Nueva resolución emitida por la Superintendencia de Protección de Datos Personales: Reglamento para la Aplicación de la Metodología para el Cálculo de las Multas en el Régimen Administrativo Sancionatorio de la Superintendencia de Protección de Datos Personales.
La Superintendencia de Protección de Datos Personales (SPDP) expidió el Reglamento para la Aplicación de la Metodología para el Cálculo de las Multas en el Régimen Administrativo Sancionatorio de la Superintendencia de Protección de Datos Personales y los Modelos para Calcular el Monto de las Multas Administrativas.
Esta Resolución consolida la aplicación técnica y operativa de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General (RLOPDP), abarcando aspectos esenciales como las directrices para el cálculo de las multas que imponga la SPDP a las infracciones leves y graves previstas en la LOPDP.
En caso de necesitar más información, no dudes en escribirnos a contacto@compliancelatam.legal y te pondremos en contacto con el equipo especializado de Bustamante Fabara.
Compliance Latam lanza la Guía Comparada sobre Investigaciones Internas en Latinoamérica, EE.UU. y España
El documento incluye información actualizada en 18 jurisdicciones y pueden descargarlo ingresando aquí.
En un entorno cada vez más exigente en materia regulatoria, donde los programas de cumplimiento se han consolidado como pilares fundamentales de la ética y la integridad, Compliance Latam presenta su segunda guía comparada del año sobre Investigaciones Internas.
Es un recurso práctico y estratégico para empresas que buscan fortalecer sus mecanismos de prevención, detección y respuesta frente a eventuales conductas indebidas.
Es importante mencionar que esta herramienta mapea desafíos, aprendizajes y buenas prácticas en 18 jurisdicciones de Latinoamérica, Estados Unidos y España, donde están presentes las firmas miembros de la plataforma Compliance Latam.
Del mismo modo, la guía ofrece una visión regional y actualizada sobre el marco regulatorio y los principios generales que rigen las Investigaciones Internas en cada país, permitiendo una comparación útil para organizaciones con operaciones globales.
Entre los aspectos abordados se incluyen:
La existencia (o no) de un deber legal de contar con canales de denuncia.
Reglas sobre el anonimato de los denunciantes.
La obligación de investigar las denuncias recibidas.
Normativas sobre la protección legal de los denunciantes.
El deber legal de realizar una investigación interna previa a una sanción o medida disciplinaria.
Criterios de idoneidad para quienes llevan adelante estas investigaciones.
Proyectos de ley en tramitación que podrían impactar la regulación de estas materias.
La guía fue elaborada por las firmas representantes de Compliance Latam, quienes aportaron su conocimiento local y experiencia práctica en cada una de las jurisdicciones: Albagli Zaliasnik (Chile), Bartolome & Briones (España), Basham, Ringe y Correa (México), Beccar Varela (Argentina), BLP (Centro América), Bustamante Fabara (Ecuador), CPB (Perú), FCR Law (Brasil), Ferrere (Uruguay, Paraguay y Bolivia), MDU Legal (Panamá), Miller & Chevalier (Estados Unidos) y Posse Herrera Ruiz (Colombia).
Esta herramienta colectiva refuerza el compromiso de Compliance Latam de impulsar mejores prácticas empresariales y la cultura de cumplimiento, ofreciendo a las empresas un recurso concreto para navegar con mayor claridad los complejos escenarios de las Investigaciones Internas.
La guía ya está disponible para descarga en nuestra página web aquí.
Próximamente lanzaremos nuestra tercera guía comparada del año, continuando con nuestro compromiso de generar contenido práctico y actualizado para la comunidad.
En este quinto episodio de Rule The Rules, Yoab Bitran, Director del Grupo Compliance de Albagli Zaliasnik, conversó con Edwin Bustinza, Director de Cumplimiento en Compañía de Minas Buenaventura, desde Perú.
Edwin nos comparte su trayectoria profesional y cómo llegó al mundo del compliance. En la conversación, destaca la importancia de que las organizaciones comprendan que el compliance es un facilitador, no un obstáculo.
Además, destaca que hoy en día el compliance debe verse como una ventaja estratégica, que actúe de forma preventiva y no solamente reactiva. Esto solo es posible cuando tanto los colaboradores como la alta dirección están comprometidos y ven el compliance como parte del ADN de la empresa.
