05-02-2026 | Bustamante Fabara, Noticias, Sin categoría
La Superintendencia de Protección de Datos Personales (“SPDP”) emitió dos nuevas resoluciones claves: 1. No. SPDP-SPD-2026-0005-R, que aprueba la Norma General sobre el Tratamiento de Datos Personales a Gran Escala. 2. No. SPDP-SPD-2026-0003-R, que aprueba la Norma General para el Tratamiento de Datos Personales en Actividades Familiares o Domésticas.
1. Resumen de la resolución No. SPDP-SPD-2026- 0005-R, que aprueba la Norma General sobre el Tratamiento de Datos Personales a Gran Escala.
La resolución establece un Modelo Técnico de Gran Escala (MTGE) que permite determinar, de forma objetiva y verificable, cuándo una actividad de tratamiento califica como “a gran escala”. Este modelo evalúa de manera conjunta seis variables estandarizadas, aplicables a todos los sectores:
• Número de titulares de datos personales;
• Volumen de datos personales tratados;
• Categorías de datos personales;
• Frecuencia del tratamiento;
• Permanencia del tratamiento; y,
• Alcance geográfico del tratamiento.
El resultado del MTGE debe constar en el Registro de Actividades de Tratamiento (RAT), mantenerse actualizado y es vinculante para activar obligaciones como evaluación de impacto, designación de delegado de protección de datos, incorporación en el RAT y la adopción de medidas reforzadas de cumplimiento.
La resolución también identifica supuestos de calificación directa obligatoria de gran escala, sin necesidad de aplicar el MTGE, en línea con los tratamientos predeterminados del Reglamento a la LOPDP. Estos supuestos incluyen los siguiente: Salud y otras categorías especiales; Evaluación sistemática/ exhaustiva con decisiones automatizadas con efectos jurídicos o significativos; observación/videovigilancia en espacios públicos; Biométricos o geolocalización; Información crediticia/financiera; tratamientos sistemáticos de niños, niñas y adolescentes; Transferencias sistemáticas continuas o estructurales y Servicios de mensajería acelerada/express/courier.
Adicionalmente, la resolución introduce obligaciones específicas de gobernanza, auditoría y transparencia, tales como la aplicación de los principios de privacidad desde el diseño y por defecto, auditorías periódicas y la elaboración de reportes anuales; y, de igual forma, dispone para los responsables y encargados que identifiquen que realizan tratamientos a gran escala, un plazo de noventa (90) días contados desde la vigencia de la norma para designar a su Delegado de Protección de Datos Personales y registrarlo ante la SPDP.
2. Resumen de la resolución No. SPDP-SPD-2026- 0003-R, que aprueba la Norma General para el Tratamiento de Datos Personales en Actividades Familiares o Domésticas.
La norma sobre el Tratamiento de Datos Personales en Actividades Familiares o Domésticas establece el objeto, el ámbito de aplicación y definiciones operativas para guiar a empresas, organizaciones y personas en la identificación de tratamientos realizados en el entorno doméstico y los supuestos en que estos dejan de estar excluidos de la LOPDP.
1) La resolución incorpora definiciones operativas (Difusión Pública y Entorno Digital Doméstico) que permiten interpretar el alcance del tratamiento de datos personales en entornos domésticos.
2) La SPDP emitió un procedimiento para evaluación, caso por caso, para determinar si el tratamiento de datos personales comprende actividades familiares o domésticas fundamentado en la aplicación de criterios (Finalidad, Alcance e Impacto) en función de los fenómenos tecnológicos, sociales y/o culturales que incidan en el tratamiento.
3) Por otro lado, a través de su disposición general y reformatoria, la resolución estableció reformas a tomar en consideración dentro de la resolución N° SPDP-SPDP-2024-0013-R, respecto al Reglamento para la Presentación, Recepción y Trámite de Denuncias y Solicitudes.
04-02-2026 | BLP, Noticias
El Acuerdo Interno 01-2026, emitido por el Registro de la Propiedad Intelectual (RPI) el 8 de enero de 2026, regula el uso de la notificación a través del Boletín Oficial del Registro de la Propiedad Intelectual (BORPI) como mecanismo supletorio en procedimientos administrativos de propiedad intelectual.
