El II Congreso Foro GRC volvió a reunir el pasado mes de febrero a profesionales de la gobernanza, la gestión del riesgo y el cumplimiento normativo en un momento especialmente intenso para la regulación tecnológica europea. El auditorio de la Fundación Telefónica acogió una jornada marcada por un denominador común: la necesidad de transformar la complejidad normativa en una ventaja estratégica para las organizaciones.

Impulsado por la Asociación Española para la Calidad (AEC) con el apoyo de Govertis, part of Telefónica Tech, el Congreso congregó a cerca de 400 profesionales (tanto de forma presencial como en streaming) para analizar los grandes retos que plantea el llamado ecosistema regulatorio digital europeo: protección de datos, inteligencia artificial, ciberseguridad, resiliencia operativa y compliance.

La apertura institucional corrió a cargo de Alberto Moreno, director de Regulación de Telefónica España, y Avelino Brito, director general de la AEC.

Moreno situó el encuentro en el contexto de transformación que vive Europa destacando que la reacción inicial ante cada nueva regulación suele ser defensiva. Sin embargo, defendió que el enfoque debe evolucionar hacia una perspectiva más estratégica. En lugar de percibir la regulación únicamente como obligación, propuso entenderla como motor de innovación y competitividad: «Tenemos que empezar a darle la vuelta. En el Foro GRC siempre aparece la palabra riesgo, y yo quería intentar transformar ese riesgo en retos, en oportunidades».

Mesa redonda: «Paquete Ómnibus Digital de la UE: desafíos regulatorios en PD, IA y Ciberseguridad para autoridades y profesionales»

La primera mesa redonda abordó uno de los temas más comentados en el ámbito regulatorio europeo: el Paquete Ómnibus Digital, iniciativa impulsada por la Comisión Europea para simplificar y armonizar el marco normativo que regula la protección de datos, la inteligencia artificial y la ciberseguridad.

Moderada por Javier Tamayo, responsable legal de privacidad y regulación digital en Telefónica Tech, la mesa reunió a dos de las principales autoridades españolas en la materia: Lorenzo Cotino, presidente de la Agencia Española de Protección de Datos, y Javier Candau, subdirector general del Centro Criptológico Nacional (CCN-CERT).

Desde el inicio, Cotino quiso dejar clara una idea: simplificar la regulación es un objetivo deseable, pero extraordinariamente complejo.

El presidente de la AEPD explicó que el paquete Ómnibus introduce propuestas de gran impacto, entre ellas la posible revisión del concepto de dato personal dentro del Reglamento General de Protección de Datos.

«Si cambiamos el concepto de dato personal, esto afecta directamente a todo el alcance del reglamento de protección de datos», explicó alertando del riesgo de generar inseguridad jurídica si los cambios no se acompañan de criterios claros sobre anonimización, fragmentación de responsabilidades o reutilización de datos.

Por su parte, Javier Candau ofreció una panorámica contundente sobre el crecimiento del marco regulatorio en ciberseguridad: «En 2016 teníamos dos normas relacionadas con ciber y protección de datos. En 2026 tenemos 17 normas».

El subdirector del CCN calificó esta situación como un auténtico «tsunami legislativo» que afecta tanto a organizaciones públicas como privadas.

Mesa Redonda: «El Responsable del Sistema Interno de Información: del cumplimiento formal al liderazgo ético»

La segunda mesa, moderada por Carolina Tella (Responsable del Centro de Competencia de Compliance de Govertis, part of Telefónica Tech), abordó una figura de reciente creación: el Responsable del Sistema Interno de Información (RSI), surgido de la Ley 2/2023 de protección de informantes. La mesa reunió a representantes institucionales y profesionales del ámbito del compliance para analizar el papel del Responsable del Sistema Interno de Información.

En ella participaron Ignacio Sáez Hidalgo, director de Gabinete de la Autoridad Independiente de Protección al Informante; Caridad Noreña Fanconi, jefa de cumplimiento normativo del ICO; José Rafael Díaz Hernández, head of department de la Autoridad Portuaria de Las Palmas; y Marlyn Cecilia Chávez Maury, gerente de compliance de Telefónica Tech.

Ignacio Sáez abrió el debate reconociendo que el primer desafío para todos los actores implicados es entender en profundidad la nueva normativa.

Desde la experiencia del sector financiero público, Caridad Noreña compartió una reflexión que les ha surgido desde el ICO: «La primera duda que nos surgió es: ¿somos las personas idóneas para gestionar todo esto?». La solución fue crear un órgano colegiado presidido por la Secretaría General con un gestor que asiste con voz pero sin voto. «Equilibramos objetividad y eficiencia», explicó, destacando la importancia de protocolizar hasta la última contingencia.