El 1 de febrero de 2024, el Ministerio del Ambiente, Agua y Transición Ecológica (MAATE) publicó en el Registro Oficial N.º 490 el Acuerdo Ministerial MAATE-2023-134 (en adelante, el “Acuerdo Ministerial”), mediante el cual se expide la Norma Técnica para la Aplicación del Principio de Responsabilidad Extendida del Productor en la Gestión Integral de Medicamentos y Productos Farmacéuticos Caducados o Fuera de Especificación.
Este instrumento constituye una herramienta normativa clave para garantizar el manejo ambientalmente adecuado de estos productos durante todo su ciclo de vida, con especial énfasis en la fase postconsumo.
Cabe destacar que esta disposición se complementa con lo previsto en los artículos 175 y 176 de la Ley Orgánica de Salud, los cuales establecen que:
Las farmacias y botiquines deben notificar a sus proveedores al menos 60 días antes de la caducidad de los medicamentos, y
Los fabricantes o importadores son responsables de su retiro, canje, destrucción y eliminación, bajo la supervisión de la Autoridad Sanitaria Nacional (Ministerio de Salud Pública – MSP).
En este sentido, el marco legal vigente configura una responsabilidad compartida entre la autoridad sanitaria y la autoridad ambiental, la cual debe ser abordada de forma articulada por todos los actores involucrados en la cadena de producción, comercialización y consumo de productos farmacéuticos.
Un punto importante a mencionar es que el Acuerdo Ministerial detalla que se debe presentar y ejecutar un Programa de Gestión Integral, el cual, de conformidad con la Disposición Transitoria Primera del Acuerdo Ministerial, debe ser presentado hasta el 1 de agosto de 2025. Este plazo es improrrogable y su incumplimiento puede acarrear sanciones administrativas conforme a la normativa ambiental vigente. Por lo que en el presente boletín se presentan puntos importantes a considerar:
1. Marco Normativo Aplicable
La Norma Técnica se fundamenta en un cuerpo normativo intersectorial, entre el cual destacan:
Ley Orgánica de Salud: Artículos 175 y 176.
Código Orgánico del Ambiente (COA): Artículo 217.
Reglamento al COA: Artículos 650 y 652.
Estas disposiciones establecen, entre otros aspectos, la obligación de fabricantes, importadores y comercializadores de asumir la gestión de productos caducados o fuera de especificación, y de garantizar su retiro, tratamiento y eliminación final conforme a normas ambientales y sanitarias.
2. Ámbito de Aplicación
La Norma Técnica tiene carácter obligatorio para los siguientes actores:
Productores: Personas naturales o jurídicas que produzcan, importen o introduzcan por primera vez medicamentos o productos farmacéuticos en el mercado nacional, siempre que sean titulares del registro sanitario ante la autoridad competente.
Distribuidores o Comercializadores: Son aquellas personas naturales o jurídicas nacionales o extranjeras encargados de la venta, comercialización o distribución de los productos farmacéuticos, sujetos a la Responsabilidad Extendida del Productor en el Mercado Nacional.
Asimismo, la normativa involucra como actores corresponsables a:
Usuarios o consumidores finales,
Gestores ambientales autorizados,
Gobiernos Autónomos Descentralizados Municipales o Metropolitanos (GADs),
3. Obligaciones de los Productores:
Los productores tienen la obligación de:
Diseñar, presentar y ejecutar un Programa de Gestión Integral (PGI) para medicamentos caducados o fuera de especificación, que contemple fases como recolección, transporte, tratamiento y disposición final. Este instrumento contiene el conjunto de reglas, acciones, procedimientos y medios dispuestos para el adecuado proceso de logística inversa y posterior gestión integral de productos farmacéuticos, con el fin de que sean enviadas a instalaciones autorizadas en las que se sujetarán a procesos que prioricen su eliminación y/o disposición final. Dicho documento será sujeto a aprobación por parte de la Autoridad Ambiental Nacional.
Obtener el registro como generador de residuos peligrosos, conforme al Sistema Único de Información Ambiental (SUIA) del MAATE.
Implementar un sistema de gestión individual o colectivo conforme a los lineamientos técnicos establecidos.
