Foro ComplianceLatam
Chile | Confidencialidad en investigaciones por acoso laboral: el nuevo estándar en protección de datos

Chile | Confidencialidad en investigaciones por acoso laboral: el nuevo estándar en protección de datos

12-05-2026 | Albagli Zaliasnik, Noticias

Aun cuando exista habilitación legal para tratar datos personales en investigaciones por acoso laboral, el empleador debe cumplir estrictamente con los principios de confidencialidad y seguridad.

El pasado 25 de febrero de 2025, la Agencia Española de Protección de Datos (AEPD) inició un procedimiento sancionatorio en contra de una empresa, luego de recibir dos reclamaciones por parte de trabajadores que indicaban que esta había revelado su identidad como denunciante y denunciado en un proceso de acoso laboral, divulgando sus nombres y apellidos.

En efecto, el origen de este conflicto se dio a raíz de una denuncia por acoso laboral que presentaron cinco trabajadores en contra de 10 denunciados, a propósito de la cual la empresa decidió abrir la respectiva investigación interna.

De este modo, el 31 de julio de 2024 dicho empleador envió un correo electrónico al Comité de Empresa informando que daba por finalizada la investigación, adjuntando la respectiva resolución a cada una de las cinco personas denunciantes y a los 10 denunciados, revelando así la identidad de cada uno de ellos y exponiendo sus nombres, apellidos y puestos de trabajo.

Por esta razón, la parte reclamante sostenía que, en definitiva, todo el centro de trabajo sabía que era una de las denunciantes y, asimismo, que conocía a todos los denunciados, siendo que ella no había autorizado que se divulgara su identidad, lo que generó que uno de los denunciados publicara en un grupo de trabajo de WhatsApp (el mismo día del conocimiento de la resolución), un emoji de beso junto con la frase: “Gracias por la denuncia”.

Por su parte, la empresa —al plantear su defensa—, sostuvo, fundamentalmente, que no era posible apreciar una infracción a la Ley de Datos Personales, ya que todos los interesados estaban al tanto de todas las identidades de los afectados desde el principio y, además, dado que la denuncia que dio origen al procedimiento interno de investigación por acoso había sido planteada ante el Comité de Empresasin invocarse el derecho al anonimato de los denunciantes, ni tampoco haber sido solicitado por ellos.

De esta forma, la AEPD centró el análisis no en la licitud de la investigación interna en sí misma, sino en la forma en que la empresa comunicó el cierre del procedimiento.

En particular, estimó que existían indicios suficientes de una vulneración del principio de integridad y confidencialidad, debido a que la empresa permitió que denunciantes y denunciados accedieran a la identidad de todos los intervinientes en el procedimiento, exponiendo información especialmente sensible en el contexto de una denuncia por acoso laboral.

Así, el problema jurídico del caso no radicó en la procedencia de tramitar la denuncia, sino en la falta de resguardo de la confidencialidad de quienes participaron en ella.

Sobre lo anterior, termina proponiendo —atendida la gravedad de la posible infracción y el nivel de negligencia del empleador—, la imposición de una multa administrativa, efectiva, proporcional y disuasoria ascendente a €200.000, además de la adopción de medidas correctivas, si proceden (en este caso, que la empresa adopte, en un plazo de tres meses, las medidas adecuadas para garantizar la confidencialidad de los datos personales).

Finalmente, es del caso señalar que, ante la decisión de iniciar un procedimiento sancionatorio que, adoptado por la AEPD, la empresa optó por asumir su responsabilidad, ello con el propósito de reducir la cuantía de la multa impuesta, pagando en definitiva la suma de €120.000.

Así las cosas, este caso resulta especialmente interesante como referencia comparada desde la experiencia española, más aún considerando que a partir del próximo 1 de diciembre de 2026 entrará en vigencia en nuestro país la Ley N° 21.719, que regula la protección y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales, autoridad que cumplirá un rol equivalente al que actualmente ejerce la AEPD en España.

En ese contexto, se trata de un caso plenamente extrapolable a Chile, particularmente en el marco de la Ley Karin, pues aun cuando exista una habilitación legal para tratar datos personales en el curso de investigaciones por acoso laboral, ello no releva al empleador del deber de cumplir estrictamente con los principios de confidencialidad y seguridad que rigen todo tratamiento de datos.

