Generar confianza y contribuir a la transformación de España. Rafael García Meiro, CEO de AENOR, detalla el propósito principal de un organismo que exhibe casi cuatro décadas de recorrido en el mercado y que en la actualidad cuenta con alrededor de 500 soluciones de verificación disponibles: en torno a 300 se refieren a temas de seguridad, unas 150 a los procesos y otras 50 están vinculadas a valores como la sostenibilidad económica o social, la economía circular, la huella de carbono o el compromiso con las personas mayores. Un catálogo en el que el peso de la ciberseguridad o las tecnologías de la información es crítico: en 2022 y 2023 la norma más vendida fue la ISO 27002, vinculada con la ciberseguridad, y la segunda fue la 27001, sobre seguridad de la información. García señala el compromiso de las empresas españolas en áreas claves como la ciberseguridad o la sostenibilidad y su preocupación por el uso ético de la inteligencia artificial.
La historia de AENOR nace en el año 1986 cuando se creó la Asociación Española de Normalización y Certificación. ¿Cuál ha sido su trayectoria y qué momentos destacaría?
Para entender bien la trayectoria de AENOR y el papel que cumple en la sociedad, hay que recordar qué define su actividad, que es el concepto de generar confianza y transformación. Su nacimiento está relacionado con la entrada de España en la Comunidad Económica Europea (CEE) y con el objetivo de contar con los procesos importantes que había en Europa. Uno de ellos, con el que no contaba España, era la generación de modelos de calidad. Una calidad entendida como un estándar de producción y certificación. En España, en aquel momento, solo las asociaciones empresariales sectoriales habían intentado generar estándares para cumplir con determinadas características. Desde el Ministerio de Industria, desde el que se observó esta carencia, se promovió la formación de una asociación española de normalización. Surge, por tanto, la posibilidad de tener un estándar y de contar con una entidad que certificara contra ese estándar, lo que permitía una mejora continua y unos mínimos de calidad para asegurar la competencia de los productos españoles, sobre todo del ámbito industrial. En cuanto hay un estándar, hay una posibilidad de verificación, y esta genera confianza en el mercado.
En 1989 surge la ISO 9001, que supuso un enorme boom en España, lo que ayudó al desarrollo de estos estándares ya que esta norma iba más allá de la calidad del producto, alcanzando, en un primer momento, a la organización del trabajo. Posteriormente se extendió a todo tipo de áreas: medio ambiente, I+D+i, exportación, etc. Desde la década de 2010, además, se nos han demandado certificaciones en torno a ciertos valores vinculados con la sostenibilidad medioambiental, la sostenibilidad social, el buen gobierno y, dentro de este último, el uso de la digitalización.
En 2017 hubo un punto de inflexión, cuando se “desdobla” la actividad en dos organizaciones, la UNE (Asociación Española de Normalización) y AENOR. Año en el que se anuncia un Plan Estratégico de Transformación, ¿qué objetivos perseguía este plan y en qué se ha puesto el foco en estos años?
En 2017 surge la necesidad de separar los estándares españoles del organismo encargado de certificarlos. En la actualidad en España hay miles de certificadores y AENOR es uno de ellos. Sin embargo, en nuestro caso, no nos consideramos un certificador: AENOR genera una confianza en el mercado. Por tanto, en aquel 2017, AENOR, que antes era una asociación, se transforma en una organización de mercado, asumiendo todos los negocios que emanan de la certificación.
“En cuestiones vinculadas con los valores, las empresas españolas cuentan con iniciativas increíbles”
Con el plan estratégico, se trataba de evolucionar desde una asociación a una empresa de mercado. Había que crear una estrategia que cambiara la cultura, lo que incluía un proceso de digitalización, con un nuevo enfoque en áreas como el marketing, para moverse en un entorno de competencia. Y que persiguiera el crecimiento.
¿Cuáles son las ventajas competitivas de AENOR en relación al resto de las entidades que también realizan esta labor?
AENOR es una marca reconocida por el 80 % de la población española y el 100 % de los trabajadores españoles; lo que es un activo que ponemos a disposición de nuestros clientes. Se nos conoce por dos conceptos: la calidad y el rigor. Además, AENOR anticipa los estándares y nuestros auditores, que están repartidos por toda España, pertenecen, en un 80 %, a nuestra plantilla, lo que permite establecer estrechas relaciones con los clientes para una mejora continua. En el ADN de AENOR está prestar servicio a la empresa española. Nuestro propósito es contribuir a la transformación de la sociedad, creando confianza entre las organizaciones y las personas.
Tras tantos años de recorrido en el mercado, más de 80.000 centros de trabajo en todo el mundo tienen alguno de los certificados de AENOR. ¿Cuáles son las más vendidas y qué peso tienen las relacionadas con la tecnología?
