Compliance en energía: cuando el cumplimiento se vuelve estratégico, una conversación con María de los Ángeles Chévez de Invenergy

Compliance en energía: cuando el cumplimiento se vuelve estratégico, una conversación con María de los Ángeles Chévez de Invenergy

En la industria de la energía, la integridad y el cumplimiento no solo son exigencias regulatorias, sino pilares estratégicos para operar proyectos de gran escala, impactar a comunidades y mantener la confianza de inversores y autoridades. La gestión de riesgos, la transparencia y la coherencia entre lo que dice una empresa y lo que hace día a día se vuelven especialmente críticos cuando se trabaja con infraestructura esencial, entornos sensibles y marcos legales complejos.

En este contexto, conversamos con María de los Ángeles Chévez, Senior Manager Compliance en Invenergy, El Salvador, sobre su experiencia en liderar el desafío del cumplimiento normativo en una industria donde la sostenibilidad, la gobernanza y la responsabilidad social no son solo discursos, sino elementos centrales de la operación.

Has desarrollado tu carrera principalmente en el ámbito legal. ¿Qué elementos de esa formación han sido más decisivos para liderar el Compliance dentro de una industria tan compleja y regulada como la energética?

Previo a entrar al mundo del Compliance, me especialicé en derecho administrativo. Trabajé por muchos años en la Sala de lo Contencioso Administrativo de la Corte Suprema de Justicia. Entender mejor la visión de la administración pública me permitió conocer cómo se estructuran los procedimientos, cómo se desarrolla una investigación, dónde están los principales puntos de riesgo frente a sanciones, licencias, permisos y actos administrativos; también me permitió comprender la importancia de documentar/evidenciar los procesos y controles internos y, además, que la comunicación con los supervisores es fundamental.

Tener claridad de las reglas que son aplicables a la empresa hace la diferencia al momento de desarrollar un programa de cumplimiento efectivo. Creo que para liderar el Compliance es necesario anticiparnos a los eventos y dejar de ser “reactivos”, porque cuando reaccionamos tenemos menos maniobra para manejar los impactos. Desde ese punto de vista, y tomando en cuenta que el sector de energía es tan complejo y regulado, es clave tener la capacidad de identificar previamente los riesgos de la empresa y llevar un monitoreo continuo, crear controles y procedimientos prácticos que atiendan a los requerimientos regulatorios y a las políticas internas, y tener la capacidad de dar una asesoría clara a la alta dirección para la toma de decisiones.

Cuando piensas en el impacto de la energía en la cotidianidad de las personas, ¿qué sentido adquiere para ti trabajar desde el Compliance y el área legal en una industria tan estratégica para el desarrollo de un país?

Trabajar desde Compliance en la industria energética adquiere un sentido muy profundo, porque se trata de una actividad que impacta directamente la vida diaria de las personas, pero también en el desarrollo de un país: la electricidad, el acceso a la energía, la continuidad del servicio y la sostenibilidad del sistema. En ese contexto, el rol de Compliance no solo protege a la empresa, sino que también protege un interés público, es una forma de contribuir a que el desarrollo del país ocurra con orden, confianza, transparencia y responsabilidad.

Por eso, trabajar en esta industria tiene un valor estratégico especial: no se trata únicamente de evitar sanciones o resolver contingencias, sino de ayudar a construir un marco de desarrollo más sólido para el país. El sentido último del trabajo de Compliance en la industria de energía es asegurar que el crecimiento económico vaya acompañado de legalidad, ética y sostenibilidad.

¿Cómo describirías la evolución del rol del Compliance en empresas de energía durante los últimos años, especialmente en mercados latinoamericanos como El Salvador?

En los últimos años, los marcos normativos de Latinoamérica han tenido grandes cambios que han impactado directamente en modificar la definición del Compliance. Este pasó de ser una función reactiva y documental (checklist) a convertirse en una función transversal de gestión de riesgos, estrategia y gobernanza. Algunos cambios clave en la normativa latinoamericana que impactaron el rol de Compliance son: la introducción de la responsabilidad penal para la persona jurídica, los requerimientos más exigentes en materia de Compliance para participar en licitaciones públicas, y la evolución en la normativa anticorrupción, ESG, protección de datos, ciberseguridad, inteligencia artificial, entre otros.

El Salvador no es la excepción en cuanto a la modernización de normativa; específicamente, en el sector de energía, reformas a la Ley General de Electricidad y la emisión de nuevas leyes para energías renovables y autoconsumo, reglas de operación y supervisión del mercado eléctrico, así como otras nuevas leyes como la Ley de Protección de Datos, Ley de Ciberseguridad y Seguridad de la Información, Ley Anticorrupción, han elevado el rol de Compliance a una función más estratégica y técnica con mucho más peso frente a las operaciones, que representa más bien un soporte crucial para la continuidad del negocio.

