17-06-2026 | Albagli Zaliasnik, Opinión
Por Isabel Lagos, Gerente Legal y Cumplimiento en Blue Express Copec, Chile
En general, las voces referentes en materia de Compliance nos hablan de cuatro pilares estratégicos para considerar un Modelo de Prevención de Delitos (MPD) como efectivamente implementado: (1) designación de un Compliance Officer con reporte directo al máximo órgano de la organización; (2) matriz de riesgos diseñada en consideración a la realidad de la empresa; (3) canales de denuncia difundidos y confiables; y (4) evaluaciones periódicas por terceros.
Sin embargo, en el día a día corporativo solemos olvidar el verdadero core: las personas.
Para lograr el tan anhelado behavior en Compliance al interior de una compañía, es vital un proceso formativo en materia de capacitaciones.
De esta forma, la pregunta incómoda que directores y Compliance Officers debemos hacernos es: ¿nos olvidamos de los cursos online o los incorporamos a un ecosistema formativo vanguardista?
Cada organización es un ecosistema único, por lo tanto, es muy importante que cada organización pueda diseñar un “traje a la medida” de sus clientes internos.
El llamado del tone at the top y el desafío de innovar
Hace algunos meses, en un debate de expertos, se ratificó un dolor común: el gran desafío en materia de capacitación es la “innovación”. Desde el punto de vista del tone at the top, cada día son más las voces de directoras y directores que invitan a repensar y rediseñar el sistema de formación desafiando al clásico e-learning monótono. En su momento, un excontralor general de la República proponía innovar en la difusión con algo tan simple pero identitario como carpetas institucionales con slogans potentes de Compliance.
Todo lo anterior, ¿será suficiente para resolver los dolores comunes de las empresas? A saber: tasas de rotación, ausentismos, dispersión geográfica (e incluso regionales), etcétera.
Lo cierto es que no existen fórmulas mágicas, pero sí podemos aprender de lo que ya les ha funcionado a nuestros pares a través de metodologías disruptivas.
Algunas ideas:
- Obras de teatro que escenifiquen dilemas éticos reales o delitos propios de la matriz de riesgo de la organización.
- Desayunos interactivos y grupos pequeños para generar confianza.
- Presencialidad y conexión humana frente a la frialdad de la pantalla.
- Customización radical según la audiencia (el lenguaje para la primera línea operativa no puede ser el mismo que para el equipo de finanzas).
- Simulaciones de crisis en tiempo real que impliquen un juego de roles.
Dos casos de éxito: cuando la evidencia salva a la organización
Si con todo lo anterior aún contamos con escépticos en materia de innovación en capacitación, la mejor respuesta está en la evidencia: tribunales e investigaciones de la autoridad correspondiente.
Analicemos dos casos reales que demuestran el valor de hacer las cosas de manera diferente:
La cruda realidad y la lección legal
El dolor actual y el gran elefante en la habitación sigue siendo el divorcio entre el programa de formación y la realidad en terreno.
Si miramos ambos casos con optimismo, vemos el cumplimiento perfecto de los pilares tradicionales sumados al pilar core: capacitación e innovación.
Desde una vereda más realista, debemos aceptar que ninguno de los dos casos evitó el hecho de crisis original (el behavior falló en cada uno de estos individuos). Sin embargo, ambos casos protegieron a la empresa, permitieron probar la eficacia jurídica del Modelo de Prevención, blindaron el rol del Compliance Officer y operaron como una potente atenuante o eximente de responsabilidad corporativa.
Conclusión: la invitación es a crear memorias, no registros de asistencia
Es un desafío inspirar cultura.
La experiencia nos demuestra que, desafortunadamente, las personas olvidan rápido el curso online anual que la compañía las obligó a completar en una tarde de apuro. En cambio, siempre recordarán la obra de teatro que presenciaron o el desayuno con una cara visible.
Esa interacción humana no solo los educa, sino que les transmite un mensaje de cuidado. Innovar en capacitación no es un accesorio estético; es la diferencia entre un modelo de papel y un escudo legal efectivo.
