El 10 de febrero de 2025, el presidente Trump firmó la O.E. 14209 para “Pausar la aplicación de la Ley de Prácticas Corruptas Extranjeras para Promover la Seguridad Económica y Nacional de Estados Unidos”.
La O.E. establece un período de 180 días (que finaliza el 9 de agosto de 2025) para que Bondi:
No inicie nuevas investigaciones de la FCPA (sin perjuicio de poder iniciar investigaciones de forma excepcional);
Revise las acciones de enforcement derivadas de la FCPA y tome acción apropiada para restaurar límites en la aplicación de la FCPA; y
Publique los lineamientos y políticas que regirán las investigaciones para darle prioridad a intereses Americanos.
Nueva Guía del Fiscal General Adjunto Todd Blanche
El 9 de junio de 2025, el Fiscal General Adjunto Todd Blanche publicó una guía revisada sobre la aplicación de la FCPA (el “Memorando”) en respuesta a la O.E. 14209.[1] En esencia, el Memorando establece que las investigaciones y acciones de enforcement actuales y futuras de la FCPA se guiarán por los siguientes objetivos:
“limitar las cargas indebidas sobre las compañías estadounidenses que operan en el extranjero”; y
“focalizar las acciones de aplicación contra las conductas que socavan directamente los intereses nacionales de Estados Unidos”.
Además, el Memorando da instrucciones a los fiscales para que se centren en los individuos, procedan con celeridad y tengan en cuenta las consecuencias colaterales de las investigaciones, incluida “la potencial perturbación de los negocios legales y el impacto en los empleados de una compañía”.
El Memorando también establece varios factores, no taxativos, que deben tener en cuenta los fiscales a la hora de determinar si se debe iniciar o continuar con las investigaciones o con las acciones de enforcement de la ley, a saber:
“Si la presunta conducta indebida (1) está asociada a las operaciones delictivas de cárteles u organizaciones delictivas transnacionales (“TCOs” por sus siglas en inglés); (2) utiliza lavadores de activos o compañías de papel que se relacionan con cárteles o TCOs; o (3) está vinculada a empleados de una entidad estatal u otros funcionarios extranjeros que han recibido sobornos de cárteles o TCOs”;
“Si la presunta conducta indebida privó a entidades estadounidenses específicas e identificables de un acceso justo a la competencia o provocó un perjuicio económico a compañías o individuos estadounidenses específicos o identificables”;
Si la conducta indebida crea una amenaza “urgente” para “la seguridad nacional de Estados Unidos como consecuencia del soborno de funcionarios corruptos que implique a infraestructura o activos clave”, especialmente si la corrupción tiene lugar “en sectores como defensa, inteligencia o infraestructura crítica”;
Si la presunta conducta indebida se eleva a “una conducta indebida grave que conlleva un fuerte indicio de intención corrupta vinculada a individuos particulares”; o
Si “una autoridad competente extranjera está dispuesta y es capaz de investigar y perseguir la misma presunta conducta indebida”.
También observamos que en la nota al pie de la página número cuatro del Memorando, el DOJ hace referencia al hecho de que los esquemas de soborno más flagrantes han sido cometidos históricamente por compañías extranjeras y que las acciones más significativas de la FCPA (tanto en el alcance de la conducta indebida como en las penas impuestas) han sido impuestas en su inmensa mayoría contra compañías extranjeras. Esto puede sugerir que esta seguirá siendo una tendencia para este DOJ.
Las conclusiones claves que resultan del Memorando son las siguientes:
Confirma el aumento de los riesgos bajo la FCPA y otros riesgos relacionados para las empresas que operan en áreas influenciadas por operaciones de cárteles y organizaciones criminales transnacionales (TCO), como son los países de América Latina. Esto es consistente con el memorando emitido por el Jefe de la División Criminal del DOJ, Matthew R. Galeotti el 12 de mayo, estableciendo los enfoques de la nueva administración en cuanto a los crímenes de cuello blanco, los cuales incluyen el soborno a funcionarios extranjeros y lavado de activos y el apoyo material a los cárteles y TCOs.[1]
Indica un cambio en el enfoque tradicionalmente asertivo del DOJ para la responsabilidad corporativa por los actos de los empleados o agentes, si las declaraciones del DOJ sobre no perseguir “collective knowledge theories” (teorías de conocimiento colectivo) se aplican consistentemente en casos futuros.