En industrias críticas como la energética, muchas veces el Compliance se percibe como una función de control. ¿Cómo se transforma esa visión para convertirla en una herramienta estratégica del negocio?

Comunicando y conectando. El Compliance debe ser muy sensible a las necesidades del negocio, comprender las operaciones y también comprender las reglas que rigen al negocio. Cuando el líder de Compliance se comunica bien, el mensaje no llega como una orden abstracta, sino como una explicación clara de por qué una conducta protege al negocio, a la reputación y a la continuidad operativa.

Es una realidad que Compliance opera como una segunda línea de defensa, y ese enfoque de revisión, de detectar riesgos y documentar controles es indispensable. Pero el rol es mas amplio que eso, ya que el Compliance debe de integrar a la organización, crear confianza y competitividad con el planteamiento de su análisis y estrategia para mitigar riesgos, útiles en la toma de decisiones para invertir o expandir proyectos, relaciones con terceros y reguladores, contrataciones y otros.

La industria energética enfrenta regulaciones ambientales, contractuales, operacionales y de anticorrupción simultáneamente. ¿Cuál consideras que es hoy el principal desafío regulatorio para las empresas del sector?

En general, la transformación tecnológica y los constantes cambios normativos están generando replanteamientos sobre cómo gestionar más eficientemente los recursos energéticos, qué practicas empresariales sostenibles se pueden implementar y cómo realizar esas adaptaciones legalmente. Partiendo de estas nuevas tendencias, los principales desafíos actuales del Compliance en el sector energético son, entre otros: (i) la capacidad técnica del líder de Compliance para comprender, interpretar y traducir la normativa en controles internos eficaces. No solo identificar obligaciones, sino también priorizar riesgos, asesorar a la organización con criterio jurídico y convertir el marco regulatorio en herramientas concretas de gestión; (ii) la capacidad institucional para la implementación de nuevos controles internos de forma ágil, evitando que el exceso de formalismo obstaculice la toma de decisiones y la continuidad del negocio (capacidad de respuesta ante los cambios normativos e implementación de nuevas tecnologías); (iii) la incorporación acelerada de tecnologías digitales, incluida la inteligencia artificial, introduce nuevas obligaciones y riesgos en materia de ciberseguridad, trazabilidad, privacidad y gobernanza de datos, lo que amplía significativamente el perímetro tradicional del cumplimiento normativo, lo cual exige un enfoque multidisciplinario  por parte del líder de Compliance.

En proyectos energéticos participan gobiernos, comunidades, proveedores, inversionistas y operadores. ¿Cómo se construye una cultura de cumplimiento que logre alinearse entre actores tan diversos?

En mi opinión, la cultura de cumplimiento se construye cuando existe congruencia y consistencia entre lo que la organización dice y lo que realmente hace, empezando por la alta gerencia y extendiéndose a todos los actores involucrados. En un entorno donde participan gobiernos, comunidades, proveedores, inversionistas y operadores, esa cultura solo se fortalece si los mensajes, las políticas y las decisiones se mantienen alineados en el tiempo, si se cumplen los compromisos asumidos y si cada parte percibe que las reglas se aplican con objetividad y transparencia.

La empresa es responsable de socializar y capacitar sobre las políticas internas y establecer con claridad las reglas y mecanismos de queja, pero cada individuo es responsable de mantener esa cultura de cumplimiento e integridad; así como formamos rutinas cotidianas individuales, de la misma manera, cuando repetimos constantemente actos correctos, decisiones adecuadas, tratos justos, procesos limpios, creamos un entorno donde lo correcto es la normalidad y lo incorrecto, la excepción, y donde otros aprenden más fácilmente cómo tomar buenas decisiones. Así se forma una verdadera cultura de cumplimiento e integridad que trasciende desde un individuo, un equipo de trabajo, una empresa, una comunidad, hasta un gobierno.

¿Qué rol juega hoy la debida diligencia sobre terceros, contratistas y socios estratégicos en la prevención de riesgos legales y reputacionales en el sector energético?

La debida diligencia es una herramienta clave para identificar, analizar y mitigar, de forma anticipada, riesgos legales, éticos, de derechos humanos, financieros, reputacionales, entre otros. El correcto análisis del perfil del riesgo del tercero nos permite definir medidas de mitigación del riesgo, priorizando los casos según su materialidad y su alineación con el apetito de riesgo de la organización. Este proceso es valioso si se realiza previo a iniciar relaciones comerciales con el tercero.