Isabel Lagos, Gerente Legal y Cumplimiento en Blue Express Copec, Chile
Escríbenos a contacto@compliancelatam.legal si tienes dudas.
11-06-2026 | Albagli Zaliasnik, Opinión
Por Paola Cifuentes y Sofía Moena
En compliance existe una frase tan repetida como engañosa: “Si ocurrió un delito, entonces el modelo falló”.
Pero el estándar que hoy enfrentan las empresas es bastante más complejo que eso.
Especialmente después de la Ley N° 21.595 —de Delitos Económicos—, el debate ya no gira únicamente en torno a la ocurrencia de un incidente, sino a una pregunta mucho más exigente: ¿la compañía contaba con controles efectivamente implementados, integrados a la operación y capaces de prevenir, detectar y reaccionar adecuadamente frente a los riesgos propios de su actividad?
Porque en industrias complejas y de alto riesgo, pretender que los incidentes desaparecerán por completo no es realista. Lo relevante hoy es otra cosa: cómo estaba diseñado el sistema, qué tan integrado estaba a la operación y qué ocurre cuando ese sistema es puesto bajo presión.
Y es ahí donde muchos modelos dejan de ser compliance “de papel” y pasan —o no— la prueba de realidad.
Durante años, muchas organizaciones entendieron el compliance principalmente como políticas, matrices y capacitaciones. Sin embargo, el nuevo escenario regulatorio exige algo distinto: evidencia concreta de implementación efectiva.
Eso adquiere especial relevancia a partir de la ampliación de la responsabilidad penal de las personas jurídicas bajo la Ley N° 21.595 y de la incorporación de ciertos cuasidelitos como delitos económicos cuando existe infracción de deberes de cuidado asociados al giro de la empresa.
En otras palabras, el mundo “culposo” dejó de estar en la periferia del compliance.
Y eso cambia profundamente la conversación al interior de las compañías.
Hoy, ya no basta con acreditar la existencia formal de un Modelo de Prevención de Delitos (MPD). La discusión pasa por entender si ese modelo estaba realmente vivo y la capacidad de demostrar que el modelo operaba de manera real y efectiva: controles que operaban en la práctica, si existía entrenamiento efectivo, monitoreo, trazabilidad, escalamiento oportuno y una conexión real entre compliance y la operación.
El caso Bruma (Blumar S.A.) refleja con claridad esta tensión.
En una resolución reciente, la Corte de Apelaciones de Concepción confirmó el rechazo de la medida cautelar de supervisión de la persona jurídica solicitada por la Fiscalía, señalando que no bastaba una imputación genérica de ineficacia del modelo. La discusión debía centrarse en si existía una insuficiencia grave del sistema de prevención y cómo esa insuficiencia habría incidido concretamente en los hechos investigados.
Más allá de cómo evolucione ese caso, el mensaje parece claro: la sola ocurrencia de un incidente no demuestra automáticamente el fracaso del compliance.
Pero sí activa un examen inmediato y mucho más exigente.
¿Qué control debía operar? ¿Por qué no operó? ¿Existían alertas previas? ¿Qué se hizo después? ¿Hubo correcciones? ¿Se aprendió algo?
Ese es probablemente uno de los cambios más relevantes que estamos viendo en materia de compliance: el foco dejó de estar únicamente en el diseño del modelo y pasó a concentrarse en su funcionamiento real bajo escenarios de presión.
Y eso obliga a las empresas a mirar el compliance de manera mucho más integrada con la operación, la seguridad, la cultura organizacional y la toma de decisiones.
El gran error es pensar que un modelo de prevención se mide cuando todo funciona bien.
En realidad, su verdadero valor aparece cuando el riesgo efectivamente se materializa.
Es ahí donde se vuelve evidente si el modelo era solo una estructura formal construida para cumplir exigencias regulatorias o si estaba realmente integrado a la forma en que la organización opera, toma decisiones y gestiona sus riesgos.