De ello se sigue que la sola existencia de una base normativa que permita investigar no basta por sí sola, sino que también resulta indispensable contar con políticas internas claras, canales de denuncia seguros, protocolos de acceso restringido y resguardos efectivos que eviten la exposición indebida de información especialmente sensible.

Si necesitas más información, escríbenos a contacto@compliancelatam.legal.

Chile | Riesgo residual: ¿qué es, cómo se interpreta y para qué sirve?

Chile | Riesgo residual: ¿qué es, cómo se interpreta y para qué sirve?

05-05-2026 | Albagli Zaliasnik, Noticias

¿Por dónde partir?

Riesgo inherente: es el riesgo “en bruto”, lo que podría pasar si una actividad se realiza sin considerar controles.

Por ejemplo: pagos, contratación de terceros, donaciones o interacción con autoridades.

El rol de los controles

Los controles buscan reducir ese riesgo inherente. Pero no basta con que existan, deben funcionar en la práctica.

Pueden ser:

  • Automatizados, más efectivos.
  • Manuales, más vulnerables.

El resultado: riesgo residual

Es lo que queda después de aplicar controles.

Riesgo inherente → controles → riesgo residual

Es decir, el nivel real de exposición con el que opera la empresa. Este nivel nunca es cero.

¿Por qué nunca desaparece?

Porque siempre existen:

  • Errores humanos.
  • Cambios regulatorios.
  • Falta de información.
  • Nuevos riesgos.

¿Por qué importa?

El riesgo residual permite:

  • Priorizar recursos.
  • Detectar brechas de control.
  • Demostrar cumplimiento (con evidencia).

Importante: no se trata de eliminar el riesgo, sino de gestionarlo de forma estratégica.

Si necesitas más información, escríbenos a contacto@compliancelatam.legal.

Compliance como lineamiento global y enfoque regional, una conversación con Rafael López de Xiaomi

Compliance como lineamiento global y enfoque regional, una conversación con Rafael López de Xiaomi

04-05-2026 | Basham, Noticias

En un entorno donde la innovación tecnológica avanza con velocidad y las regulaciones se complejizan, el compliance se ha convertido en un pilar esencial para las empresas del sector. Compañías globales como Xiaomi, que operan en múltiples mercados y marcos regulatorios, buscan asegurar la gestión ética, la transparencia y la adecuada gobernanza no solo para garantizar el cumplimiento normativo, sino para reforzar la confianza de los consumidores, socios y autoridades.

En esta conversación con el Regional Head of Legal and Compliance LATAM en Xiaomi, Rafael López, exploramos cómo la compañía aborda estos desafíos en América Latina, las estrategias que sustentan su cultura de integridad y la visión del futuro del cumplimiento en un ecosistema empresarial cada vez más digital y exigente.

¿Cómo describiría la estrategia de Xiaomi para fortalecer la función de Legal y Compliance en Latinoamérica y cómo se articula con la visión global de la compañía?

Es un esfuerzo combinado que se implementa a nivel global con pauta desde nuestra sede central. En Xiaomi, todo actuar debe ser ético y de conformidad con las leyes aplicables. En ese sentido, desde el área de Compliance buscamos constantemente crear y actualizar políticas que deben permear a todo el equipo, desde altos ejecutivos —incluyendo a la C-Suite— hasta practicantes o miembros más jóvenes. Para esto, dar entrenamiento y capacitación constante con relación a este tema es fundamental. Dentro de esos entrenamientos, existen algunos que se dan a nivel global mientras que otros tantos son creados y realizados de manera regional, tomando en consideración las particularidades de cada mercado local.

Desde su posición regional, ¿cuáles considera que son los principales riesgos y desafíos de cumplimiento que enfrenta el negocio en los distintos mercados latinoamericanos?

Creo que la falta de coordinación regulatoria que existe entre los mercados del continente. Tenemos países que van varios años adelante usando políticas de privacidad más estrictas y similares a un Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), tenemos países que ya contemplan la responsabilidad penal para las personas morales y, también, tenemos naciones cuya legislación en torno al cumplimiento es poca o bien, no es ejecutable.

¿Qué elementos definen la cultura de integridad y cumplimiento dentro de Xiaomi, y cómo se promueve entre los colaboradores y socios externos?