En el sector energético, no todas las relaciones, clientes o terceros se tratan igual, porque no todas representan el mismo riesgo: se profundiza más en aquellos que presentan mayor exposición. El apetito de riesgo de la empresa define el nivel de riesgo que la organización está dispuesta a aceptar para cumplir sus objetivos. La debida diligencia usa ese parámetro para decidir cuándo basta con controles estándar y cuándo se requieren medidas reforzadas, mayor validación documental o monitoreo más estrecho. Así, gestionamos el riesgo dentro de límites aceptables y con medidas proporcionales. Bien implementada, representa una protección estratégica que reduce contingencias, preserva la confianza de los stakeholders y fortalece la sostenibilidad del negocio.

La sostenibilidad y los criterios ESG han pasado a ocupar un lugar central en las discusiones corporativas. Desde el Compliance, ¿cómo se traduce eso en políticas concretas, aplicables y medibles?

Desde Compliance, la sostenibilidad y los criterios ESG se gestionan mediante políticas claras, controles operativos robustos e indicadores verificables, integrados en un modelo de trabajo coordinado con las áreas responsables de cada ámbito. Las funciones ambientales, sociales, de gobierno corporativo, recursos humanos, compras, operaciones y otras disciplinas especializadas ejecutan acciones específicas que, alineadas entre sí, garantizan la conformidad con los sistemas de gestión y la normativa vigente. Así, Compliance se consolida como un eje articulador que asegura coherencia estratégica, trazabilidad y un cumplimiento transversal en toda la organización.

¿Cuál es la importancia de que las áreas legales y de Compliance participen desde el inicio en el diseño de un proyecto energético y no únicamente cuando surge un riesgo o contingencia?

Uno de los mayores beneficios de trabajar en conjunto con el área legal desde las primeras fases, es precisamente integrar el análisis con el fin de identificar obligaciones, vacíos regulatorios y riesgos de terceros antes de que se firmen contratos o se asuman compromisos críticos. Definir las medidas de mitigación necesarias para prevenir impactos, robustecer la estructura de los contratos, alinear el proyecto con el marco regulatorio, las exigencias ambientales y de anticorrupción, y los estándares de sostenibilidad, evitando que el cumplimiento se vuelva un problema reactivo cuando la contingencia ya se materializó.

Además, reduce la probabilidad de sanciones, litigios, retrasos en permisos y daños reputacionales, lo que a su vez fortalece la confianza de reguladores, inversionistas, comunidades y socios comerciales.

Mirando hacia el futuro, ¿cómo imaginas la evolución del Compliance en el sector energético en Centroamérica durante los próximos cinco años?

Considero que cada vez más, el rol de Compliance se mira como una función transversal que gestiona riesgos y estrategia, con una opinión cada vez más técnica por la exigencia que las normativas actuales requieren de este rol, lo cual implicará una integración más estrecha con otras áreas como legal, tecnología, operaciones, finanzas, ingeniería y sostenibilidad. Las empresas van a necesitar líderes de Compliance que no solo conozcan el derecho, sino que sean perfiles multidisciplinarios, que comprendan la normativa sectorial, los riesgos operativos y las necesidades del negocio para traducir obligaciones en controles prácticos.

Por último, tomando en cuenta la transformación digital, el rol de Compliance es vital para implementar medidas de mitigación a riesgos relacionados con el uso de nuevas tecnologías, pero también será clave para la implementación de plataformas de automatización de procesos de cumplimiento, mejorar la detección temprana de riesgos y fortalecer la trazabilidad de los controles, sin reemplazar el juicio profesional que exige la función. El cumplimiento ya no es solo normativo, sino también digital.

Guatemala | Nueva ley integral unifica régimen antilavado y refuerza estándares alineados al GAFI

Guatemala | Nueva ley integral unifica régimen antilavado y refuerza estándares alineados al GAFI

El decreto consolida en una sola norma la prevención del lavado de dinero, el financiamiento del terrorismo y la proliferación de armas de destrucción masiva, amplía los sujetos obligados, refuerza el enfoque basado en riesgo e introduce nuevas exigencias de cumplimiento y sanciones.


El Congreso de la República de Guatemala aprobó el Decreto Número 15-2026, mediante el cual se crea la Ley Integral para la Prevención y Represión del Lavado de Dinero u Otros Activos y del Financiamiento del Terrorismo, derogando los Decretos 67-2001 y 58-2005.

El Decreto responde a la necesidad de actualizar y unificar el marco normativo guatemalteco en materia de prevención y represión del lavado de dinero y del financiamiento del terrorismo, alineándolo con las recomendaciones del Grupo de Acción Financiera Internacional (GAFI) y evitando la inclusión de Guatemala en la lista gris de jurisdicciones no cooperantes. Por primera vez, ambas materias quedan integradas en un único instrumento jurídico.