Podría hacer que el DOJ se niegue a perseguir casos que no dañen a “entidades o individuos específicos e identificables de Estados Unidos”, incluidos los casos que involucren sobornos por parte de empresas estadounidenses que no afectan otros intereses de Estados Unidos o que solo perjudican a partes no estadounidenses; aunque tal enfoque podría aumentar el escrutinio de las empresas estadounidenses por parte de las autoridades de otros países y podría ser considerado como violaciones de las obligaciones de Estados Unidos bajos los tratados.
Representa un probable enfoque del DOJ en investigar casos de corrupción por parte de empresas no estadounidenses, especialmente aquellas con sede en países considerados como amenazas para los intereses nacionales de Estados Unidos (por ejemplo, China).
Parece diseñado para ayudar a las empresas estadounidenses que operan en sectores críticos de interés para la seguridad nacional, aunque los detalles son escasos y algunas de las políticas anunciadas pueden tener consecuencias no deseadas para esas empresas.
Dirige el foco del enforcement lejos de potencialmente penalizar a las personas estadounidenses por participar en “prácticas comerciales de rutina en otras naciones”, aunque no define tales prácticas en detalle y abre la puerta a una mayor presión sobre los programas de cumplimiento corporativo, así como a posibles mayores costos para las empresas estadounidenses por, por ejemplo, funcionarios extranjeros que esperan un tratamiento potencialmente lujoso de acuerdo con las costumbres locales.
No aborda la política o las prioridades de la FCPA de la Comisión de Valores y Bolsa (SEC) (aunque la SEC podría considerar medidas destinadas a mejorar el escrutinio de la divulgación de información de las empresas públicas sobre ciertos temas relacionados a la luz de los cambios en el enforcement contra el soborno).
Solamente nota de forma indirecta los efectos en las empresas (estadounidenses y no estadounidenses) del potencial enforcement intensificado sobre la lucha contra la corrupción por parte de otros países, aunque confirma que el DOJ tiene la intención de continuar la cooperación multilateral y la asistencia judicial mutua relacionada con al menos algunas investigaciones multinacionales.
No proporciona una interpretación para ciertos conceptos clave, como, por ejemplo, cómo el DOJ minimizará “la posible interrupción de los negocios legales y el impacto en los empleados de una empresa” de una investigación, dejando esos problemas para una futura implementación caso por caso.
Si bien varias preguntas importantes continúan sin respuesta, el Memorando del 9 de junio representa una declaración significativa de los nuevos objetivos y prioridades del DOJ en la aplicación de la FCPA.
Acompáñanos en este evento junto a Miller & Chevalier Chartered y Basham, Ringe y Correa, S.C., donde abordaremos el cambio de enfoque en los programas de #compliance, donde las empresas deberán tener una mayor sofisticación y endurecimiento en los procesos de contratación de terceros, el impacto en las transacciones y cadena de suministros.
📅 Jueves 10 de julio
🕘 9:00 a.m. | hora México
Regístrate aquí:
👉 https://lnkd.in/d3BZC9iD
El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo
Con la entrada en vigencia, a partir del 01 de diciembre de 2026, de la nueva Ley sobre Datos Personales en Chile, muchas empresas están revisando sus prácticas cotidianas.
En esta oportunidad queremos centrar nuestra mirada en el ámbito laboral, por los efectos que ello conllevará para las organizaciones y el ejercicio de las legítimas facultades del empleador.