Porque ningún sistema elimina completamente la posibilidad de incidentes, especialmente en industrias complejas y de alto riesgo. Pero hoy el estándar parece ser cada vez más claro: no basta con tener controles correctamente diseñados en el papel; las compañías deben poder demostrar que esos controles funcionan de manera real, integrada y efectiva.
Y probablemente ese sea el cambio más importante que estamos viendo: la discusión ya no se limita a la existencia de políticas, matrices o protocolos. La verdadera evaluación se concentra en la capacidad de acreditar supervisión efectiva, trazabilidad, escalamiento oportuno y una cultura organizacional capaz de reaccionar adecuadamente frente a señales de alerta.
Es precisamente en escenarios de crisis donde los modelos de compliance dejan de ser una declaración corporativa y pasan a convertirse en evidencia concreta de cómo la organización ejercía sus deberes de dirección, control y prevención.
Al final, los modelos que sobreviven al escrutinio no son necesariamente los más sofisticados. Son los más reales. Los que funcionan en la práctica. Los que logran demostrar que la prevención no estaba solo escrita, sino efectivamente incorporada en la manera en que la empresa hacía las cosas todos los días. Así, la prueba de fuego sería: ¿podría tu MPD contar su historia con evidencia cuando todo sale mal?
Paola Cifuentes y Sofía Moena
Para más información, escríbenos a contacto@compliancelatam.legal.
03-06-2026 | Albagli Zaliasnik, Opinión
Por Claudia Avendaño, vicepresidente corporativo de Cumplimiento y Riesgo en Molymet, Chile.
¿Cuántas veces has revisado un reporte de riesgos con muchos indicadores que mostraba que todo estaba bien, y días o semanas después la crisis estalló en tu cara?
Imagina esto: un lunes por la mañana, el directorio de tu empresa quiere revisar la matriz de riesgos actualizada y todo se ve dentro de control. Pero el miércoles, una filtración realizada en redes sociales por un cliente descontento desencadena una crisis reputacional.
Por otro lado, el jueves en la tarde un proveedor clave de tu principal actividad, ubicado en otro continente, interrumpe sus operaciones sin claridad de cuánto podría durar. Con todo, el viernes el equipo de ejecutivos se reúne para analizar todo lo acontecido, todavía tratando de entender qué paso.
La matriz de riesgos revisada el lunes no lo vio venir. Los controles existían, pero el riesgo fue más rápido.
Esto ya no es un escenario hipotético, es el patrón que se repite en organizaciones de toda la región y del mundo.
Y no es que la gente haga mal su trabajo, el problema es el modelo que seguimos aplicando. La matriz de riesgos estaba ahí, los controles se testeaban, los comités existían y se reunían cada cierto tiempo, los reportes circulaban cada cierre de mes y alguien los firmaba conforme. Todo en regla y, aun así, la crisis llegó sin que nadie la viera venir para poder desactivarla.
Esto tampoco podemos tomarlo sólo como mala suerte o una excepción, es simplemente un fallo de diseño de nuestro modelo de control. Seguimos gestionando los riesgos al ritmo lento de los procesos internos, mientras el mundo real se mueve a mil por hora.
El mundo cambió; los modelos, no siempre
Durante décadas diseñamos sistemas de control asumiendo que siempre tendríamos margen de maniobra. Había tiempo para auditar, luego analizar y reaccionar. Las matrices anuales funcionaban porque los riesgos también se movían a paso lento.
Ese entorno ya no existe.
En junio de 2025, la llamada Guerra de los 12 días entre Israel e Irán sacudió los mercados globales de energía. Meses después, en febrero de 2026, Estados Unidos e Israel relanzaron operaciones militares contra Irán. El estrecho de Ormuz, por donde transita cerca del 20% del petróleo que mueve la economía global, quedó bajo amenaza directa. Los costos de transporte se dispararon y los tiempos de tránsito se extendieron. Las compañías aseguradoras cancelaron coberturas de guerra con sólo 72 horas de aviso.
Empresas de América Latina que no tenían ninguna operación en Medio Oriente sintieron el impacto en sus cadenas de suministro en cosa de días. Ninguna de ellas lo tenía mapeado en su matriz de riesgo y menos reflejado en un KPI.