Este acuerdo busca atender una problemática en la tramitación de expedientes, consistente en la imposibilidad de practicar notificaciones personales cuando la dirección señalada por el solicitante resulte inexistente, imprecisa o materialmente inubicable. En ese sentido, el uso del BORPI como medio de notificación pretende evitar la paralización de los expedientes y garantizar la continuidad del trámite.
No obstante, el Acuerdo refuerza de manera significativa la carga de diligencia del solicitante o titular del expediente, al establecer que la notificación practicada por medio del BORPI surtirá plenos efectos legales dos (2) días después de su publicación.
Si bien el mecanismo busca una eficiencia administrativa, su aplicación práctica exige especial cautela, ya que es fundamental que el Registro deje constancia expresa y debidamente motivada en cada expediente de las razones que justifican la imposibilidad de la notificación personal, a fin de evitar eventuales cuestionamientos sobre la validez del acto administrativo y posibles afectaciones al derecho de defensa.
Este Acuerdo hace indispensable que los solicitantes consignen direcciones de notificación claras, reales y plenamente identificables, así como que mantengan dicha información actualizada durante el proceso del expediente. La omisión o descuido en este aspecto ya no solo genera retrasos, sino que puede traducirse directamente en la pérdida de oportunidades procesales relevantes sin notificación personal.
En conclusión, el Acuerdo Interno 01-2026 representa un cambio operativo en la gestión de expedientes ante el Registro, que busca la continuidad administrativa, pero incrementa el nivel de riesgo para los administrados respecto a las notificaciones. La recomendación es reforzar controles internos y el seguimiento periódico de publicaciones en el BORPI.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal
28-01-2026 | Albagli Zaliasnik, Opinión
El Día Internacional de la Protección de Datos Personales, que se celebra hoy, es un buen marco para repasar las principales lecciones que hemos ido rescatando a partir de la implementación de esta normativa en Chile. No se trata de consejos teóricos, sino que se desprenden del levantamiento, la coordinación interna y, sobre todo, de la ejecución de la puesta en marcha de esta nueva ley, que comenzará a regir el 1 de diciembre. Estas son nuestras recomendaciones para una ejecución óptima:
La primera lección es la transversalidad. La implementación no es un proyecto “del área legal” ni “de TI”: es un cambio de funcionamiento que atraviesa Recursos Humanos, Operaciones, Finanzas, Marketing, Servicio al cliente, y al Directorio. Cuando se aborda como una tarea aislada, el resultado suele ser predecible: se ordena el papel, pero los procesos siguen igual. Por eso “pastelero a tus pasteles” importa en doble sentido. Para la empresa, exige involucrar a todas las áreas que realmente tratan datos. Para quien asesora, exige armar equipos interdisciplinarios con especialización: no se enfrenta igual un problema laboral, uno de consumo o uno regulatorio; y lo sectorial —como salud o finanza— eleva el estándar y cambia la conversación.
La segunda lección es que, si los equipos no conversan, el programa fracasa. Las brechas más relevantes rara vez se ven en una entrevista; aparecen cuando TI explica cómo se replica un dato, cómo se integra un proveedor, quién tiene acceso real, cuánto se retiene y por qué. Una implementación efectiva implica que Seguridad entiende el riesgo, Legal entiende la legitimidad, Operaciones entiende la continuidad y Recursos Humanos entiende el impacto en las personas.
La tercera lección es convivir con incertidumbre regulatoria sin paralizarse. Todavía faltan lineamientos de la Agencia, y algunos serán determinantes, especialmente en la Evaluación de Impacto de la Protección de Datos (DPIA). Pero la operación no espera. Hay tratamientos sensibles que sostienen el día a día —por ejemplo, controles de jornada con biometría o accesos reforzados en plantas— muchas veces bajo hipótesis de excepción al consentimiento. El punto no es ralentizar el negocio; es ordenar, priorizar y gestionar el riesgo. Mapear, justificar la base de licitud, limitar el alcance a lo necesario, fijar retención y dejar trazabilidad.