Para José Rafael Díaz, el perfil ideal combina conocimiento del sistema, integridad, confidencialidad e independencia jerárquica, con dependencia directa del consejo.

Chávez subrayó el desafío de la independencia: «Si el área del RSI está involucrada en una investigación, el sistema se compromete». Abogó por la formación continua y la dotación de recursos, así como por la conexión permanente con el departamento laboral y el DPO. «Estamos hablando de personas, de carreras que se ponen en juego», recordó.

Ponencia: «Eje estratégico de la Ciberseguridad: ENS + NIS2 y DORA ¿Cómo enfrentarse a la auditoría combinada?»

José Luis Colom Planas, asesor y formador del CCN-CERT, ofreció una auténtica clase magistral en treinta minutos sobre cómo enfrentar una auditoría combinada de los tres marcos normativos. Para ello, Colom desgranó las ventajas de una implementación integrada: contexto organizativo unificado, marco de gobernanza común, reducción del esfuerzo de mantenimiento y mejor alineación con el negocio.

«El principio de proporcionalidad está en todas partes», explicó, comparando los artículos 4 de DORA, 21 de NIS2 y la categorización del ENS. Repasó el complejo entramado de directivas, reglamentos de ejecución, actos delegados y normas técnicas advirtiendo que «NIS2 y DORA no tienen esquema propio de certificación».

Su conclusión sobre cómo abordar esta situación fue clara: «La certificación ENS es una excelente opción para cumplir el 90% del framework de ciberseguridad. Luego vendrán los aderezos específicos de cada norma». Destacó que la categoría alta del ENS cumple con la mayoría de requisitos, y que incluso el perfil de requisitos fundamentales (para organizaciones con pocos recursos) incluye ya ejemplos de plan de continuidad y cláusulas contractuales para proveedores.

Colom no eludió el espinoso tema de la responsabilidad personal de la alta dirección: «Los órganos de dirección serán responsables por incumplimiento. Han de poder demostrar que se han formado en ciberseguridad». Y lanzó un dato esperanzador: entidades aseguradoras y bancos ya están certificándose en ENS para cumplir con DORA.

Ponencia: «Gobierno de la seguridad en la administración pública: el rol del CISO municipal»

David Esteban, CISO del Ayuntamiento de Barcelona, compartió su experiencia al frente de la seguridad de una de las ciudades más complejas de España: 52 entidades municipales que van desde cementerios y museos hasta grúas y hacienda. Esteban inició su intervención planteando las preguntas que todo CISO debe hacerse: «¿Conozco los objetivos de mi organización? ¿Me entienden? ¿Estoy protegiendo la misión o solo los activos?».

«El CISO no es un técnico, es un líder ejecutivo», afirmó, citando definiciones de ISACA. Su receta para Barcelona incluye cinco pilares: marco de gobierno global, catálogo común de servicios, preparación para la ciberresiliencia (integrada en el plan básico de emergencia municipal), foco en servicios críticos mediante análisis de riesgo con criterios de negocio, y creación de cultura de corresponsabilidad.

Entrega de los Premios «Foro GRC»

Uno de los momentos más especiales del evento fue la entrega de premios de esta segunda edición del Congreso Foro GRC, que quiso reconocer la labor de profesionales y entidades destacadas en este ámbito:

• Premio a la divulgación en inteligencia artificial: la Federación Española de Municipios y Provincias fue galardonada por su «Guía práctica y políticas de uso de la IA en las administraciones locales».
• Premio al liderazgo femenino en GRC: Aleida Alcaide, directora general de Inteligencia Artificial en el Ministerio para la Transformación Digital y de la Función Pública.
• Premio a la excelencia en ciberseguridad: Centro Criptológico Nacional (CCN-CERT), recogido por Javier Candau, en reconocimiento a su contribución en la seguridad del sector público.
• Premio a la privacidad: el premio a la trayectoria en privacidad fue para Javier Sempere, DPD del Consejo General del Poder Judicial.

Diálogo: «El valor del Profesional de GRC»

Para cerrar la mañana, Alberto González y Marta Sánchez (RS Servicios Jurídicos) mantuvieron un diálogo distendido pero profundo sobre la evolución del profesional GRC. Sánchez, una de las primeras certificadas DPD por la AEC y recién certificada como profesional GRC en IA (CP-GRC-IA), explicó su visión: «La privacidad sin medidas técnicas es papel. La IA introduce nuevos riesgos que exigen un enfoque transversal».

Sobre el debate de la independencia del DPD, Sánchez defendió que: «No interfiere. Asesoramos y supervisamos, no tomamos decisiones ejecutivas. Somos facilitadores de decisiones». Respecto a la nueva certificación CP-GRC-IA, destacó que aporta «un marco común para gestionar el riesgo, un hilo conductor en las empresas».