Estos son los principales aspectos del Decreto:

  1. Unificación normativa

Se derogan y sustituyen en su totalidad los Decretos 67-2001 y 58-2005, que regulaban de forma separada el lavado de dinero y el financiamiento del terrorismo. El nuevo régimen incorpora además el financiamiento de la proliferación de armas de destrucción masiva (FPADM), consolidando las tres materias en un solo cuerpo legal articulado y coherente.

  1. Ampliación del universo de Personas Obligadas

El Decreto extiende el régimen preventivo a nuevas categorías de sujetos obligados. Además de las entidades supervisadas por la Superintendencia de Bancos, quedan comprendidos, entre otros: promotores e intermediarios inmobiliarios, notarios cuando autoricen escrituras matrices vinculadas a actos de disposición o constitución de personas jurídicas, proveedores de servicios de activos virtuales, y profesionales universitarios que presten servicios jurídicos, contables o de auditoría de forma independiente. Estos últimos quedan sujetos a un régimen especial de obligaciones de alcance acotado.

  1. Enfoque basado en riesgo

Se adopta un modelo de cumplimiento basado en riesgo (EBR), conforme al cual cada Persona Obligada debe identificar, evaluar y mitigar su nivel de exposición al Riesgo LD/FT/FPADM, considerando su base de clientes, productos, canales de distribución y ubicación geográfica. Este análisis determina la intensidad de las medidas de debida diligencia aplicables y debe estar documentado y aprobado por el órgano de dirección superior de cada entidad.

  1. Nuevas obligaciones de cumplimiento

El Decreto establece, entre otras, las siguientes obligaciones para las Personas Obligadas: inscripción ante la Intendencia de Verificación Especial (IVE); implementación de un Manual de Prevención LD/FT/FPADM; designación de un Oficial de Cumplimiento; debida diligencia del cliente con identificación del beneficiario final, fijando como umbral de control una participación del 20% o más del capital; monitoreo de transacciones; reporte de transacciones sospechosas (RTS) con carácter exclusivo y confidencial; y conservación de información por un mínimo de cinco años, con extensión de diez años adicionales en soporte digital para ciertos obligados.

  1. Régimen sancionatorio

Los incumplimientos administrativos son sancionables con amonestación escrita o multa en un rango de US$500 a US$300.000. Cuando la Persona Obligada haya realizado acciones para obstaculizar la labor supervisora de la IVE, la multa aplicable será el doble de la ordinaria o el 20% del monto de las transacciones vinculadas al incumplimiento, lo que resulte mayor. En el ámbito penal, el delito de lavado de dinero conlleva penas de seis a veinte años de prisión inconmutables, y el financiamiento del terrorismo de diez a treinta años.

  1. Reformas a otros cuerpos normativos

El Decreto introduce reformas al Código Penal, al Código de Notariado, al Código de Comercio y a la Ley Contra la Delincuencia Organizada, entre otros. En materia societaria, las sociedades mercantiles constituidas con anterioridad a la vigencia de la ley contarán con un año para adecuar su registro de acciones y con seis meses para inscribir a los miembros de su órgano de administración en el Registro Mercantil.

El Decreto entrará en vigor tres meses después de su publicación en el Diario Oficial. Dentro de ese mismo plazo, la Superintendencia de Bancos deberá elaborar el Reglamento correspondiente.


Escríbenos a contacto@compliancelatam.legal para más información.

Costa Rica | Nueva Ley de Franquicias: principales implicaciones prácticas para las empresas

Costa Rica | Nueva Ley de Franquicias: principales implicaciones prácticas para las empresas

Por primera vez, Costa Rica cuenta con una Ley para la Regulación y el Impulso de las Franquicias (Expediente N.° 23.448), que establece el marco legal específico para este modelo de negocio, con impactos relevantes tanto para empresas franquiciadoras como franquiciados.

Principales implicaciones prácticas

1. Mayores obligaciones de información antes de contratar

Las empresas franquiciadoras deberán entregar al potencial franquiciado una Circular de Oferta de Franquicia (COF) al menos 30 días antes de la firma del contrato de franquicia, con información amplia sobre el negocio, el sistema de franquicia, inversiones, pagos, territorio, proyecciones financieras y antecedentes legales.

Riesgo clave: información incompleta o inexacta puede dar lugar a la nulidad del contrato, devolución de pagos y reclamos por daños y perjuicios.

2. Estandarización contractual obligatoria

La ley establece un contenido mínimo obligatorio para los contratos de franquicia, incluyendo reglas sobre territorio, duración, regalías, confidencialidad, asistencia técnica, no competencia, terminación y legislación aplicable, entre otras.