En 2022 y 2023, la norma más vendida fue la ISO 27002, vinculada con la ciberseguridad. La segunda, en ambos años, fue la 27001, unida a la seguridad de la información, que fue la tercera en 2021. En este mismo año, por ejemplo, la UNE-ISO 22301, de continuidad de negocio, entró en el Top 10. La ciberseguridad y, en particular, la tecnología de la información, son elementos claves donde hay que seguir formando para el cumplimiento de los estándares.
IA y ciberseguridad son dos de las principales tendencias que están marcando el presente y futuro de la tecnología y las empresas. En el caso concreto de la IA, una gran parte de la labor de AENOR se centra en garantizar que las compañías tengan un buen “abordaje” ético de esta tecnología, ¿cuál es la visión que tiene acerca de esta tecnología?
La inteligencia artificial es una excelente herramienta para generar productividad en las organizaciones. Sin embargo, puede tener malos usos. En el Reglamento Europeo se establecen casos de uso y su catalogación de riesgo. Hay casos en los que se define un riesgo inaceptable y, por tanto, se establece una prohibición. Es el caso, por ejemplo, de las actividades relacionadas con la identificación biométrica en tiempo real.
“En España existe una fuerte cultura tecnológica y de ciberseguridad”
Como casos de uso con un riesgo alto, señala, por ejemplo, la vigilancia penitenciaria, obligando a un registro europeo y, además, a una verificación independiente de la conformidad, por empresas como AENOR. Es decir, para este tipo de usos y para saber si está conforme a lo que dicta el reglamento, se obliga a una verificación independiente. Hay casos, como los vinculados con los chatbots o los deepfakes, que presentan un riesgo limitado, y que están obligados a la transparencia. Y, por último, hay casos de uso con un riesgo mínimo.
Para que la actuación de las organizaciones esté alineada con lo que marca este Reglamento, “se” remite al desarrollo de una norma armonizada. Esta norma armonizada será desarrollada por los organismos de normalización de ámbito europeo (CEN/CENELEC) y se espera que el desarrollo de esta norma tome varios años. De cualquier manera ya están disponibles normas ISO, conformes a las que está certificando AENOR.
¿Qué normas están relacionadas con la gestión ética de la IA?
Hay normas mundiales, como la ISO 42001, referida a los sistemas de gestión de la IA, que nos permite verificar los elementos claves (mapa de riesgos del sistema de IA, gestión de la cadena de valor de la IA, políticas y código ético, etc.) y dar una certificación contra esta norma, lo que asegura que, al menos, la empresa está haciendo lo posible por cumplir de una manera estructurada con un uso diligente de la inteligencia artificial.
Hay otra norma, la ISO TR24368, referida a aspectos sociales y éticos en la IA, que aunque no sea certificable, nos permite dar una opinión, como AENOR, de si se está haciendo un uso ético de la IA en un caso de uso concreto. Nuestros auditores están preparados, utilizando los principios que aparecen en esta norma y los elementos claves de gestión de la ISO 42001, para determinar si en el caso de uso que presenta la empresa, se está haciendo un uso ético de la IA. Los casos de uso son variados: chatbot, vehículos autónomos, credit scoring, análisis de compartimento o procesos jurídicos. Y ese es el valor añadido que damos en AENOR: no podemos dar una presunción de cumplimiento del Reglamento Europeo pero sí una certificación de que las empresas están intentando hacerlo bien.
“Estamos muy implicados en la implantación de la gestión ética de la inteligencia artificial”
El objetivo de AENOR es implantar conceptos nuevos en la sociedad española. No es certificar. Consideramos que cumplimos con nuestro propósito cuando logramos implantar un concepto complejo en la sociedad española. Y, en el caso de la inteligencia artificial, lo vamos a llevar a cabo gracias a los casos de uso. Quizás lo primero que nos demanden sea por el uso de los chatbots. Pero solo cuando una masa crítica de organizaciones en España esté utilizando correctamente la inteligencia artificial, consideraremos que estamos cumpliendo con nuestro propósito. Y por eso estamos tan implicados en la implantación de la gestión ética de la inteligencia artificial. En este sentido, hemos hecho un acuerdo con Microsoft por el cual se ha formado a nuestros auditores para que sepan buscar, en las herramientas de la multinacional, y observar que hay unos límites concretos para el uso de esta tecnología.
Si nos centramos en la ciberseguridad, ¿cómo garantiza AENOR la seguridad de los datos y los sistemas en un entorno digital cada vez más complejo?
La ciberseguridad exhibe un elemento clave. De hecho, en el reglamento de inteligencia artificial, como no se cuente con ciberseguridad, no se cumple con el modelo ético. Contamos, por ejemplo, en el área de la seguridad de la información, con la ISO 27001, vinculada con la privacidad de la información; o con el Esquema Nacional de Seguridad (ENS) que AENOR verifica en las empresas.
¿Cómo valoraría el estado de España en este apartado?
