no solo protege a la empresa, sino también a cada empleado. Por ejemplo, cuando alguien informa de un posible conflicto de intereses —ya sea con un familiar, un cliente o cualquier relación que pueda afectar su imparcialidad— está protegiéndose a sí mismo y evitando daños mayores.
Aun así, sigue existiendo un reto humano: la tendencia a mirar hacia otro lado ante irregularidades, sobre todo si provienen de superiores. Por eso, fomentar una cultura basada en la ética, la comunicación abierta y las habilidades interpersonales es clave. En definitiva, el verdadero motor del cambio es el factor humano.
O sea, el factor humano es la piedra angular….
Así es. El factor humano sigue siendo la piedra angular de todo proceso de toma de decisiones, incluso —y especialmente— en la era de la Inteligencia Artificial (IA). Aunque hoy se habla mucho de IA como si fuera una solución autónoma -lo cual es un error-. Debemos tener muy claro que la IA no es un fin en sí mismo, sino un medio para apoyar la toma de decisiones humanas.
El problema surge cuando se le atribuye a la IA un papel que no le corresponde, pues la IA no debe decidir por nosotros. Su función es ofrecer datos, análisis y propuestas, sin embargo, la decisión final debe recaer siempre en una persona.
Este principio está respaldado por el artículo 14 del Reglamento Europeo de IA, que exige supervisión humana efectiva en sistemas de IA de alto riesgo para evitar daños a la salud, la seguridad o los derechos fundamentales.
Igual que en su momento aprendimos a usar herramientas como Outlook, Access, PowerPoint o Word cuando surgió Internet, ahora estamos viviendo un proceso similar con la IA. La diferencia es que, esta vez, el impacto es más profundo: la IA no solo automatiza tareas, sino que influye directamente en decisiones críticas.
«En ASCOM solemos decir que somos la ’Casa del Compliance‘, porque hemos creado una verdadera comunidad, casi una familia, en torno a este tema. Las relaciones que se generan van más allá de lo profesional, y eso se nota en los eventos y en el interés de las personas que participan».
A su juicio, ¿cuál es el error más común que cometen las empresas al implementar un programa de Compliance?
Creo que el problema está en imponer normas sin explicar el por qué ni las consecuencias. Muchas veces no se aclara qué es realmente la reputación ni el impacto que puede tener actuar de forma inadecuada. Sin esa comprensión, las personas no entienden el sentido de las reglas ni su importancia.
Es fundamental que la comunicación y la cultura ética lleguen a todos los niveles de la organización, del mismo modo que el compromiso empiece siempre desde la dirección, porque el ejemplo siempre se da desde arriba.
¿El ejemplo es el principio de autoridad?
El ejemplo es el principio de la autoridad, entendido como “Tone from the top”, junto con el nivel de implantación de una cultura de cumplimiento. En este sentido, trabajar en una empresa estadounidense me ha permitido comparar bien la cultura estadounidense y la europea en temas de ética y cumplimiento, y la diferencia principal es su implantación en el tiempo y el nivel de concienciación.
Por ejemplo, en materia de corrupción, en Estados Unidos la Foreign Corrupt Practices Act o FCPA (Ley de prácticas corruptas en el extranjero ) se aprobó en 1977, mientras que en Europa no llegó hasta 2001, con la ley italiana. Son más de 30 años de diferencia.
Lo mismo ocurre con los canales de denuncia: en Estados Unidos existen por ley desde 1970, inicialmente para prevenir riesgos laborales, mientras que en Europa la primera directiva sobre el tema se aprobó en 2019, casi 50 años después.
También llegaron a un punto que la Unión Europea no ha abrazado y es la posibilidad de recompensar económicamente a los “whistleblowers”, a los denunciantes de irregularidades, con un porcentaje del dinero recuperado gracias a su denuncia. Como reconocimiento por haber contribuido a destapar irregularidades y proteger el interés público. Cuando se ha planteado aquí, a los proponientes los han mirado como a chinos.
Sí [se ríe]. Exactamente. Cambiar la cultura es, probablemente, lo más difícil dentro de cualquier organización. Por eso, en Europa todavía queda mucho camino por recorrer.
Según el Eurobarómetro sobre corrupción de 2017, el 81% de los encuestados no denunció los casos de corrupción que había sufrido o presenciado. Es decir, solo una de cada cinco personas se atreve a hacerlo.
Posteriormente, tras la aprobación en 2019 de la Directiva europea sobre la protección a los denunciantes, el propio Parlamento Europeo reconoce en un informe de 2023 que la Directiva, por sí sola, no basta. Para que funcione, es necesario un cambio en la cultura de integridad dentro de las empresas. Y eso requiere esfuerzo y compromiso.
Qué tendencias regulatorias crees que tendrán el mayor impacto en las empresas en los próximos años? Sé que te estoy pidiendo que hagas de adivina o pitonisa…
Más allá de las tendencias específicas, me gustaría enfatizar la importancia de no excedernos en la regulación. Es fundamental encontrar un equilibrio que permita la regulación sin frenar la innovación. Un exceso de normas puede convertir su cumplimiento en una labor en sí misma.
El pasado mes de febrero la Unión Europea dijo que iba a aliviar esa regulación, ¿no?
Sí, bueno. Salvo que haya novedades, la han pospuesto por dos años, pero no la han aliviado.
Como vocal de la Junta Directiva de ASCOM, ¿qué iniciativas llevadas a cabo cree que han tenido mayor impacto en la implementación del Compliance en los últimos diez años?
Esto está muy ligado a la formación. Hace unos años, el término Compliance era prácticamente desconocido: mucha gente ni siquiera sabía pronunciarlo. Detectamos esa necesidad de información y decidimos cubrirla, ofreciendo formación y recursos en un ámbito que estaba completamente vacío.
Además, en ASCOM solemos decir que somos la ’Casa del Compliance‘, porque hemos creado una verdadera comunidad, casi una familia, en torno a este tema. Las relaciones que se generan van más allá de lo profesional, y eso se nota en los eventos y en el interés de las personas que participan.
También buscamos estar presentes en nuevos ámbitos donde podamos aportar valor, como la IA, de la que hemos hablado. Y trabajamos para que el Compliance llegue a las universidades. Creemos que no debería abordarse solo en másteres o posgrados, sino desde la formación universitaria básica, porque sigue siendo un tema poco tratado y cada vez más necesario.
Más allá de la normativa, ¿qué papel juega la ética en la misión de ASCOM y cómo puede la asociación ayudar a que las empresas integren la ética en su toma de decisiones cotidianas?
La ética es fundamental en la misión de ASCOM, y va más allá del simple cumplimiento normativo, dado que promovemos una cultura de integridad, transparencia y buen gobierno como pilares de la gestión empresarial moderna.
La asociación fomenta un cambio cultural donde la ética pasa de ser un ideal abstracto a un criterio operativo en la toma de decisiones, instando a las empresas a actuar con integridad incluso en ausencia de normas explícitas.
ASCOM ha liderado la profesionalización del «Compliance Officer», convirtiéndolo en un promotor de la cultura ética, más allá de ser solo un garante del cumplimiento legal.
Hablamos continuamente del Compliance en el sector privado, ¿Y en el sector público?
Esta cuestión es muy profunda y necesitaríamos otra entrevista para abordarla en detalle. El Compliance en el sector público requiere un control aún más riguroso, si cabe.