Y en simultáneo, grupos cibernéticos alineados con el conflicto desplegaron ataques a cadenas de suministro digital, afectando a organizaciones sin conexión directa con la guerra. El riesgo cibernético y el riesgo geopolítico dejaron de ser riesgos separados.
Entonces el desafío ya no es sólo tener controles, es tener alertas tempranas que respondan en tiempo real. Y eso exige una transformación de fondo que necesariamente requiere de apoyo tecnológico, para pasar de modelos reactivos a capacidades reales de anticipación. Monitoreos continuos, análisis de alertas tempranas, modelos predictores, estructuras capaces de conectar puntos dispersos antes de que se conviertan en crisis.
No todos los riesgos emergentes se resuelven con más controles
Sin duda, enfrentamos tiempos desafiantes, donde no sólo con más y mejor tecnología podremos reemplazar el criterio humano.
Porque mientras más rápido avanza la tecnología, más importante se vuelve la capacidad de cuestionar. De hecho, cuanto más rápido avanza la tecnología, más falta nos hace el sentido común.
Otra consideración importante es saber que algunos riesgos requieren manejarse con una cultura sólida, con liderazgo y ética, que permitan tomar decisiones correctas en tiempos de alta presión.
De hecho, los algoritmos hoy en día pueden amplificar contenidos —incluyendo desinformación y campañas negativas— con una rapidez que supera la velocidad de respuesta humana. Tenemos mucho en que trabajar en Latinoamérica, donde pocas empresas vinculan la gestión de riesgos reputacionales con indicadores clave que se revisan en las reuniones ejecutivas.
En ese sentido, hoy el verdadero desafío de la gestión de riesgos NO es identificar amenazas conocidas; es desarrollar organizaciones capaces de adaptarse, cuestionar y responder rápido en entornos donde la incertidumbre evoluciona más rápido que cualquier modelo de supervisión.
Porque en el mundo actual, el riesgo no espera a la próxima auditoría.
Claudia Avendaño, vicepresidente corporativo de Cumplimiento y Riesgo en Molymet, Chile.
Escríbenos a contacto@compliancelatam.legal si necesitas más información.
02-06-2026 | Albagli Zaliasnik, Noticias
Un reciente fallo del Tribunal Superior de Justicia de Galicia reabre una discusión clave para las empresas en Chile: hasta dónde llegan los canales internos de denuncia y si su existencia obliga, en materia laboral, a realizar investigaciones o audiencias previas antes de aplicar un despido disciplinario.
En el último tiempo se ha masificado en las organizaciones empresariales la creación y promoción de canales de denuncia internos destinados a reportar presuntas faltas o irregularidades administrativas que puedan estar produciéndose en el contexto empresarial.
De esa manera, el empleador puede decidir si lleva a cabo un proceso de recopilación de antecedentes o una investigación interna que permita acreditar o no los hechos denunciados y, en caso afirmativo, aplicar el régimen de sanciones laborales con que cuenta el empleador en el ejercicio de su facultad de administración.
Sin embargo, la interrogante que se ha planteado consiste en determinar si resulta necesario realizar de forma obligatoria una investigación cuando lo denunciado es una cuestión de índole laboral, o si, por el contrario, esto es una facultad discrecional del empleador en ejercicio de su facultad de dirección.
Sobre ello trata una interesante sentencia del Tribunal Superior de Justicia de Galicia, con fecha 28 de enero de 2026, la que, conociendo de un recurso interpuesto por la empresa, validó la postura en cuanto a que no se hace exigible llevar a cabo una investigación y consecuencialmente un trámite de audiencia previa.
Lo anterior, dada la gravedad de los hechos imputados al trabajador (actos corporales innecesarios desarrollados por un fisioterapista, consistentes en bajada de ropa interior, tocamientos reiterados y comentarios inapropiados), lo que implicaba que dada la naturaleza del servicio, riesgo para terceros y urgencia de la respuesta empresarial pueda aplicarse directamente el despido.