Capacitación constante, adaptabilidad y permeabilidad a los mercados locales, políticas de cero tolerancia ante un actuar sin ética y algunos otros. Se promueve desde lo más alto de la corporación, con un ejemplo por parte de los directores tanto en la sede central como en las respectivas regiones. De igual manera, se hacen llegar nuestras políticas y materiales relacionados al cumplimiento a partes relacionadas y proveedores a fin de que los conozcan, estudien y acepten actuar conforme a los mismos.

¿Cómo se logra armonizar las políticas y estándares globales de compliance con los marcos regulatorios locales de cada país en la región?

Este es sin duda uno de los retos más grandes, pero nosotros siempre actuamos bajo el estándar de quien puede lo más, puede lo menos. En ese sentido, buscamos que nuestras políticas y procesos sean lo más robustos posibles. De esta manera, si son aceptados y validados en los mercados más complejos será fácil ejecutarlos en mercados más laxos o menos maduros.

La digitalización está transformando todas las áreas corporativas. ¿Qué rol juegan la tecnología y la innovación en la gestión de Legal y Compliance en Xiaomi?

Sin duda es una herramienta que nos permite hacer nuestro trabajo de manera más sencilla. Creo que las distintas herramientas tecnológicas nos ayudan a llevar un mejor control respecto a lo que se implementa. También, facilita el trabajo a la hora de llevar a cabo investigaciones complejas, sobre todo cuando se tiene que hacer a distancia.

¿De qué manera el área de Compliance colabora con las áreas de negocio para garantizar que el crecimiento comercial se desarrolle dentro de los más altos estándares éticos y regulatorios?

Con presencia en las operaciones y una constante política de entrenamiento a todas las áreas. De igual manera, estableciendo con ejemplos reales cuando alguien falta a las políticas y ejecutando las consecuencias necesarias. Hacer saber a los funcionarios y directivos que sus actos pueden tener repercusiones no solo en la empresa, sino en su esfera jurídica como personas físicas, también ayuda a concientizar sobre la importancia de un actuar ético.

¿Qué iniciativas o acciones considera más efectivos para fomentar una cultura preventiva y de responsabilidad en materia de cumplimiento en toda la organización?

Entrenamientos constantes y sanciones reales para aquellos que no siguen las políticas, manuales y cuyo actuar no es ético.

Desde su experiencia, ¿cuáles han sido las principales lecciones aprendidas al liderar la función de Legal y Compliance en una región tan diversa como Latinoamérica?

El que puede lo más, puede lo menos. Nunca es tarde para empezar. Es fundamental crear modelos de prevención y no de reacción, pues cuando se está reaccionando normalmente ya es tarde.

¿Qué aspectos considera que podrían fortalecerse en la práctica del cumplimiento a nivel regional para afrontar con mayor solidez los nuevos retos regulatorios y éticos?

Legislación más actualizada y realmente ejecutable. Interacción y homogeneidad entre entidades regulatorias. Cuando se tome como referencia legislación de otro continente o región, adaptarlo con base en la realidad histórica del país en el que será ejercida.

¿Qué consejos le daría a los profesionales legales que quieren desempeñarse en el área de compliance de las empresas?

Primero, que entiendan que compliance no es lo mismo que legal, aunque sin duda se pueden complementar muy bien. Por un lado, legal es el área encargada de interpretar, estudiar y definir las leyes y regulaciones aplicables buscando definir una estrategia sólida para lograr los objetivos deseados. Por otra parte, Compliance es responsable de tomar dichas interpretaciones y asegurarse de su ejecución y cumplimiento.

Si deseas más información, escríbenos a contacto@compliancelatam.legal.

Uruguay | Ejecutivo incorpora cambios significativos al régimen general de prevención de lavado de activos y financiamiento del terrorismo

Uruguay | Ejecutivo incorpora cambios significativos al régimen general de prevención de lavado de activos y financiamiento del terrorismo

28-04-2026 | FERRERE, Noticias

Las nuevas obligaciones también tendrán cierto impacto en los sujetos obligados del sector financiero.

El pasado 19 de marzo, el Poder Ejecutivo promulgó la Ley 20.469, que incorpora cambios significativos al régimen general de prevención de lavado de activos y financiamiento del terrorismo (PLAFT) en Uruguay. Esto implica que los sujetos obligados del sector no financiero deberán:

  • adecuar sus matrices de riesgo, tanto de la empresa como de sus clientes;
  • adaptar manuales de prevención en materia de PLAFT;
  • y fortalecer las políticas de gobierno corporativo en torno a los directivos y la alta gerencia.