Informar periódicamente a la Autoridad Ambiental Nacional sobre cantidades gestionadas, puntos de recolección y operadores contratados.
4. Responsabilidad de Distribuidores y Comercios
Según lo dispuesto en el artículo 4 de la Norma Técnica y el artículo 652 del Reglamento al COA, los distribuidores y comercializadores son corresponsables de la ejecución de los PGI aprobados por los productores. Esta corresponsabilidad implica:
Colaborar activamente en los procesos de recolección de productos caducados o fuera de especificación.
Asegurar la correcta devolución y canalización de estos productos hacia los centros de acopio o gestores autorizados.
Coordinar logísticamente con los productores para facilitar la operatividad del sistema de gestión ambiental.
En América Latina, el Compliance enfrenta hoy un cambio de paradigma impulsado por los criterios ESG. Ya no basta con cumplir la ley: las empresas deben demostrar coherencia entre lo que declaran y lo que practican. En este escenario, la debida diligencia ampliada emerge como una herramienta clave para identificar riesgos reputacionales, sociales y ambientales. Este artículo propone una mirada estratégica al rol del Compliance como garante de sostenibilidad, integridad y legitimidad empresarial.
Durante mucho tiempo, el Compliance fue entendido y practicado como una herramienta de control legal o de prevención de sanciones. Pero hoy, en un entorno empresarial cada vez más interconectado, vigilado y sensible a las expectativas sociales y ambientales, esa visión ha quedado superada.
La irrupción de los criterios ESG (Environmental, Social and Governance) ha transformado la conversación sobre el cumplimiento. Ya no basta con actuar dentro del marco normativo. Las organizaciones deben también demostrar que lo que comunican es coherente con lo que hacen. Y ese salto de lo declarativo a lo verificable está poniendo a prueba la madurez de los Sistemas de Compliance en la región.
En este contexto, la debida diligencia ampliada se convierte en una herramienta estratégica indispensable. No se trata únicamente de revisar cláusulas contractuales o verificar antecedentes legales. Se trata de identificar, prevenir y mitigar riesgos que, aunque no siempre estén contemplados expresamente en la ley, pueden comprometer seriamente la reputación, la sostenibilidad o la integridad de una empresa. Por ejemplo, condiciones laborales precarias en la cadena de suministro, conflictos sociales no gestionados con comunidades locales o discursos ambientales que no se sostienen en la práctica real son situaciones que pueden generar consecuencias reputacionales tan graves como una infracción legal.
Este enfoque adquiere aún más relevancia cuando se analiza desde la óptica del inversor. En procesos de adquisición o expansión, una diligencia superficial puede ofrecer una imagen incompleta, cuando no engañosa. Hoy, los inversionistas responsables buscan conocer no solo el estado financiero de una compañía, sino también su coherencia ética, su impacto social, su historial ambiental y la solidez de su gobernanza. Porque no todo lo que brilla es oro, y más de una promesa de sostenibilidad puede estar construida sobre una base frágil.
La debida diligencia ampliada permite, precisamente, ver más allá de las apariencias. Ayuda a detectar controversias latentes, inconsistencias entre el discurso y la práctica, o señales tempranas de riesgo reputacional. Y ese tipo de información es hoy tan valiosa como un balance auditado.
Para que esto sea posible, las áreas Legales y de Compliance deben dejar de actuar como unidades reactivas para asumir un rol estratégico. Se requiere capacidad de análisis multidisciplinario, visión a largo plazo y cercanía con el negocio. La gestión de riesgos reputacionales, la evaluación de criterios sociales y la vigilancia de prácticas de gobernanza ya no son funciones ajenas: forman parte esencial del nuevo mapa del cumplimiento.
Desde la academia también se está replanteando el papel del Compliance como garante de la ética corporativa en entornos inciertos. No basta con tener códigos de conducta; es necesario construir culturas organizacionales capaces de sostener principios incluso cuando nadie está mirando. En ese marco, la coherencia, y no solo la legalidad, se está convirtiendo en el nuevo estándar de legitimidad empresarial.
El Compliance no es un freno para la operación. Es, por el contrario, un aliado para hacerla sostenible. Funciona como una brújula que permite avanzar sin perder el rumbo, incluso cuando las presiones del mercado, los incentivos de corto plazo o los vacíos regulatorios empujan en dirección contraria.