Respecto a si dicha decisión de despido había vulnerado o no lo que establece el canal de denuncia existente en la empresa, la sentencia razona: “El Canal de Conducta no pretende erigirse en un cauce universal y obligatorio previo a toda actuación empresarial, y menos aún en materia disciplinaria laboral, sino que distingue expresamente entre el sistema interno de información y los mecanismos ordinarios de gestión de personas”.
Así las cosas, “se desprende que el Canal de Conducta se incardina en el ámbito del compliance y del control interno, sin configurarse como un procedimiento disciplinario laboral ni como una normativa reguladora de los requisitos formales del despido disciplinario”, sigue la sentencia.
Asimismo, “el Código Ético y los canales internos de información constituyen mecanismos unilaterales de autorregulación empresarial, orientados a fijar estándares de conducta, habilitar cauces de comunicación interna y articular medidas preventivas y organizativas propias de sistemas de integridad y compliance”, agrega.
Continúa: “Por ello, no se integran, por sí mismos, en el sistema de fuentes (…) ni tienen naturaleza de convenio colectivo-estatutario o extraestatutario, ni de reglamento con eficacia normativa equiparable, de modo que carecen de fuerza normativa para imponer, en términos generales, requisitos formales adicionales al régimen legal del despido disciplinario”.
Finalmente, el tribunal determina que “admitir que un instrumento unilateral pueda añadir condiciones constitutivas de validez del despido supondría desnaturalizar el sistema de fuentes y permitir una modificación indirecta del régimen legal mediante decisiones organizativas internas”.
Según lo expuesto, se trata de un interesante pronunciamiento judicial del derecho comparado y perfectamente atendible en el ordenamiento jurídico chileno, lo que resalta la importancia de delimitar el alcance de los canales de denuncia y su incidencia en el ejercicio de las legítimas facultades de administración y sanción que tiene el empleador.
Escríbenos a contacto@compliancelatam.legal si necesitas más información.
26-05-2026 | Albagli Zaliasnik, Noticias
El gremio manifestó que ” los próximos seis meses son decisivos para preparar al país, a las instituciones públicas, a las empresas y a la ciudadanía” al nuevo estándar regulatorio.
La Asociación de Profesionales en Protección de Datos Personales de Chile (AGPD) emplazó al Poder Ejecutivo y al Senado a avanzar en la designación del consejo directivo de la futura Agencia de Protección de Datos Personales, luego que la Cámara Alta rechazara la terna propuesta por el Presidente José Antonio Kast.
A través de una declaración pública, la asociación gremial expresó su preocupación y llamó a las autoridades a encontrar “una salida institucional que permita dar continuidad al proceso de instalación de la Agencia”, dada la importancia del proyecto en la materia.
“La nueva Ley de Protección de Datos Personales entra en vigencia el 1 de diciembre de este año, y su adecuada implementación requiere avanzar oportunamente en las acciones preparatorias previstas”, señaló el gremio en el comunicado.
“Los próximos seis meses son decisivos para preparar al país, a las instituciones públicas, a las empresas y a la ciudadanía frente a este nuevo estándar regulatorio”, agregó la asociación.
En ese sentido, la AGPD reiteró su disposición a contribuir técnica y colaborativamente en el proceso.
Pueden revisar el comunicado de la AGPD a continuación:
Si tienes dudas, escríbenos a contacto@compliancelatam.legal.
18-05-2026 | Albagli Zaliasnik, Noticias
La industria de medios de pago vive un proceso de transformación acelerada, impulsada por la digitalización, la innovación tecnológica y un entorno regulatorio cada vez más exigente. En este contexto, el rol de las áreas legales y de compliance se ha vuelto estratégico, acompañando el crecimiento del negocio, la gestión de riesgos y la construcción de confianza con clientes, reguladores y el mercado.
Conversamos con Ángeles Purcell, Senior Director Legal de Bci Pagos, una joint venture entre Banco Bci y Global Payments, sobre su trayectoria profesional, los principales desafíos legales y de cumplimiento en la industria de pagos y la evolución del compliance como un habilitador clave en organizaciones financieras y tecnológicas.