Impacto: será necesario ajustar los contratos y modelos contractuales para asegurar cumplimiento de este contenido mínimo.

3. Refuerzo de obligaciones del franquiciador

El franquiciador asume deberes expresos de:

  • Transferencia de conocimientos.
  • Capacitación inicial y continua.
  • Asistencia técnica durante toda la vigencia del contrato.
  • Protección y defensa de la propiedad intelectual.

Implicación operativa: las franquicias deberán contar con estructuras reales de soporte y acompañamiento que cubran al menos estas áreas.

4. Claridad en responsabilidad y relaciones laborales

La ley aclara que no existe relación laboral ni solidaridad entre franquiciador y trabajadores del franquiciado, manteniéndose la independencia jurídica de las partes.

Beneficio: reduce riesgos de contingencias laborales indirectas para el franquiciador.

5. Registro de empresas franquiciadoras

Se crea un Registro de Empresas Franquiciadoras ante el Ministerio de Economía, Industria y Comercio (MEIC), de carácter voluntario, gratuito e informativo, con obligación de actualización trimestral.

Uso estratégico: puede servir como elemento probatorio y de transparencia frente a inversionistas.

6. Entrada en vigencia y próximos pasos

La ley rige a partir de su publicación y el MEIC deberá reglamentar el registro en un plazo de tres meses.

Si necesitas más información, comunícate a contacto@compliancelatam.legal.

Guatemala | Nueva regulación de notificaciones en el Registro de la Propiedad Intelectual

Guatemala | Nueva regulación de notificaciones en el Registro de la Propiedad Intelectual

El Acuerdo Interno 01-2026, emitido por el Registro de la Propiedad Intelectual (RPI) el 8 de enero de 2026, regula el uso de la notificación a través del Boletín Oficial del Registro de la Propiedad Intelectual (BORPI) como mecanismo supletorio en procedimientos administrativos de propiedad intelectual.

Este acuerdo busca atender una problemática en la tramitación de expedientes, consistente en la imposibilidad de practicar notificaciones personales cuando la dirección señalada por el solicitante resulte inexistente, imprecisa o materialmente inubicable. En ese sentido, el uso del BORPI como medio de notificación pretende evitar la paralización de los expedientes y garantizar la continuidad del trámite.

No obstante, el Acuerdo refuerza de manera significativa la carga de diligencia del solicitante o titular del expediente, al establecer que la notificación practicada por medio del BORPI surtirá plenos efectos legales dos (2) días después de su publicación.

Si bien el mecanismo busca una eficiencia administrativa, su aplicación práctica exige especial cautela, ya que es fundamental que el Registro deje constancia expresa y debidamente motivada en cada expediente de las razones que justifican la imposibilidad de la notificación personal, a fin de evitar eventuales cuestionamientos sobre la validez del acto administrativo y posibles afectaciones al derecho de defensa.

Este Acuerdo hace indispensable que los solicitantes consignen direcciones de notificación claras, reales y plenamente identificables, así como que mantengan dicha información actualizada durante el proceso del expediente. La omisión o descuido en este aspecto ya no solo genera retrasos, sino que puede traducirse directamente en la pérdida de oportunidades procesales relevantes sin notificación personal.

En conclusión, el Acuerdo Interno 01-2026 representa un cambio operativo en la gestión de expedientes ante el Registro, que busca la continuidad administrativa, pero incrementa el nivel de riesgo para los administrados respecto a las notificaciones. La recomendación es reforzar controles internos y el seguimiento periódico de publicaciones en el BORPI.

Si necesitas más información, escríbenos a contacto@compliancelatam.legal

El Salvador | Nueva ley especial contra el lavado de dinero y financiamiento del terrorismo

El Salvador | Nueva ley especial contra el lavado de dinero y financiamiento del terrorismo

El  9 de octubre del presente año se publicó en el Diario Oficial el Decreto Legislativo No. 426, el cual contiene la Ley Especial para la Prevención, Control, Sanción del Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva (en adelante, la “Ley”), cuyo objeto principal es transformar el régimen antilavado de El Salvador, de un sistema meramente sancionador a un modelo preventivo, coordinado, tecnológicamente fortalecido y alineado con los estándares internacionales. 

Entre sus aspectos más importantes se encuentran:  

1- Sistema nacional coordinado 

Se establece la creación del Sistema Nacional para la Prevención, Control y Sanción del Lavado de Activos (SINAPLAFT), una red integrada por la Fiscalía General de la República, la Unidad de Investigación Financiera (UIF), las superintendencias, ministerios, Banco Central de Reserva, y sujetos obligados. 