El alcance de estas nuevas obligaciones también tendrá cierto impacto en los sujetos obligados del sector financiero. Los cambios, que aún están supeditados a su futura reglamentación, pueden sintetizarse en los siguientes aspectos:

  1. Abogados, escribanos, contadores y toda otra persona física o jurídica

Las transacciones inmobiliarias que impliquen dación de pago, permuta o pagos realizados total o parcialmente con activos virtuales, estarán sujetas a controles en materia de prevención de lavado de activos para estas categorías de sujetos obligados.

  1. Nuevos sujetos obligados
  • Fiduciarios no financieros: se incluye a los fiduciarios no financieros, tanto generales como profesionales, como nuevos sujetos obligados, pero bajo la supervisión de la Secretaría Nacional para la Lucha contra el Lavado de Activos y Financiamiento del Terrorismo (SENACLAFT).
  • Organizaciones sin fines de lucro: se amplía esta categoría, incorporando a los sindicatos y organizaciones empresariales como sujetos obligados.
  • Prestadores de Servicios de Administración, Contabilidad y Procesamiento de Datos (BPO): se determina que los BPO que apoyen actividades financieras desarrolladas en el exterior deberán registrarse ante SENACLAFT, en las condiciones que determine la reglamentación.
  1. Ampliación de procesos de debida diligencia

Estos procesos deberán también realizarse sobre accionistas, socios, inversores o aportantes de fondos de cualquier tipo, sujeto al alcance que determine la futura reglamentación.

  1. Presunción de bajo riesgo para el sector no financiero

Se elimina la presunción de bajo riesgo para operaciones bancarizadas de los sujetos del sector no financiero.

  1. Restricciones al uso de efectivo

Se reduce el umbral mínimo para operaciones en efectivo fijada en 1.000.000 UI (unidades indexadas) a los siguientes mínimos:

  • 000 UI;
  • el 5% del valor total de la operación, siempre que dicho monto no supere las 450.000 UI.
  1. Inmovilización de fondos y protección de terceros

Se amplía a 5 días hábiles la obligación de inmovilizar fondos cuando exista resolución fundada de la Unidad de Información y Análisis Financiero, en el marco de un reporte de operación sospechosa. Asimismo, se incorpora la posibilidad de liberaciones parciales a solicitud de terceros de buena fe.

  1. Nuevo régimen de responsabilidad para directivos y la alta gerencia

Bajo el nuevo régimen, y sujeto a lo que determine la reglamentación, los directivos y la alta gerencia (no definida) podrán incurrir en responsabilidad administrativa, siendo pasibles de sanciones (apercibimiento, observación o multa), lo que estaba reservado exclusivamente a los sujetos obligados.

  1. Delitos precedentes

Se incorporan el delito ambiental de introducción de desechos tóxicos y el fraude en las entidades integrantes del sistema financiero nacional.

  1. Umbrales únicos

Se uniformizan los umbrales económicos definidos para calificar como actividades delictivas precedentes de lavado de activo, de acuerdo con el siguiente detalle:

  • Defraudación tributaria: por monto superior a 400.000 UI.
  • Defraudación aduanera: por monto superior a 400.000 UI.
  • Contrabando, estafa, aprobación indebida y ciberdelitos: por monto superior a 100.000 UI.
  1. Delito de asistencia al lavado de activos

Se adecúa la definición de “asistencia”, asociándola a los delitos de lavado de activos (conversión, transferencia, posesión, tenencia y ocultamiento), para diferenciarla de la “asistencia” de actividades delictivas precedentes.

  1. Otros

Se prevén reformas en materia de diseño institucional, cooperación del sector público y cooperación internacional, aspectos procesales y penales, decomisos y extradición, entre otros.

Para solicitar más información, escríbenos a contacto@compliancelatam.legal.

Opinión | Protección de Datos en 2026: el desafío de alinear cumplimiento legal y tecnología

Opinión | Protección de Datos en 2026: el desafío de alinear cumplimiento legal y tecnología

27-04-2026 | Albagli Zaliasnik, Opinión

La entrada en vigencia de la nueva Ley de Protección de Datos Personales en Chile marcará un cambio relevante en la forma en que las empresas gestionan la información. Sin embargo, más allá de los ajustes regulatorios que introduce la norma, el verdadero desafío para las organizaciones durante 2026 será otro: lograr que el cumplimiento legal y la implementación tecnológica avancen de manera coordinada.