La pregunta entonces no es si las empresas deben alinear sus estrategias con los criterios ESG. La verdadera pregunta es cómo están garantizando que esa alineación sea real y verificable. Ahí es donde el Compliance encuentra hoy su razón de ser más profunda.
Carlos Alberto Cabezas Delgado,
Gerente Legal, Asuntos Corporativos y Compliance Officer en Duragas Abastible | Profesor de Derecho
La revolución digital entendida como concepto liberador de las capacidades tecnológicas y su acercamiento al ser humano ha llegado para quedarse. La inteligencia artificial, la nube, big data, el metaverso y la realidad aumentada son un ejemplo de tecnologías que ya forman parte de nuestro día a día. Pero ¿somos conscientes de cuáles son sus implicaciones? El cambio en la forma en que las personas trabajamos y vivimos es una de ellas. Hoy más que nunca, la tecnología se ha transformado en una extensión de la persona humana, ya sea en sus procesos creativos, operativos, productivos y rodea casi todos los aspectos de nuestra vida. En esta línea no podemos dejar de pensar en los pros y contras que trae esta nueva ola, sin duda hay muchos beneficios que hoy son evidentes como por ejemplo los avances en salud y conectividad, pero también hay facetas negativas o que abren espacios de riesgo tanto para las industrias como para las personas. Es por esto que el desarrollo tecnológico no puede verse en silos, es necesario que el análisis siempre sea integral y cuando hacemos este ejercicio es inevitable pensar en la seguridad.
La ciberseguridad pasó de ser un asunto de películas de espionaje y gobiernos a ser un tema de vital importancia en aspectos cotidianos de nuestras vidas, como proteger nuestros datos, claves o usar responsablemente plataformas o tecnologías. Su relevancia ha dado paso a importantes avances normativos en el marco global, regional y local. En los últimos años hemos observado como los esfuerzos público-privados se han centrado en impulsar y desarrollar un marco de cumplimiento en el mundo digital. Empezamos ya hace muchos años con distintos intentos que han concluido, después de un largo calvario, en la promulgación de una nueva Ley de Protección de Datos Personales que actualiza la normativa antes vigente de 1999, si bien tendrá un periodo de vacancia y entrará en vigor el 1 de diciembre de 2026, este avance se ha celebrado desde distintas industrias dada su larga espera y necesidad. También encontramos normativas como la Ley de Transformación Digital del Estado y la actualización de la Ley de Delitos Informáticos, ambas de 2022. Finalmente encontramos lo que podría considerarse la piedra angular de la ola de producción normativa en aspectos tecnológicos, la Ley Marco de Ciberseguridad publicada el 8 de abril de 2024 en el Diario Oficial.
La institucionalidad y sus implicancias prácticas
La Ley Marco de Ciberseguridad se presenta hoy como una prioridad para el mundo del compliance, si analizamos en primer lugar la línea temporal, ya encontramos importantes cambios con impactos directos sobre distintas industrias, además de la instauración de una institucionalidad que sin duda es un elemento clave para asegurar el cumplimiento de los objetivos de normativas tan específicas. Hemos observado una aceleración no menor en la generación de reglamentos en este sentido, encontramos por ejemplo el Decreto con Fuerza de Ley que pone en funcionamiento a la ANCI (Agencia Nacional de Ciberseguridad) a partir del 1 de enero de 2025, posteriormente los Decretos que aprueban el reglamento de reporte de incidentes de ciberseguridad a la ANCI, la obligación de prestadores de servicios esenciales de inscribirse para poder efectuar dichos reportes y finalmente el Decreto que establece el procedimiento mediante el cual la ANCI determinará qué prestadores de servicios esenciales (PSE) serán calificados como OIV, teniendo estos últimos como implicancia principal un mayor grado de exigibilidad en sus programas de cumplimiento y multas.
Este último punto merece particular atención en relación con el cambio de paradigma que ha tenido el mundo de la ciberseguridad, tanto la sofisticación de ataques apalancados por herramientas como la Inteligencia Artificial como también la apertura de nuevos “Campos de Batalla” como lo son los ataques a redes OT a diferencia de lo que veíamos hace solo un par de años. Con el paso del tiempo hemos notado que las amenazas de seguridad tienen un dinamismo tanto en la forma en que se producen como en los sectores a los que apuntan. La ciberseguridad industrial hoy se ha transformado en un tema prioritario tanto para el sector público como privado.