La cuarta lección viene del rol que, por naturaleza, cumplen Legal y Compliance. Sin perjuicio de que la protección de datos exige una mirada integral y transversal, la experiencia aprendida con el desarrollo de los Modelos de Prevención de Delitos es clave. Estos equipos son probablemente los que mejor manejan la lógica de gobernanza, la asignación de responsabilidades en la prevención, la trazabilidad y la evidencia de cumplimiento. Y eso es precisamente lo que diferencia un programa que funciona de uno que solo “existe”. El punto no es que Legal y Compliance lo hagan solos, sino que lideren con método y se apoyen en los recursos y especialidades que el desafío requiere.
Este año confirma algo que en Compliance ya sabemos: lo que no se operacionaliza, se diluye. En protección de datos ocurre lo mismo. Si el cumplimiento se traduce en procesos, cultura y evidencia, la organización llega preparada. Si queda en intención y documentos declarativos, llega tarde.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal
Yoab Bitran, Director del Grupo Compliance y Antonia Nudman, Asociada Senior az Tech en Albagli Zaliasnik.
Fuente: Diario Financiero, 28 de enero 2026.
20-01-2026 | CPB, Noticias
1. ¿Quiénes deben designar un ODP?
A. Sector Público: Entidades del sector público y Empresas bajo FONAPE.
B: Sector Privado (empresas): Cuando el tratamiento se realiza sobre grandes volúmenes de datos personales o cuando el giro o actividad principal de la entidad implica tratamiento de datos sensibles (p.e: bancos o centros de salud).
2. Evaluación de grandes volúmenes de datos personales
La Directiva establece cinco criterios de evaluación, distinguiendo entre:
- Criterios determinantes A, B y C.
- Criterios complementarios (moduladores): D y E.
3. Criterios determinantes:
- Criterio A: número de titulares de datos personales:
- Nivel ALTO: > 50,000 titulares.
- Nivel MEDIO: 10,000 a 49,000 titulares.
- Nivel Bajo: Tratamiento puntuales, ocasionales o excepcionales (campañas únicas, encuentras o proyectos específicos.
2. Criterio E: Ubicación del tratamiento:
- Nivel ALTO: Bancos de Datos contenidos en servidores o servicios en la nube ubicados fuera del país.
- Accesos remotos frecuentes a bancos de datos nacionales desde el extranjero (VPN, SSH, FTP, SFTP, etc). Por parte de usuarios o administrados localizados fuera del país.
- Nivel Medio: Bancos de datos contenidos en servidores o infraestructuras localizadas en el territorio nacional.
- Nivel Bajo: Datos gestionados locamente en soportes físicos o servidores nacionales. Sin acceso a internet ni conexiones remotas internacionales.
4. Reglas de decisión: Anexo 1 de la Directiva
1.Se considera de gran volumen de datos personales cuando:
- Si al menos uno de los criterios determinantes A,B o C se encuentra en nivel ALTO.
- Si al menos dos de los criterios determinantes A,B o C se encuentran en nivel MEDIO.
- Si al menos uno de los criterios determinantes A,B o X se encuentran a nivel MEDIO, y adicionalmente, al menos uno de los criterios complementarios D o E se encuentra en nivel MEDIO o ALTO.
2. No se considera de gran volumen de datos personales cuando:
- Si los tres criterios determinantes (A,B y C) se encuentran simultáneamente en nivel BAJO.
5. Perfil y requisitos del ODP
- Experiencia:
- Experiencia general: Mínimo 2 años en labores a fines a protección de datos personales o áreas relacionadas (seguridad de la información, ciberseguridad, gobierno digital, IA, etc), de manera continua o acumulada.
- Experiencia específica: Mínimo 1 año dedicado directamente a protección de datos personales de manera continua o acumulada.
2. Formación académica:
Se requiere al menos una de las siguientes:
- Posgrado en protección de datos personales y/ materias afines.
- Certificación especializada en datos personales o materias afines (mínimo 90 horas).
- Diplomado especializado en datos personales o materias afines (mínimo 120 horas).
- Docencia o investigación continua en la materia.
Los certificados y diplomados deben ser impartidos por instituciones de reconocido prestigio en datos personales.
6. ¿Quién NO puede ser designado ODP?
No puede ser OPD quien:
- Tenga sentencia condenatoria firme por delito doloso.