Así, una situación que puede pasar desapercibida, pero que requiere de análisis, es el uso de grupos de WhatsApp entre trabajadores. ¿Es legal? ¿Qué pasa si se usa el número personal del trabajador sin su consentimiento? Un reciente caso en Europa entrega respuestas útiles, y que pueden ser aplicables a nuestro ordenamiento, dado los principios y estándares consagrados en la nueva ley.
La Agencia Española de Protección de Datos (AEPD) sancionó con 42.000 euros a una empresa por agregar el número personal de una trabajadora a un grupo de WhatsApp corporativo sin contar con su consentimiento.
La compañía alegó que lo hacía para fines laborales y que incluso había adoptado buenas prácticas (como el uso de móviles corporativos con medidas de seguridad), pero esto no fue suficiente. La sanción fue impuesta en el marco del Expediente N.º EXP202310848, recientemente publicado por la AEPD.
Lo anterior, a pesar de que en una primera instancia se había declarado inadmisible la reclamación, bajo la conclusión preliminar de que el actuar de la empresa habría sido conforme a derecho, acogiendo sus argumentos de defensa que: “la práctica de la empresa hasta la fecha en esta materia ha sido prudente y garantista toda vez que los grupos de WhatsApp solo incluyen empleados de la empresa”.
Continúa mencionando que no se agregó “a ningún tercero y que los datos personales de los miembros que son objeto de tratamiento necesario se refieren exclusivamente al nombre y apellidos de los miembros y a su número móvil, así como a su intervención en determinadas tareas y proyectos de la empresa, es decir, a los mínimos indispensables”.
Frente a ello, la reclamante interpuso un recurso cuya resolución es clara: no basta con que el tratamiento de datos tenga un fin útil o práctico para la empresa. Para que sea lícito, debe apoyarse en una base jurídica válida (como el consentimiento o la ejecución de un contrato), lo que no se cumplía en este caso.
Es importante mencionar que el uso del número personal no puede forzarse, ni siquiera si se justifica por razones operativas o por falta de equipos, según queda de manifiesto en el Fundamento de Derecho V de la resolución:
“A este respecto, cabe señalar que la infracción afecta a un principio básico del tratamiento de datos personales, como es el que dicho tratamiento cuente con una base de legitimación. En el presente caso consta, asimismo que, a pesar de que la reclamante manifestó expresamente su deseo de no seguir utilizando su teléfono personal para cuestiones laborales, el mismo fuera utilizado de nuevo con ese objetivo”.
Esta sanción anticipa un debate que será central bajo la futura legislación chilena: el respeto al principio de licitud en entornos laborales. La nueva ley exigirá que las empresas puedan justificar, documentar y limitar adecuadamente cada tratamiento de datos personales. El uso de canales informales como WhatsApp, aunque extendido, no exime del cumplimiento normativo.
¿Qué deben hacer las empresas en Chile respecto a la protección de datos personales en el ámbito laboral?
Evitar usar números personales de trabajadores sin consentimiento claro y documentado.
Implementar protocolos escritos sobre herramientas de comunicación interna.
Entregar equipos corporativos cuando se requiera comunicación constante por mensajería.
Evaluar los riesgos asociados a estos tratamientos, especialmente en términos de privacidad y seguridad.
El caso mencionado deja una lección clave para las empresas chilenas: la gestión de datos personales en el entorno laboral debe planificarse con el mismo rigor que cualquier otro proceso corporativo.
En un escenario donde WhatsApp se ha convertido en una herramienta laboral de facto, la nueva legislación chilena exigirá pasar de la informalidad al cumplimiento. La clave estará en documentar las decisiones, minimizar los riesgos y la implementación anticipada de buenas prácticas.
Para más información sobre estos temas pueden consultar a:
En este segundo episodio, Yoab Bitran, Director del grupo Compliance de Albagli Zaliasnik, conversó con Ignacio Letelier, Gerente Legal, de Compliance y de Relaciones Institucionales en Verisure Chile, quien a pesar de su juventud, ha asumido un rol clave liderando tres frentes estratégicos dentro de la organización.