¿Cómo ha sido tu trayectoria profesional y cómo llegaste a desempeñar el rol de Senior Director Legal en Bci Pagos?
Inicié mi carrera profesional en Barros & Errázuriz, en el grupo de M&A (fusiones y adquisiciones) y Financiamiento. Ahí aporté de manera transversal a dos clientes, entre otras asesorías, ya que no contaban con un abogado interno en esas compañías. Eso implicaba que yo era el punto de contacto para todo tipo de solicitudes legales, desde gobierno corporativo, laboral, ambiental, libre competencia, entre otros; lo que me permitió tener una visión transversal del soporte que las sociedades anónimas abiertas requieren y empezar a vislumbrar la importancia de tener una mirada amplia de todas las problemáticas que una compañía puede enfrentar.
Luego, profundicé mis estudios en Boston University School of Law, cursando un LLM en International Business Law. Esto me permitió comprender desde otra perspectiva el Derecho, ahora con una mirada internacional, ampliando las capacidades y la posibilidad de determinar cuáles son las distintas maneras en las que un conflicto se puede resolver.
Después ingresé a un estudio pequeño, en donde estuve tres años. Mi principal foco era formalizar a startups para que pudieran iniciar la fase de rondas de financiamiento y estuvieran preparadas para los procesos de due diligence internos que estas transacciones requieren. Estas asesorías reforzaron el concepto de revisión integral que se debe hacer de una compañía y de lo que los inversionistas tienen en cuenta al momento de invertir en este tipo de negocios que, si bien tienen un riesgo adicional por el tipo de negocio en sí, el hecho de que su gobernanza y procesos estén ordenados les permite obtener una ventaja al momento de hacer rondas de financiamiento.
Luego de tres años tuve mi primer rol de abogada interna en una sociedad que tenía como filial a una administradora de fondos públicos y otra privada. Fue en este rol en donde me acerqué de manera más concreta al área de compliance y a lo que se debe hacer en base al cumplimiento regulatorio y lo necesario para implementarlo de manera adecuada.
Por último, desde hace casi cuatros años soy directora Legal de Bci Pagos. En este rol me ha tocado implementar el modelo de prevención de delitos, la Ley Karin, la Instrucción de Carácter General N°5 y ahora estamos empezando con la nueva Ley de Datos Personales. Todos estos cambios normativos tienen un impacto en la forma en la que se desempeña día a día la asesoría legal y en el rol que juega, ya que no basta con solo tener políticas.
¿Cómo ha evolucionado el rol del área legal en empresas de medios de pago y servicios financieros en los últimos años?
Ha evolucionado de manera sustancial, teniendo en cuenta la cantidad de regulación que se está implementando en estos mercados y la normativa relativa a ciberseguridad, datos personales y prevención del delito, que implican tener matrices de riesgo complejas y que no solo consideran los riesgos inherentes del negocio, sino que también el riesgo reputacional que implica. Este es un concepto nuevo y que cobra una importancia crucial en el desarrollo de los negocios, tanto en los medios de pago como en el ámbito financiero. Esto implica en la práctica que ya no es suficiente con el hecho de ser innovadores ni disruptivos, sino que ello debe ser hecho lejos de los riesgos, particularmente los reputacionales.
Desde tu experiencia, ¿cuáles son hoy los principales desafíos legales y regulatorios que enfrenta la industria de pagos?
La enorme cantidad de regulación que se debe implementar, los controles y la realidad que cada una de las entidades tiene que enfrentar varían tanto respecto del tipo societario como del tipo de sociedad matriz que se tenga.
¿Qué rol cumple el compliance como habilitador estratégico del negocio en una compañía de medios de pago?
Le otorga certeza a los distintos actores de la compañía de que los servicios que se prestan y quienes están contratándolos son los adecuados y que no van a generar riesgos posteriores que pudieran ser mucho más difíciles de enfrentar. En consecuencia, un compliance adecuado evita problemas a futuro que pueden ser muchísimo más costosos para la compañía, incluso haciéndola penalmente responsable y exponiéndola a su cierre eventualmente.