Este sistema se articula a través del Comité Interinstitucional (CIPLAFT), presidido por el Fiscal General de la República, quien se encargará de formular políticas nacionales, coordinar evaluaciones de riesgo y promover la cooperación entre autoridades.  

Entre sus atribuciones clave destacan: 

  • Formular estrategias y planes nacionales de prevención. 
  • Promover la cooperación e intercambio de información entre instituciones. 
  • Recomendar reformas legales y ajustes al marco normativo. 
  • Proponer la inclusión o exclusión de sujetos obligados, con base en evaluaciones de riesgo. 

No obstante, sus propuestas no tienen efecto inmediato, cualquier cambio en la lista de sujetos obligados debe aprobarse mediante reforma legal a través de la Asamblea Legislativa, garantizando seguridad jurídica y transparencia. 

Por su parte, La UIF se fortalece como centro nacional de inteligencia financiera, con autonomía técnica y funcional y amplias facultades para requerir información a entidades públicas y privadas. 

Entre sus nuevas atribuciones destacan: 

  • Acceso directo a bases de datos y registros financieros o comerciales. 
  • Capacidad para emitir lineamientos técnicos vinculantes a los sujetos obligados. 
  • Coordinación de la Evaluación Nacional de Riesgos (ENR). 
  • Intercambio de información con unidades homólogas extranjeras bajo protocolos seguros. 

2- Sujetos obligados: inclusiones y exclusiones claves 

La Ley redefine el marco de los sujetos obligados, reemplazando el enfoque amplio y general de la anterior ley, por un modelo selectivo y basado en riesgo, alineado con los estándares del GAFI. 

En este proceso de transición, se excluyen varias categorías que previamente estaban consideradas de manera automática, tales como importadores y exportadores de productos agropecuarios o vehículos, agencias de viajes, empresas constructoras, hoteleras y de seguridad privada, laboratorios farmacéuticos, asociaciones y gremios empresariales, así como la cláusula general que abarcaba a toda sociedad o entidad privada o mixta. Las casas de empeño y los prestamistas conservarán su obligación únicamente cuando se dediquen de manera sistemática y exclusiva a la concesión de créditos. 

Por otro lado, la Ley incorpora nuevos sujetos vinculados a la innovación financiera y tecnológica, incluyendo proveedores de servicios de activos digitales y bitcoin, proveedores de dinero electrónico, gestoras de fondos de inversión, titularizadoras y transportistas de dinero o valores, además de reforzar la supervisión sobre partidos políticos e instituciones financieras tradicionales. 

En cuanto a las Organizaciones sin Fines de Lucro, se aplicarán medidas de debida diligencia y la obligación de reportar operaciones, tentativas o actividades sospechosas únicamente cuando se determine que presentan un mayor nivel de exposición al riesgo de lavado de activos, financiamiento del terrorismo o proliferación de armas de destrucción masiva, conforme a las evaluaciones de riesgo que se realicen. 

Este rediseño legal permite al marco salvadoreño avanzar hacia una supervisión más técnica, proporcional y efectiva, concentrando los esfuerzos en los sectores que realmente presentan exposición al lavado de activos, financiamiento del terrorismo y proliferación de armas de destrucción masiva. 

3- Deberes y derechos de los sujetos obligados 

A diferencia de la ley anterior, cuyo enfoque principal era el cumplimiento formal mediante la obligación de reportar transacciones sospechosas a la UIF, la nueva normativa promueve que los sujetos obligados asuman un rol activo en la prevención. Las obligaciones centrales para los sujetos obligados incluyen: 

  • Implementar sistemas internos de prevención basados en riesgo. 
  • Identificar beneficiarios finales con una participación igual o superior al 25%. 
  • Contar con oficiales y comités de cumplimiento registrados ante la UIF. 
  • Reportar operaciones sospechosas en un máximo de 24 horas y operaciones reguladas en cinco días hábiles. 
  • Garantizar confidencialidad, capacitación periódica y auditorías internas y externas especializadas. 

La Ley también incorpora principios de inclusión y proporcionalidad: prohíbe a las entidades restringir injustificadamente el acceso a servicios financieros bajo el pretexto del cumplimiento, evitando así las prácticas conocidas como “de-risking”, es decir, el cierre masivo o la negativa de servicios a clientes o sectores enteros solo por percibirse de alto riesgo, aun cuando su actividad sea legítima. En su lugar, da un enfoque basado en riesgos que permite equilibrar la prevención de delitos con el acceso legítimo a los servicios financieros, en línea con estándares internacionales. 