- Mantenga sanción o inhabilitación vigente como consecuencia de procedimientos disciplinario y otro análogo.
- Se encuentre investigado por delitos informáticos.
- Registre sanciones ética vinculadas al tratamiento de información y protección de datos personales.
7. Funciones del ODP:
1.Funciones principales:
- Coordinar programas de capacitación y sensibilización del personal en protección de datos personales.
- Gestionar la conformación de un equipo de apoyo cuando las funciones de supervisión o asesoramiento lo requieran.
- Elaborar informes, opiniones o recomendaciones técnicas sobre el cumplimiento de la normativa, dirigidos a la alta dirección o directorio.
- Recabar información de las unidades o departamentos pertinentes para verificar el cumplimiento de la normativa.
- Revisar periódicamente documentos emitidos por la ANPD relevantes para sus funciones.
- Promover una cultura de protección de datos personales dentro de la entidad, organización o empresa.
2. Funciones excluidas:
El ODP no:
- Define la finalidad del tratamiento.
- Ejecuta directamente tratamientos de datos personales.
- Reemplaza al responsable del tratamiento.
- Toma decisiones propias del negocio.
8. Comunicación de designación del ODP
1. Ante la ANPD:
- Nombres y apellidos.
- Documento de identidad.
- Cargo.
- Datos de contacto.
2. Frente a los titulares:
- Publicación del nombre completo y correo del ODP en la política de privacidad.
Si necesitas más información a asesoría en materias de protección de datos personales, escríbenos a contacto@compliancelatam.legal
14-01-2026 | Albagli Zaliasnik, Noticias, Opinión
I. La conexión humana en un entorno que cambia más rápido que nuestras matrices
En un entorno donde el Compliance se apoya cada vez más en tecnología, datos y automatización, el factor humano sigue siendo insustituible. Los programas más robustos que hemos visto en la región no se construyen solo desde el área legal o de cumplimiento, sino desde equipos multidisciplinarios que integran operaciones, finanzas, tecnología, comercial y recursos humanos. Esa integración es la que permite que los controles no sean percibidos como burocracia, sino como parte natural de la forma de hacer negocios.
Al mismo tiempo, la virtualidad ha traído enormes eficiencias, pero también un riesgo: perder la conexión humana que es clave para construir cultura e integridad. Las capacitaciones remotas funcionan para transmitir información, pero los momentos presenciales —talleres, sesiones de discusión, espacios de reflexión— siguen siendo críticos para generar compromiso real, confianza y conversación abierta sobre dilemas éticos. En Compliance, la tecnología escala, pero la cultura se construye en persona.
En los últimos años, el Compliance dejó de operar en un entorno relativamente estable. Hoy enfrentamos un escenario marcado por cambios regulatorios constantes, exigencias extraterritoriales, mayor presión reputacional y expectativas crecientes por parte de clientes, autoridades y stakeholders. El desafío ya no es solo “cumplir”, sino decidir correctamente en contextos de incertidumbre.
Durante el Foro Compliance Latam Chile 2025, esta realidad fue transversal a todas las conversaciones: las reglas cambian, los riesgos se sofisticaron y el margen de error es cada vez menor. En este escenario, la pregunta clave no es cuántas normas conocemos, sino cómo nos adaptamos sin perder el rumbo ético y estratégico del negocio.
II. Cumplir no es repetir reglas, es ejercer criterio de manera estratégica
Uno de los errores más comunes en los sistemas de Compliance es confundir adaptación con flexibilidad indebida. Adaptarse no significa reinterpretar la norma a conveniencia, sino entender su propósito y aplicarla de manera coherente al contexto del negocio.
Las organizaciones que mejor navegan estos escenarios son aquellas que han logrado algo clave: transformar el Compliance en una función de criterio, no solo de control. Esto implica profesionales capaces de decir “no” cuando corresponde, pero también de explicar el porqué, anticipar impactos y proponer caminos viables.
En la práctica, el Compliance efectivo no es el más rígido, sino el más claro. Y la claridad —especialmente frente a la alta dirección— es un activo estratégico.