Hace un par de años nuestra atención estaba completamente centrada en sectores como el financiero porque entendíamos que la mayor amenaza producida a través de ataques cibernéticos impactaba fundamentalmente sectores como este, en definitiva la industria financiera es 100% gestionada por sistemas TI (Information Technology), entendiendo a estos como sistemas de gestión o procesamiento de datos o información, a contrario sensu, de los sistemas OT (Operational Technology) los cuales gestionan sistemas físicos de producción o infraestructura crítica como plantas de energía, industrias de manufactura, farmacéuticas o la industria automotriz. En este contexto es relevante considerar algunos riesgos adicionales. Los sistemas OT enfrentan riesgos adicionales debido a sus entornos únicos y a menudo impredecibles. Entre estos riesgos se pueden incluir los riesgos para la salud y seguridad del personal, efectos potenciales en el cumplimiento ambiental y regulatorio y la afectación masiva de servicios de utilidad pública como el transporte, las cadenas de producción alimenticia y farmacéutica entre otras.
Hoy en día, muchísimas más empresas estarán sujetas al cumplimiento de las normativas de ciberseguridad debido a la creciente complejidad y alcance de las amenazas. A partir del 30 de mayo, se dio inicio al proceso de calificación de los Operadores de Importancia Vital (OIV), lo cual traerá consigo una inevitable revisión de los programas de seguridad de muchas organizaciones.
Esta revisión no solo implicará una actualización de las medidas técnicas de protección, sino que también requerirá un enfoque integral que abarque aspectos legales, organizacionales, técnicos y operacionales. Las empresas deberán asegurarse de que sus políticas y procedimientos estén alineados con las nuevas exigencias normativas, y que sus equipos estén capacitados para enfrentar las amenazas emergentes.
En el aspecto legal, las empresas deberán garantizar el cumplimiento de todas las normativas vigentes, y dar cumplimiento por ejemplo a indicaciones como el deber de reportar, regulada en el artículo 9 de la Ley Marco de Ciberseguridad y el Decreto 295/2024. Esto implicará una revisión exhaustiva de los contratos y acuerdos con proveedores y terceros para asegurarse de que también cumplan con los requisitos de ciberseguridad.
Desde el punto de vista organizacional, las empresas deberán fomentar una cultura de seguridad digital en todos los niveles, promoviendo la concientización y formación continua de su personal. Será crucial establecer roles y responsabilidades claras en cuanto a la gestión de la ciberseguridad, así como contar con un plan de respuesta a incidentes bien definido, ambas obligaciones también reguladas en la nueva Ley.
En cuanto a los aspectos técnicos y operacionales, las empresas deberán implementar tecnologías avanzadas de detección y respuesta a amenazas, asegurarse de que sus sistemas y redes estén adecuadamente protegidos y realizar pruebas y auditorías periódicas para identificar y corregir vulnerabilidades.
En resumen, la calificación de los OIV marcará un hito en la ciberseguridad, obligando a las empresas a adoptar un enfoque más riguroso y multidimensional en la protección de sus infraestructuras críticas. Este proceso, aunque desafiante, es esencial para garantizar la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.
Es esencial que las empresas perciban el compliance normativo no solo como una obligación, sino como una herramienta de desarrollo empresarial. La necesaria transformación digital exige que se mire la Ciberseguridad como un elemento de engranaje clave desde una perspectiva positiva y estratégica. No debe ser visto únicamente como un gasto eventual, sino como una inversión en la resiliencia y continuidad de los servicios y operaciones en un entorno cada vez más digital y conectado.
El entorno digital viene experimentando un cambio de paradigma que requiere una adaptación proactiva por parte de las empresas. La complejidad y el alcance de las amenazas demandan un enfoque multidisciplinario en la protección de las infraestructuras digitales. El futuro ya está aquí, y es tiempo de que las organizaciones inicien procesos internos de análisis para dar cumplimiento en esta materia. Adoptar un enfoque integral de compliance y seguridad digital no solo asegura la conformidad con las normativas, sino que también impulsa el desarrollo empresarial en la transformación digital, garantizando la resiliencia y continuidad en el mundo moderno.