España es la tercera nación en Europa en número de empresas certificadas en ciberseguridad y la octava del mundo. Son 1.500 empresas, un número que, sin embargo, no señala una masa crítica mínima en España para estar tranquilos. Concretamente, hay 1.400 empresas con el certificado del Esquema Nacional de Seguridad (ENS) y 1.575 que cuentan con la ISO 27001. Los ciberdelincuentes están continuamente atacando y, si se está preparado, más posibilidades de éxito de protección se tendrá.
Hasta que no estemos por encima de 5.000 empresas no tendremos una masa crítica suficiente. Tenemos recorrido para mejorar. Estoy muy orgulloso de que en España exista una fuerte cultura tecnológica y de ciberseguridad. Estamos bien, comparativamente con otros países, pero no estamos al nivel que deberíamos para estar seguros.
Las certificaciones que más crecieron en 2023 fueron las asociadas a la huella de carbono, la organización saludable y el residuo cero. En los últimos años, AENOR ha puesto especial foco en el desarrollo sostenible con un enfoque vinculado con la responsabilidad social y la gobernanza. ¿Qué rol juega este desarrollo sostenible en los servicios de certificación?
La sostenibilidad es un argumento técnico de las empresas y tiene que ver con un concepto vinculado con las “externalidades” negativas. Las empresas deben preocuparse por su grado de contaminación medioambiental, su impacto social y el impacto que tienen sus modelos de gobierno corporativo en su entorno.
Las empresas españolas están completamente comprometidas con estos tres puntos. Parece que estos conceptos son nuevos pero, por ejemplo, en el ámbito de la sostenibilidad ambiental, desde el año 2000 las empresas españolas están haciendo verificaciones de sostenibilidad.
¿Da una buena nota, por tanto, a las empresas españolas?
Sí; sobre todo en la sostenibilidad ambiental y en gobernanza. En lo que se refiere a la sostenibilidad social, es más complejo ya que apela a ciertos elementos sociales, como son la igualdad de género, la diversidad, la inclusión, etc. Sin duda hay una gran preocupación. Hay casos como, por ejemplo, el Metro de Madrid, al que hemos entregado un certificado de accesibilidad, que ha destinado 300 millones para hacer accesibles sus instalaciones.
En torno a estos valores vinculados con la sostenibilidad (medio ambiente, social y gobernanza), surgen aspectos como el “greenwashing”, es decir, hay organizaciones que aseguran que están llevando a cabo una actividad sostenible y, quizás, sea más un argumento de marketing que una realidad. Para luchar contra ello el único antídoto, y además obligado desde Europa, es una compañía como AENOR. Se va a prohibir que las empresas, en su estrategia de marketing, publiciten iniciativas que no estén verificadas por una entidad independiente.
El otro reto es descubrir cómo afecta la sostenibilidad al negocio. Un aspecto que se refiere al concepto de doble materialidad: la que se genera en los procesos de negocio de las compañías y, además, observar su impacto positivo en la sociedad. Una doble materialidad que permite generar beneficios, tanto en la cuenta de resultados de las compañías como en la sociedad. Un ejemplo real es el caso de Carrefour, que ha logrado un desperdicio alimenticio cero gracias a un aprovechamiento, completo, de los alimentos, lo que ha permitido esta doble materialidad: ha mejorado su cuenta de resultados y también ha tenido un impacto positivo en la sociedad ya que, gracias a un acuerdo con una ONG, se aprovecha hasta los excedentes, lo que crea un enorme beneficio social.
En estos temas, vinculados con los valores, las empresas españolas cuentan con iniciativas increíbles. En AENOR contamos con certificaciones vinculadas con estos valores relacionados con la economía circular (UNE-EN 15343), la huella de carbono (ISO 14064 y PAS2060) o el compromiso con las personas mayores, un área en la que contamos, por ejemplo, con empresas como CaixaBank, que está llevando a cabo iniciativas para mejorar la asistencia a los mayores, cambiando determinados procesos. También están incluidas soluciones en torno a los edificios sostenibles, las estrategias sostenibles o la sostenibilidad económica o social.
AENOR cuenta con alrededor de 500 soluciones de verificación disponibles. En torno a 300 se refieren a temas de seguridad, unas 150 de procesos y unas 50 de valores. Estas últimas son las certificaciones con mayor crecimiento desde 2012.
La pyme es el motor de la economía española. En el caso concreto de AENOR se cuenta con un “Canal pyme” que se centra en que las empresas conozcan su situación en dos apartados claves: la sostenibilidad (huella de carbono) y su estado de digitalización. ¿Cómo valoraría la concienciación de la pyme española en torno a estas dos áreas críticas para su negocio?
El primer paso, con las pymes, es trabajar en su huella de carbono, que es el elemento más común. Además, desde el punto de vista de gobierno corporativo, nos gustaría que empezara a pensar en el tratamiento correcto de los datos y en el buen uso de la digitalización. Es el ABC de la sostenibilidad en este entorno. Y posteriormente se incluirían elementos más complejos vinculados con la igualdad de género, la diversidad, etcétera. El objetivo es crear una masa crítica mínima de pymes que esté haciendo las cosas bien y quiera demostrarlo.