III. Cuando el Compliance se sienta en la mesa de decisiones
Un punto central del panel fue el rol del Compliance en la toma de decisiones estratégicas. Mientras el Compliance permanezca aislado, operando ex post, será visto como un freno. Pero cuando se integra al negocio desde el diseño de procesos, contratos y relaciones comerciales, se convierte en un habilitador y ayuda a generar negocio mitigando riesgos o contingencias.
He visto cómo esta integración permite anticipar riesgos regulatorios, evitar conflictos de interés y proteger a la organización incluso frente a oportunidades económicamente atractivas, pero éticamente cuestionables. En esos momentos, el valor del Compliance se mide no por la sanción evitada, sino por la decisión correcta tomada a tiempo.
IV. Auditorías, homologaciones y el valor tangible del Compliance
Otro aprendizaje relevante es cómo las auditorías de clientes y los procesos de homologación han pasado de ser un trámite incómodo a una verdadera ventaja competitiva. Empresas que invierten en sistemas sólidos, trazables y bien documentados no solo cumplen: ganan confianza.
En más de una ocasión, auditorías exigentes de clientes globales han validado que el sistema funciona. El resultado no fue solo un “aprobado”, sino nuevas oportunidades de negocio, ampliación de servicios y relaciones comerciales de largo plazo. Cuando el Compliance está bien hecho, el mercado lo reconoce.
V. Proporcionalidad: el equilibrio necesario
No todos los riesgos son iguales ni todas las empresas requieren el mismo nivel de sofisticación. La clave está en la proporcionalidad: controles adecuados al riesgo, al tamaño y a la realidad operativa.
Un Compliance sobredimensionado puede ser tan ineficiente como uno inexistente. Por ello, adaptar sin perder el rumbo implica diseñar sistemas realistas, que se vivan en el día a día y que no dependan únicamente de documentos, sino de personas formadas y comprometidas.
VI. Cultura, datos y trazabilidad: el triángulo del Compliance moderno
Si tuviera que resumir el Compliance actual en tres conceptos, serían estos: cultura, datos y trazabilidad.
- La cultura define cómo se actúa cuando nadie mira.
- Los datos permiten detectar desviaciones a tiempo.
- La trazabilidad demuestra, frente a terceros, que el sistema funciona.
Cuando estos tres elementos están alineados, el Compliance deja de ser defensivo y se convierte en un pilar de confianza organizacional.
VII. Mirando hacia adelante
El Compliance del futuro no será solo más regulado, sino más observado. En ese escenario, las organizaciones que sobrevivan y crezcan serán aquellas que entiendan que adaptarse no es ceder, y que cumplir no es obedecer sin pensar.
Adaptarse sin perder el rumbo implica tener convicciones claras, sistemas sólidos y profesionales capaces de sostener decisiones difíciles. Ese es, hoy, el verdadero desafío del Compliance.
Juan José Ardiles, Gerente Corporativo Legal & Compliance en Farmex
09-01-2026 | Opinión
Cuando la regulación cambia, la ética permanece: El poder de un estándar único
¿Qué ocurre cuando la ley se relaja, pero la ética no?
La reciente suspensión temporal de la aplicación de la FCPA ha reducido la presión sobre los sobornos transnacionales… ¿pero a qué costo? Para las empresas que operan bajo estándares globales, este alivio regulatorio no es una oportunidad para bajar la guardia, sino un riesgo latente para su reputación y confianza.
En un mundo donde las reglas cambian según la geopolítica, la verdadera pregunta no es qué exige la ley hoy, sino qué principios estamos dispuestos a defender siempre. Las empresas deberían elegir un camino claro: un estándar global, sin excepciones, aplicando los criterios más estrictos (FCPA, GDPR, ESG) como base, incluso si otros deciden flexibilizar. Porque cumplir no es suficiente: liderar exige ir más allá.
La adaptación local sigue siendo importante. Países como Perú, México, Ecuador y Brasil presentan riesgos significativos en contratación pública, permisos y relaciones con terceros. En América Latina, las normativas pueden ser menos exigentes en áreas como anticorrupción o sostenibilidad, o su aplicación puede ser irregular y depender del contexto público… por eso se deben mantener políticas internas robustas para cumplir con EE.UU. y la UE, incluso si la ley local no lo exige.