Ignacio nos comparte su visión sobre cómo navegar estos tres roles de forma efectiva, marcando pauta desde lo legal, transmitiendo una cultura de cumplimiento desde el modelo de prevención, y manteniéndose siempre cerca del negocio.
También abordamos los principales riesgos de su industria y cómo enfrentarlos en un entorno que exige flexibilidad y adaptación constante, especialmente frente a desafíos emergentes como la inteligencia artificial. Su mensaje es claro: hay que evolucionar con el negocio y fluir con las nuevas tecnologías de forma natural.
RESOLUCIÓN POR MEDIO DE LA CUAL SE SANCIONA, POR PRIMERA VEZ, A UN OFICIAL DE CUMPLIMIENTO POR INCUMPLIMIENTOS DEL PTEE Y SAGRILAFT
Por primera vez, la Superintendencia de Sociedades impuso una multa a un Oficial de Cumplimiento por incumplimientos de la compañía a la que presta servicios, de los Capítulos X y XIII de la Circular Básica Jurídica. En la práctica, se impusieron dos multas independientes: una, por incumplimiento del SAGRILAFT y, otra, por incumplimiento del PTEE. Estas multas suman en total doce millones de pesos ($12.000.000). La Superintendencia de Sociedades abrió dos procesos administrativos sancionatorios contra una reconocida empresa del sector textil, por incumplimientos al SAGRILAFT y al PTEE, tras una visita de inspección a la Compañía. Como parte de su investigación y del proceso administrativo, la Superintendencia también imputó cargos al Oficial de Cumplimiento, por fallar en su deber de supervisión y ejecución de los estándares contenidos en los Capítulos X y XIII de la Circular Básica Jurídica. La Superintendencia impuso una multa de COP $6.000.000 al Oficial de Cumplimiento luego de establecer que este incumplió las funciones incorporadas en el numeral 5.1.4.3.2. del Capítulo X de la Circular Básica Jurídica. Específicamente, la Superintendencia argumentó que el Oficial de Cumplimiento incumplió sus obligaciones de: ❖ Coordinar efectivamente las capacitaciones – literal d. ❖ Verificar los procedimientos de Debida Diligencia y Debida Diligencia intensificada – literal g. ❖ Valorar y hacer seguimiento a la ocurrencia de los riesgos LA/FT/FPADM – literales i y j.
En cuanto al incumplimiento del PTEE, la Superintendencia impuso una multa de COP $6.000.000 al Oficial de Cumplimiento luego de establecer que este incumplió sus funciones de acuerdo con el numeral 5.1.5.3.2. del Capítulo XIII de la Circular Básica Jurídica, específicamente:
Implementación y actualización de una matriz de riesgos C/ST, así como el diseño de las metodologías de clasificación, identificación, medición y control del riesgo C/ST – literales c y k.
Liderar y coordinar apropiadamente las capacitaciones sobre el PTEE – literal h.
Verificar el cumplimiento de los procedimientos de Debida Diligencia – literal i.
De acuerdo con los cargos impuestos, durante su visita de inspección, la Superintendencia notó que los procesos mencionados: (i) no estaban en cabeza, o no contaban con un acceso y supervisión constantes del Oficial de Cumplimiento, (iii) o estaban siendo desarrollados de forma deficiente. En su visita, la Superintendencia notó las siguientes deficiencias en el cumplimiento de la entidad obligada, que también desembocaron en el incumplimiento del Oficial de sus funciones:
La Superintendencia indicó que las matrices no cumplían con los requisitos formales y materiales de acuerdo con los Capítulos X y XIII de la Circular Básica Jurídica. Más allá de este incumplimiento de la empresa obligada, consideró que el Oficial de Cumplimiento había fallado en sus obligaciones pues no sólo no tenía acceso a las matrices, sino que no pudo evidenciar su participación y control de la metodología de clasificación, identificación, medición y control de los riesgos LA/FT/FPADM y C/ST, ni de la tarea de actualización y seguimiento a las matrices.