Por Antonia Nudman, Asociada Senior de az Tech; y Yoab Bitrán, Director del Grupo Compliance de Albagli Zaliasnik

En muchas compañías, los proyectos de cumplimiento normativo suelen abordarse principalmente desde las áreas legales o de compliance. Esto es comprensible: son estas áreas las que interpretan la normativa, definen obligaciones y elaboran políticas internas. Sin embargo, en materia de protección de datos, ese enfoque resulta incompleto si no se articula de forma estrecha con las áreas tecnológicas.

La razón es simple. Mientras el área legal define qué exige la ley —por ejemplo, principios de tratamiento, bases de licitud, deberes de información o medidas de seguridad—, son las áreas de tecnología las que deben traducir esas exigencias en prácticas concretas dentro de los sistemas, plataformas y procesos de la organización. En otras palabras, el cumplimiento jurídico requiere necesariamente una implementación técnica para hacerse efectivo.

Esto se vuelve particularmente evidente en aspectos como la gestión de accesos a bases de datos, la trazabilidad de los tratamientos, la implementación de medidas de seguridad, la gestión de incidentes o la eliminación segura de información. Todos estos elementos forman parte del cumplimiento normativo, pero su ejecución depende en gran medida de la arquitectura tecnológica de la empresa.

Por ello, uno de los principales desafíos para las organizaciones en este nuevo escenario será construir puentes entre ambos mundos. El cumplimiento en protección de datos no puede ser únicamente un ejercicio documental ni tampoco exclusivamente tecnológico: requiere una coordinación permanente entre quienes interpretan la norma y quienes diseñan e implementan los sistemas.

En este contexto, el rol del asesor también evoluciona. Ya no basta con entregar una interpretación jurídica de la ley o con elaborar políticas y documentos de cumplimiento. La implementación efectiva exige abordar el proceso desde ambas dimensiones: la normativa y la técnica. En ese sentido, el asesor debe contar con una sólida mirada legal y, deseablemente, también con conocimientos en seguridad de la información que le permitan dialogar con los equipos tecnológicos de la organización. Solo así es posible acompañar adecuadamente el proceso de implementación, abordándolo tanto desde la lógica normativa (la teoría) como desde la realidad operativa de los sistemas (la práctica).

Precisamente por lo anterior, es cada vez más común que los equipos de asesoría externa incorporen perfiles interdisciplinarios, sumando ingenieros o especialistas en seguridad de la información que permitan abordar la implementación desde una perspectiva integral y faciliten la coordinación entre las áreas legales y tecnológicas de las organizaciones.

En definitiva, la nueva regulación plantea un desafío que es tanto organizacional como técnico. Aquellas empresas que logren integrar adecuadamente el trabajo de sus áreas legales y tecnológicas no solo estarán mejor preparadas para cumplir con la ley, sino también para gestionar de manera responsable uno de los recursos más sensibles de la economía digital: la información personal de las personas.

Antonia Nudman, Asociada Senior de az Tech; y Yoab Bitran, Director del Grupo Compliance en Albagli Zaliasnik

 

Fuente: Revista Gerencia – marzo 2026.

Si tienes consultas, escríbenos a contacto@compliancelatam.legal.com.

Opinión | Más allá del papel: el nuevo estándar de compliance como sistema operativo, medible y defendible

Opinión | Más allá del papel: el nuevo estándar de compliance como sistema operativo, medible y defendible

23-04-2026 | Basham, Opinión

Por Gerson Vaca, Socio, Área ESG y Compliance | Basham, Ringe y Correa

En la mayoría de las organizaciones, el compliance ya no es un tema de diseño de políticas sino de la forma en que estas se ejecutan en el día a día.

Las empresas han invertido en la creación de códigos de conducta, políticas y programas formales. Sin embargo, los principales riesgos (regulatorios, penales y reputacionales) no se generan por la falta de estos documentos, sino por la falta de capacidad para demostrar que efectivamente operan en la práctica.

Este reto ha redefinido el rol del compliance officer y del director legal. Hoy, su responsabilidad no se limita a estructurar los marcos normativos internos, sino a asegurarse que estos marcos se integren en la operación, influyan en la toma de decisiones y generen evidencia verificable.