Resultado: no deben existir hoy “múltiples estándares” según el país, sino una única referencia ética y de cumplimiento, con flexibilidad en la implementación práctica. En las distintas localidades, Compliance debe tener poder de adaptación, pero no de interpretación. Esto evita que los cambios políticos locales desvirtúen los principios corporativos y permite mantener un estándar universal.
Las compañías deberían contar con una gobernanza multinivel, distribuida y empoderada: los equipos locales de compliance no deben solo implementar políticas, sino también participar activamente en la identificación de riesgos emergentes, aportando conocimiento profundo del entorno regulatorio y sociopolítico, en constante diálogo con otras áreas de negocio.
Las áreas dedicadas específicamente a Compliance a nivel global, con equipos en todo el mundo que se apoyan entre sí deberían ser creadas, en la medida de lo posible, más sobre todo en las compañías multinacionales. Esto facilita comprender mejor la cultura de cada país, su reglamentación, exigencias y las posibles alternativas para la implementación y funcionamiento de los programas de cumplimiento y sus respectivos controles.
Se debe trabajar de la mano con capacitaciones y empoderamiento local: invertir en talento local, formar equipos con conocimiento profundo del entorno y especialización en el negocio, y les dar voz en la estrategia. Adaptar programas de ética para abordar prácticas locales sin comprometer principios globales.
Realizar evaluaciones de riesgo por país y operación, considerando factores como corrupción, estabilidad política, licencias sociales y derechos humanos. Ajustar la intensidad de los controles (due diligence, monitoreo de terceros, capacitaciones) según el perfil de riesgo.
Reforzar la escucha activa y la colaboración: mantener un diálogo constante con stakeholders locales —comunidades, autoridades, socios— para anticipar expectativas y construir soluciones sostenibles, legítimas y alineadas con los valores. Esto se debe traducir en relaciones previas con las comunidades, comunicación clara y sostenida, junto con la construcción conjunta de soluciones legítimas y sostenibles a largo plazo.
Minimizar que Compliance se vea afectado por los vaivenes locales : apoyarse en una estructura independiente de reporte; con política de “cero excepciones locales” (si un país intenta flexibilizar normas, prevalece la política global); construyendo relaciones institucionales de largo plazo, más allá de los ciclos políticos; y con capacitación intercultural, formando líderes locales en ética global para evitar choques de interpretación.
Las compañías también pueden evaluar incorporar Compliance como parte integral del marco ESG (cumplimiento ambiental, respeto de derechos humanos, integridad corporativa, ética en la cadena de valor, entre otros). Esto aseguraría que, incluso ante cambios regulatorios locales, los estándares globales mantengan la legitimidad y la coherencia ética.
La presión regulatoria es real, creciente y diversa. Pero no tiene por qué ser una barrera para la competitividad ni para la innovación. De hecho, cuando se gestiona estratégicamente, puede convertirse en un catalizador de transformación.
La clave está en cambiar el enfoque: del cumplimiento como respuesta al cumplimiento como diseño. Esto implica:
(i) Integrar el compliance desde el inicio: cuando los equipos de producto, tecnología y negocio trabajan junto a compliance desde la etapa de diseño.
(ii) Invertir en capacidades adaptativas: no se trata de tener todas las respuestas, sino de construir sistemas ágiles que absorban cambios normativos sin desestabilizar la operación. Esto incluye tecnología, talento y procesos flexibles.
(iii) Convertir la regulación en ventaja competitiva: las empresas que se anticipan a estándares ESG, diversidad o anticorrupción no solo cumplen: lideran. Y en mercados cada vez más exigentes, eso se traduce en confianza, acceso a capital y preferencia de clientes.
En resumen, adaptarse a la regulación no debe verse como una carga, sino como una oportunidad. Las organizaciones que entienden esto no solo sobreviven al cambio: avanzan y crecen en todos sus ámbitos.
El Compliance del futuro no se trata de evitar sanciones, sino de construir confianza. Y esa confianza nace de una cultura que elige hacer lo correcto, incluso cuando nadie está mirando y más allá de un estándar meramente legal.
Anna Tarasevich, Principal Compliance Portfolio & Exploration en BHP