4- Supervisión y régimen sancionador 

La supervisión es sectorial y basada en riesgo, es decir, dependiendo del tipo de sujeto, la fiscalización corresponde a distintos organismos: 

  • Superintendencia del Sistema Financiero (SSF) para bancos y fintechs. 
  • Superintendencia de Obligaciones Mercantiles (SOM) para no financieros. 
  • Corte Suprema de JusticiaConsejo de la Profesión de ContaduríaComisión Nacional de Activos Digitales (CNAD), y TSE para sectores específicos. 

Se introduce además un régimen sancionador administrativo que clasifica las infracciones en leves, graves y muy graves, con sanciones que van desde multas de hasta 1,000 salarios mínimos hasta la disolución forzosa de entidades o la inhabilitación de directivos por cinco años. 

5- Oficialía de cumplimiento y el Oficial de Cumplimiento 

La Ley regula expresamente al Oficial de Cumplimiento como el responsable de implementar, coordinar y supervisar el cumplimiento normativo en todas las entidades sujetas a la misma. Actúa como enlace oficial entre la entidad y la UIF y garantiza la aplicación efectiva de políticas y procedimientos de cumplimiento. 

Los sujetos obligados supervisados por la Superintendencia del Sistema Financiero, la Comisión Nacional de Activos Digitales y todas las asociaciones, sociedades, cajas de crédito, federaciones, confederaciones y sociedades de ahorro y crédito reguladas por el Decreto Legislativo N.° 339 de 1986, sus reformas, y el Código de Comercio, deberán establecer una oficialía de cumplimiento, a cargo de un oficial de cumplimiento titular y un suplente, nombrados por la junta directiva u órgano equivalente. Los sujetos obligados supervisados por la Superintendencia de Obligaciones Mercantiles, el Consejo de Vigilancia de la Profesión de Contaduría Pública y Auditoría, la Corte Suprema de Justicia, la Lotería Nacional de Beneficencia, el Ministerio de Gobernación, y el Tribunal Supremo Electoral podrán prescindir de contar con una oficialía de cumplimiento y deberán de designar un oficial de cumplimiento titular y un suplente. 

En los conglomerados financieros, un mismo oficial de cumplimiento podrá ejercer su función en varias empresas del mismo grupo, siempre que lo determine la junta directiva de la entidad controladora y sea ratificado por las juntas de las entidades integrantes.  

Por su parte, en los grupos empresariales con relación accionaria mayoritaria o de control, un solo oficial de cumplimiento podrá supervisar varias empresas del grupo, siguiendo los mismos criterios de riesgo, complejidad, clientes y volumen de operaciones, conforme a la determinación de la junta directiva u órgano de dirección equivalente. 

Excepciones para personas naturales 

Las personas naturales que sean sujetos obligados tales como: (i) intermediarios inmobiliarios que participan en transacciones de compra y venta de bienes raíces para sus clientes, (ii) comerciantes de metales y piedras preciosas, (ii) profesionales como abogados, notarios, contadores y auditores que, directa o indirectamente, realizan actividades como: compra y venta de bienes inmuebles, administración de dinero, valores o cuentas de clientes, organización de aportes para empresas, y creación, operación o gestión de personas jurídicas u otras estructuras comerciales, (iv) personas naturales o jurídicas dedicadas al transporte de dinero o valores y (v) proveedores de servicios de activos digitales, incluyendo servicios de bitcoin; podrán no designar un oficial de cumplimiento.  

No obstante, seguirán siendo responsables de aplicar todos los controles de prevención previstos en la Ley y en la normativa aplicable, incluyendo medidas de debida diligencia, monitoreo de operaciones y reportes a la UIF cuando corresponda. 

6- Enfoque basado en riesgo 

Las instituciones deben identificar, evaluar y mitigar riesgos conforme a su naturaleza, tamaño y tipo de clientes. Se exige aplicar debida diligencia diferenciada y documentar el análisis que sustente cada decisión. 

7- Derogatoria:  

Si bien la nueva Ley Especial dejará sin efecto la Ley contra el Lavado de Dinero y de Activos emitida mediante Decreto Legislativo n.° 498 de 1998, estableció que de forma transitoria continuarán vigentes el Reglamento dictado por Decreto Ejecutivo n.° 2 de 21 de enero de 2000 y el Instructivo para la Prevención, Detección y Control del Lavado de Activos, el Financiamiento del Terrorismo y la Financiación de la Proliferación de Armas de Destrucción Masiva. En consecuencia, estas normas seguirán aplicándose hasta que se aprueben el nuevo reglamento y el instructivo específico de la Ley, con el fin de evitar vacíos en la regulación. 

La Ley entrará en vigencia el 21 de octubre del presente año. 