En este contexto, el compliance debe funcionar como un sistema operativo de control, evolucionando y superando el enfoque tradicional de contar con un programa en papel.

Los nuevos estándares

Existen diversas fuentes y autoridades que han desarrollado principios de compliance que se atienen a las necesidades actuales de esta función. Por ejemplo, el Departamento de Justicia de los Estados Unidos (DOJ) establece tres preguntas fundamentales que hoy reflejan uno de los estándares de evaluación de los programas de compliance:

Is the program well designed?

Is the program being applied earnestly and in good faith?

Does the program work in practice?

La tercera pregunta que hace el DOJ es la que está redefiniendo el análisis de los programas de compliance y, en la práctica, esta pregunta es la que suele determinar si un programa es considerado efectivo o meramente formal en caso de una investigación.

Por lo anterior, ya no es suficiente acreditar que el programa existe o que ha sido difundido a los colaboradores. Las autoridades esperan que las organizaciones puedan demostrar, con evidencia objetiva, que los controles establecidos en el programa se ejecutan en operaciones reales y que se generan resultados verificables.

La incapacidad de demostrar que un programa funciona en la práctica genera una pérdida sustancial del valor del programa como elemento de defensa frente a las autoridades.

Cuando el compliance se vuelve estratégico para la toma de decisiones

El compliance no debe verse como una carga administrativa o un obstáculo para la generación de negocio. Puede ser una herramienta para generar valor cuando se convierte en un elemento estructural para la toma de decisiones. Un programa que no funciona como elemento determinante en la toma decisiones estratégicas es irrelevante desde una perspectiva de gestión de riesgos.

Un programa de compliance efectivo debe responder con soporte y evidencia:

  • ¿Qué controles operaron en un periodo determinado?: las empresas deben contar con registros verificables (logs, aprobaciones, sistemas) que acrediten su aplicación consistente. Esto permite demostrar que el sistema no solo existe, sino que se ejecuta de manera sistemática.
  • ¿Qué transacciones fueron bloqueadas o escaladas?: se debe demostrar que el sistema de compliance tiene capacidad real de intervención para detener, validar o escalar decisiones que pueden generar riesgos. Un sistema que no bloquea o condiciona operaciones carece de efectividad práctica.
  • ¿Qué riesgos se detectaron y cómo se atendieron?: debe existir trazabilidad completa desde la identificación del problema hasta su remediación y seguimiento, a efecto de demostrar control real de riesgos.

Estas respuestas constituyen, en la práctica, la diferencia entre un programa de papel y un programa real con ejecución concreta.

Integración de compliance en los procesos del negocio

Para que un programa de compliance cumpla debidamente con su función, debe operar bajo tres condiciones esenciales:

  1. Integrado en los procesos de negocio: los controles deben integrarse como parte del flujo operativo de la empresa como procesos necesarios, que deben llevarse a cabo como parte de los negocios de la empresa. Un proceso que no forma parte integral de las operaciones de la empresa puede ser eludido fácilmente.
  2. Alineación con la gestión de riesgos: una política robusta y elaborada de acuerdo con los más altos estándares internacionales no será efectiva si no está ajustada a los riesgos materiales de la empresa y pierde valor si no se cuenta con una correcta priorización de riesgos, diluyendo el valor y efectividad del programa y generando desperdicio de recursos.
  3. Operando como parte de la actividad diaria: el compliance debe permearse desde la alta dirección a los equipos que llevan a cabo la ejecución de las actividades que pueden generar riesgos, como parte de la cultura de la empresa y no como un elemento independiente a las actividades del día a día. El compliance visto como elemento aislado tiene eficacia limitada.

Aplicación concreta

A continuación, se enlistan sugerencias específicas para la integración del compliance:

Contratación

Todos los proveedores, sin importar el tamaño o la materialidad de sus productos y servicios, deben seguir el proceso de validación previa como requisito indispensable para su contratación.

Implicación: la empresa debe establecer procesos obligatorios para impedir la contratación sin un due diligence.

Finanzas

Los pagos deben estar sujetos a controles automatizados que se adecúen a las necesidades y tiempos de respuesta de la empresa, con roles claros y definidos.

Implicación: el sistema debe impedir operaciones que no cumplan con las políticas o el proceso de pago implementado.