Las capacitaciones realizadas fueron deficientes. El Oficial de Cumplimiento manifestó que las actividades de capacitación constaron en el envío de varios correos con información sobre el SAFRILAFT y el PTEE y la divulgación de algunos conceptos por medio de la emisora de la entidad obligada. En concepto de la Superintendencia, esta gestión es deficiente, toda vez que no garantiza que los empleados, administradores y contratistas comprendan adecuadamente las estrategias para la prevención de los riesgos LA/FT/FPADM y C/ST.
La Superintendencia de Sociedades consideró que los mecanismos implementados por la empresa obligada como “debida diligencia” se quedaban cortos de los estándares incluidos en los Capítulos X y XIII de la Circular Básica Jurídica. Al ser el Oficial de Cumplimiento el responsable de la verificación tiene la responsabilidad de que los procesos alcancen los estándares mínimos requeridos por la Superintendencia de Sociedades y ha fallado en esta gestión
Es importante mencionar que uno de los requisitos para los Oficiales de Cumplimiento es que gocen de “la capacidad para tomar decisiones para gestionar el riesgo”. Esto, junto con las funciones mínimas que asignan los Capítulos X y XIII de la Circular Básica Jurídica, implica que el Oficial de Cumplimiento es responsable de ejecutar las políticas y procedimientos del SAGRILAFT y el PTEE en los términos y en cumplimiento de los estándares dispuestos por la Superintendencia de Sociedades, y que el incumplimiento de estos estándares u obligaciones puede ser, a su vez, incumplimiento de las funciones del Oficial.
De las dos resoluciones entonces resulta posible afirmar que las sanciones por incumplimiento de las disposiciones que regulan el SAGRILAFT y el PTEE ya no son exclusivas de las sociedades ni los representantes legales, sino que, además, estas se extenderán a los Oficiales de Cumplimiento de encontrarse responsables frente al incumplimiento en sus funciones.
A su vez, estas nuevas sanciones reflejan la importancia de que el Oficial de Cumplimiento tenga efectiva visibilidad, conocimiento y control sobre los distintos procesos, procedimientos y documentos que componen los sistemas del SAGRILAFT y el PTEE, y que cumpla con todas las obligaciones que le son propias de acuerdo con la regulación vigente. También, se resalta la importancia que tiene saber cómo recibir las visitas de la Superintendencia y cómo presentar los procesos y procedimientos de manera que sea claro el cumplimiento de la sociedad obligada de los requisitos y estándares requeridos.
Oscar Tutasaura, Socio del área Cumplimiento e Investigaciones Internas en Posse Herrera Ruiz
El programa de compliance de una entidad suele tener dos dimensiones complementarias: una parte más “dura”, vinculada al sistema de gestión de riesgos, auditorías, controles, la participación en capacitaciones y reportes; y una parte más “blanda”, relacionada con el impacto en la comunicación, los valores compartidos, misión, visión, el cual se relaciona al final con la cultura organizacional. Mientras que la dimensión “dura” es usualmente medida a través de indicadores cuantitativos o KPIs (como la ejecución del plan de auditoría y monitoreo, o la existencia de elementos formales del programa), es fundamental también reconocer que la dimensión “blanda” relacionada con la cultura organizacional también puede ser evaluada.
La cultura organizacional es ese “pegamento invisible” que une comportamientos, decisiones y prioridades en una empresa. Edgar Schein, uno de los grandes referentes en este campo, la define como “un patrón de supuestos básicos compartidos que un grupo ha aprendido… y que se enseñan a los nuevos miembros como la forma correcta de percibir, pensar y sentir dentro de la organización” (Schein, 2010). Desde esta mirada, la cultura no es lo que dice el Código de Ética, sino lo que realmente se hace cuando nadie está mirando.