¿Cuáles dirías que son los pilares fundamentales de un programa de compliance efectivo en este sector?
A mi juicio, los pilares fundamentales de un programa de compliance efectivo son los siguientes:
- Entendimiento real de los riesgos a los cuales como empresa estamos expuestos.
- Capacitaciones continuas a todo el equipo de manera de generar cultura interna de cumplimiento.
- Entendimiento desde el directorio hasta el último de los trabajadores de que tener un programa adecuado no es un inhibidor de negocios, sino que fija un estándar superior que permite dar garantía de la forma en la que prestamos nuestros servicios de pago.
Si no tenemos un adecuado entendimiento de los riesgos y una cultura de cumplimiento, el compliance se queda en el cajón y se limita a check lists que, si bien sirven, no son suficientes para ser un generador de negocios ni de evitar los riesgos de incumplimiento.
¿Qué importancia tiene la colaboración entre las áreas legal, compliance, tecnología y negocio para una adecuada gestión de riesgos?
La colaboración es vital. Los riesgos son siempre multifactoriales y en la diversidad de las profesiones se crea una cultura de prevención muchísimo más robusta, ya que permite analizarlo desde distintas perspectivas.
En materia de gobierno corporativo, ¿qué prácticas consideras esenciales para fortalecer la confianza de clientes, reguladores y otros stakeholders?
Considero prácticas esenciales:
- Una adecuada capacitación a todos los miembros de la compañía.
- Una cultura de cumplimiento que abarque desde el directorio y la alta administración hacia abajo.
Son estas prácticas las que demuestran la real integración del compliance como un beneficio para el desarrollo de negocios y no como un stopper.
En materia de protección de datos personales y ciberseguridad, ¿cuáles son hoy los principales focos de riesgo legal para las empresas de medios de pago?
El principal riesgo es que como personas aún no tenemos conciencia del valor de nuestros datos y del poder que ellos representan en manos de los distintos individuos del mercado. Cuántas veces hemos dejado nuestro correo electrónico o nuestro número de teléfono a cambio de un lápiz, un cuaderno o una botella. Lo que estamos entregando no es solo nuestra información, son nuestros gustos, nuestras preferencias y lo que hacemos día a día. Teniendo eso mismo presente, en el ámbito profesional es esa generación de conciencia de la importancia de la creación de cultura y de entender el valor del dato o de la seguridad y las distintas formas en las que los debemos proteger.
¿Cómo impactan temas como la protección de datos personales, ciberseguridad y prevención de fraudes en la agenda legal de la industria?
El impacto es enorme. Nos obliga a tener una mirada integral de los posibles riesgos, a tener diversas matrices de riesgo con sus respectivos controles y a supervisar temas tremendamente técnicos y complejos de explicar a los directores de una sociedad anónima abierta. Asimismo, obligan a las compañías a priorizar inversiones que, de no existir esta legislación, serían difíciles de implementar. Además, nos condicionan a generar cultura, a que todos entiendan lo que es un ciberataque o el valor de los datos de la compañía y lo que implica perder acceso a los mismos.
Mirando al futuro, ¿qué tendencias regulatorias crees que marcarán la industria de medios de pago en los próximos años?
Creo que va a haber una tendencia a la adecuación en base al tamaño de las compañías y a los tipos de negocio que existen actualmente en Chile. Si bien tenemos como referente a Europa en las normas de compliance, la complejidad de la regulación y la estricta implementación hacen que su cumplimiento sea muy desafiante. Así lo vemos en los cambios que se están proponiendo en relación con la nueva Ley de Datos Personales.
¿Cómo visualizas la evolución del rol del compliance y de las áreas legales dentro de las organizaciones financieras y tecnológicas?
El rol va a ser cada vez más relevante. Especialmente considerando la enorme cantidad de regulación adicional que se está incorporando, las multas y niveles de responsabilidad asociadas tanto para las empresas como para quienes las dirigen y administran.