Recursos Humanos

Las evaluaciones para contratación deben —además de verificar capacidades— incorporar validaciones legales y éticas.

Implicación: no deben llevarse a cabo contrataciones sin que exista el expediente completo y verificable.

Cadena de suministro

Siempre que se cumplan con los procesos de contratación antes descritos, las obligaciones de cumplimiento de proveedores y prestadores de servicios deben estar debidamente documentadas en los contratos que se firmen, estableciendo de manera clara las obligaciones de los proveedores/prestadores, incluyendo sanciones y derechos de rescisión.

Implicación: la empresa debe poder auditar y, en su caso, terminar relaciones por incumplimiento.

Criterio de materialidad

Si un proceso puede ejecutarse sin activar un control de compliance, ese control se vuelve irrelevante y no cuenta con funcionalidad, por lo que debe revisarse y adecuarse.

Controles preventivos: expectativa regulatoria y estándar mínimo

Las empresas pueden utilizar criterios existentes como base para determinar la eficacia de sus programas y que estos realmente puedan generar valor. Por ejemplo, en México, la Comisión Nacional Bancaria y de Valores establece que los sistemas de control deben:

  • Prevenir riesgos: los controles deben impedir la ejecución de conductas de riesgo, no limitarse a detectarlas y sancionarlas posteriormente.
  • Estar claramente documentados: cada control debe estar claramente definido, incluyendo responsables y forma de ejecución.
  • Ser verificables y auditables: debe existir evidencia suficiente para acreditar que el control operó correctamente.

Evidencia de aplicación y efectividad

Como se comentó, el DOJ establece que las empresas deben tener la capacidad de demostrar que sus programas funcionan mediante evidencia basada en datos concretos.

Esto implica que la organización debe acreditar el nivel o porcentaje de ejecución, qué tan efectiva es la implementación, qué incumplimientos se identificaron y qué acciones correctivas se implementaron.

Este enfoque transforma el compliance en un sistema medible, auditable y defendible.

Dinamismo del programa de compliance

Para que un programa de compliance sea efectivo, debe ser dinámico y flexible, para ajustarse conforme evolucionan los riesgos de la empresa, las leyes y su regulación y el modelo de negocio de la empresa. Los programas que no siguen los cambios internos y externos de las empresas se vuelven obsoletos.

Compliance como herramienta estratégica

Más que una carga administrativa, el estado y evolución actual del compliance tiene el potencial de generar beneficios directos a las empresas mediante la detección y reducción de exposición a riesgos, mejoras en los procesos operativos mediante la asignación clara de funciones, responsabilidades y roles, y como una ventaja competitiva ante clientes e inversores, quienes ven a las empresas con un sistema de compliance actualizado y avanzado como mejores socios comerciales frente a empresas que no cuenten con estos sistemas.

Por dónde empezar

Si bien cada empresa tiene necesidades y riesgos diferentes, existen pasos básicos que pueden aplicarse para empezar con la evolución de su programa de compliance mediante un diagnóstico de brechas operativas entre sus políticas y las operaciones reales de las empresas, determinando de tal forma los riesgos más relevantes para diseñar los controles preventivos necesarios y determinar roles y funciones que pueden tener mayor injerencia en eventos de riesgo, enfocando así la capacitación en estos funcionarios. Lo anterior permite de igual forma establecer desde el diseño las métricas que deben utilizarse para medir y estar listos para reportar o defender el valor de cada programa.

Conclusión

En la práctica, la diferencia entre un programa de compliance formal y uno efectivo es la capacidad de demostrar que opera en la realidad, genera evidencia y resiste escrutinio regulatorio.

Hoy, las organizaciones que no pueden demostrar la ejecución efectiva de su programa enfrentan una exposición significativa en escenarios de revisión o investigación y, por otro lado, las organizaciones que logran esta transición no solo mitigan riesgos, sino que fortalecen su operación, mejoran su posición frente a reguladores y se convierten en contrapartes confiables en un entorno cada vez más exigente.

Este cambio implica un rediseño estructural del sistema de compliance que, en la mayoría de los casos, requiere un enfoque especializado para su correcta implementación.

Gerson Vaca, Socio, Área ESG y Compliance | Basham, Ringe y Correa

Si deseas obtener más información, comunícate con nosotros a través de contacto@compliancelatam.legal.