Cuándo las organizaciones abordan el compliance desde un enfoque exclusivamente normativo –basado en políticas, controles y capacitaciones obligatorias– suelen quedarse cortas. ¿Por qué? Porque el cumplimiento no se sostiene solo con reglas, sino con valores vividos. Richard Barrett lo resume así: “La cultura de una organización refleja el nivel de alineación entre los valores personales de sus miembros y los valores institucionales. Donde hay coherencia, hay confianza y compromiso” (Barrett, 2014). En otras palabras: si el Compliance no vive en la cultura, no sobrevive en la práctica. En este sentido es importante no hay que confundir la gestión de la cultura organizacional con la mera declaración de principios por cumplir: gestionar cultura implica observar comportamientos, alinear incentivos, corregir desviaciones y, sobre todo, conectar con las personas. La cultura se construye día a día y es allí donde el compliance encuentra su verdadero espacio.
El desafío integral, para aportar a la sostenibilidad y creación de valor en la empresa, es influyendo en la cultura organizacional desde el Compliance, lo que es gestionable a través de indicadores que cuantifiquen su efectividad. Algunas empresas líderes lo hacen observando la tasa de denuncias internas como señal de confianza en los canales éticos, la participación en capacitaciones de ética y compliance, y las respuestas a encuestas de clima que preguntan directamente por la percepción de integridad o coherencia de la organización.
Cuando el Departamento de Justicia de EE. UU. (DOJ) o la Comisión de Bolsa y Valores (SEC) aplican sanciones por violaciones a la FCPA (Foreign Corrupt Practices Act), no solo miran los hechos sino que han tomado en consideración la cultura corporativa. En el caso Siemens AG (2008), el DOJ describió “una cultura permisiva hacia la corrupción”, lo que contribuyó a una sanción de 800 millones de dólares. En VimpelCom (2016), se sancionó a la empresa por sobornos en Uzbekistán, destacando “la complacencia ejecutiva y la falta de liderazgo ético”. Y en Credit Suisse (2021), la SEC observó “una cultura organizacional que permitía decisiones sin controles efectivos”, lo que facilitó prácticas fraudulentas.
Asimismo el DOJ, en su Guía de Evaluación de Programas de Compliance (2020), aclara que los fiscales deben evaluar si los líderes “caminan el discurso”, si los empleados creen en el sistema, y si existe una cultura que incentive hacer lo correcto, incluso cuando no hay supervisión.
La ISO 37301 no ofrece una definición única y cerrada de “cultura” en el sentido tradicional, pero si se refiere a la cultura de cumplimiento como un conjunto de valores, creencias y comportamientos compartidos que respaldan el cumplimiento dentro de la organización
Lo mismo ocurre con U.S. Sentencing Guidelines, al establecer los elementos de un programa de compliance eficaz, refuerzan esta visión dual. Entre sus pilares se destacan tanto aspectos “duros” —como la implementación de estándares y procedimientos, la supervisión mediante auditorías y la respuesta efectiva a incidentes— como elementos más “blandos” que exigen promover una cultura ética en toda la organización. Específicamente, se espera que la alta dirección fomente una cultura de integridad y cumplimiento, lo que pone en primer plano el rol transformador de los líderes y la importancia de que los valores éticos no solo se declaren, sino que se vivan día a día.
En conclusión, integrar el compliance a la cultura organizacional no es solo un ideal ético, sino una práctica concreta que puede ser gestionada y medida. Así como se evalúan los controles, auditorías o mapas de riesgos, también es posible —y necesario— medir cuánto del compliance ha sido interiorizado por la organización. Herramientas como encuestas de clima, indicadores de conocimiento y confianza en canales de denuncia o la alineación entre valores personales y organizacionales permiten traducir lo intangible en evidencia accionable. En definitiva, cuando el compliance es parte viva de la cultura de las organizaciones, se puede ver, se puede sentir y también se puede -y debe- medir.
Andrés Cuevas Cárdenas
Abogado titulado de la Universidad Diego Portales, con un MBA de la Universidad Adolfo Ibáñez, postgrado en Derecho de la Universidad de Londres y un Máster en Liderazgo y ESG de la Universidad Complutense de Madrid. Cuenta con más de 14 años de experiencia en materias de compliance, desempeñándose en este rol en diversas industrias y empresas multinacionales.