Finalmente, reivindicó el valor de los foros profesionales: «La independencia no significa aislamiento. Estos espacios nos permiten ver que los mismos problemas los tenemos todos, y contrastar con perfiles técnicos nos da una visión transversal que refuerza nuestro papel».

Entrega de premios del Concurso «Ponencias Foro GRC»

La sesión de tarde arrancó con la lectura de las comunicaciones seleccionadas y la entrega de diplomas del Concurso «Ponencias Foro GRC».

El jurado decidió por unanimidad conceder un accésit a la comunicación titulada «Incidentes de ciberseguridad en sistemas de inteligencia artificial como prueba de estrés del modelo GRC: impactos integrados en protección de datos, seguridad y cumplimiento normativo».

El premio a la comunicación ganadora recayó en «MencIA: soberanía tecnológica realista. Un modelo integral de gobierno, riesgo y cumplimiento para la IA en el sector público», de José Antonio Aras Lombardero, jefe de la sección de innovación y participación ciudadana de la Diputación de Lugo.

El ponente desgranó los tres pilares sobre los que construyen su modelo: la IA como copiloto (cumpliendo con la supervisión humana que exige el artículo 14 del RIA), la privacidad por diseño (ejecutando modelos open source en servidores propios para evitar las transferencias internacionales de datos) y la ciberseguridad en profundidad (con redes segmentadas que aíslan los sistemas de IA).

Ponencia: «ISO/IEC 42001 El nuevo estándar para la gobernanza de la IA: una visión práctica»

«Olvidémonos de la inteligencia artificial durante un momento. La IA no existe». Así arrancaba la ponencia de Daniel Murcia, responsable del Área de Competencia Regulación Digital en Govertis, part of Telefónica Tech, para abordar el nuevo estándar ISO/IEC 42001 desde una visión eminentemente práctica.

Apoyándose en las reflexiones de Ramón López de Mántaras, Murcia instó a despojarnos de la moda y aterrizar el debate: «No estamos dejando de hablar de tecnología, estamos hablando de software, estamos hablando de datos, de ingentes cantidades de datos». Sin embargo, matizó que, aunque la IA como concepto pueda ser difuso, «sí que tenemos regulación», y con ella herramientas para abordar su gobierno.

Con este contexto, Murcia presentó la ISO 42001 como un conjunto de elementos interrelacionados que permiten «establecer, implementar y mantener de forma continua la mejora de la gestión» del uso y desarrollo de la IA. Una de sus grandes ventajas, explicó, es la estructura armonizada con otros sistemas de gestión ISO.

Por otra parte, insistió en la necesidad de abordar la IA desde una perspectiva de riesgo centrada en las personas: «La perspectiva de riesgo que tendríamos que abordar en este caso es la protección de los derechos y libertades de los interesados, de los titulares, de las personas físicas, de los clientes, de los empleados, de los funcionarios públicos»

Ponencia: «Gobernanza, Riesgo y Cumplimiento en la -Guía Práctica y Políticas de uso de la IA en las Entidades Locales – de la FEMP»

Borja Colón de Carvajal, jefe de Servicio de Administración e Innovación Pública de la Diputación de Castellón, fue el encargado de cerrar esta segunda edición del Congreso Foro GRC presentando la «Guía Práctica y Políticas de uso de la IA en las Entidades Locales», elaborada por la Federación Española de Municipios y Provincias (FEMP).

El ponente contextualizó la necesidad de la guía en la realidad del mundo local español: 8.130 municipios, el 95% con menos de 20.000 habitantes. Una guía que ofrece un marco jurídico riguroso, un andamiaje técnico y, lo más novedoso, una metodología propia de autoevaluación que permite a los ayuntamientos medir su nivel de madurez directiva y organizativa mediante un cuestionario.

Colón de Carvajal concluyó reivindicando el papel de las diputaciones como actor idóneo para liderar la transformación en el mundo rural: «Nuestra capilaridad y conocimiento del terreno, nuestra capacidad para dar soluciones que ya hemos probado… quizá podamos seguir avanzando con seguridad y con confianza, aunque sea sin mapa del tesoro».

Esta segunda edición del Congreso Foro GRC ha puesto de manifiesto que los profesionales GRC se enfrentan a un entorno normativo de creciente complejidad, pero también a la oportunidad de liderar la transformación digital desde una posición estratégica en las organizaciones.

Como acertadamente señaló Borja Colón de Carvajal durante su intervención, incluso sin mapa del tesoro, los profesionales GRC están llamados a ser los cartógrafos de un futuro digital que ya no admite espera.

Govertis, part of Telefónica Tech