Para más información puedes contactarnos a contacto@compliancelatam.legal

El Salvador | Ley de Fomento de la Inteligencia Artificial y Tecnologías

El Salvador | Ley de Fomento de la Inteligencia Artificial y Tecnologías

El 25 de febrero de 2025, la Asamblea Legislativa aprobó la Ley de Fomento de la Inteligencia Artificial y Tecnologías (en adelante, la «Ley IA«). Su objetivo es impulsar el desarrollo, la investigación y la aplicación de la inteligencia artificial (en adelante, «IA«) en El Salvador, fomentando la innovación y asegurando su uso responsable para contribuir al avance tecnológico y el crecimiento económico del país. La Ley IA aplica a todas las personas naturales o jurídicas involucradas en la investigación, desarrollo y aplicación de la inteligencia artificial, así como a quienes recopilen, almacenen y procesen datos para estas actividades. 

Principios fundamentales. Los principios claves que rigen la Ley IA son: transparencia y explicabilidad, equidad e inclusión, seguridad y privacidad, responsabilidad y rendición de cuentas, y sostenibilidad ambiental.  

Creación de la Agencia Nacional de Inteligencia Artificial (ANIA). Para garantizar la correcta implementación de la Ley IA, se crea la Agencia Nacional de Inteligencia Artificial (“ANIA”), una institución autónoma adscrita a la Presidencia de la República. Sus principales funciones incluyen: 

  • Supervisar el cumplimiento de la Ley IA y gestionar el Marco Integral de Evaluación de Riesgos para sistemas que manejen datos confidenciales o personales. 
  • Administrar el Registro Nacional de Desarrollo, Innovación y Aplicación de IA. 
  • Fomentar alianzas público-privadas para el desarrollo de IA. 
  • Colaborar con el Ministerio de Educación para integrar la IA en los programas educativos. 
  • Emitir normativas técnicas de seguridad junto con la Agencia de Ciberseguridad del Estado (ACE). 

Libre Participación. Las personas naturales y jurídicas, tanto nacionales como extranjeras, tendrán la libertad de realizar directamente o participar en el desarrollo, investigación, entrenamiento e implementación de la IA y tecnologías similares en El Salvador.   

Registro y Salvaguardas. Las personas o entidades que hagan uso exclusivo de datos de dominio abierto o de su propiedad en proyectos que no busquen fines comerciales o de uso público deberán inscribirse en el Registro Nacional de Desarrollo, Innovación y Aplicación de IA para poder acceder a las salvaguardas de la ley, tales como: 

  • Uso autorizado de datos de dominio abierto para fines de investigación, sin prejuicio de recibir imposición de medidas cautelares o judiciales como limitantes; siempre y cuando, dicho uso respete la legislación aplicable. 
  • Exoneración de responsabilidad en entornos experimentales, siempre que dichas actividades no sean desplegadas comercialmente ni afecten los derechos de los usuarios. 
  • No se establecerá responsabilidad por el mal uso de IA por terceros, siempre que se hayan seguido los estándares de seguridad, ética y operatividad establecidos. 
  • Los modelos de IA (ponderaciones, datos de entrenamiento, resultados, etc.) no estarán sujetos a condiciones de licencia restrictiva que limiten la competencia, innovación o investigación. Ninguna entidad privada podrá imponer condiciones, salvo que dichas restricciones se encuentren expresas en la legislación salvadoreña. 

Si las actividades se encuentran relacionadas con funciones públicas o áreas supervisadas, deberán cumplir también con las normativas técnicas de seguridad establecidas por ACE y otras entidades competentes. 

Evaluación de riesgo de la IA y tecnologías similares. La ANIA implementará un marco integral de evaluación de riesgos que equilibre la innovación tecnológica con la seguridad pública y el bienestar social. Su cumplimiento será obligatorio únicamente para sistemas que manejen datos confidenciales, reservados o personales según la legislación vigente. Este marco será flexible para adaptarse a nuevos estándares y clasificaciones internacionales de seguridad. 

Responsabilidad en el ciclo de vida de la IA o tecnologías similares. Las partes involucradas en el ciclo de vida de la IA, incluyendo desarrolladores, implementadores, proveedores de servicios y usuarios finales, deberán asumir la responsabilidad correspondiente a su rol para garantizar un uso ético y seguro de estos sistemas. Los desarrolladores deberán diseñar soluciones que cumplan con los estándares técnicos y éticos establecidos. Por su parte, los implementadores serán responsables de su correcta aplicación y del cumplimiento de las normas de seguridad. En el caso de los proveedores de servicios, deberán garantizar una infraestructura segura, y los usuarios finales deberán emplear los sistemas de IA de manera responsable, respetando su propósito y alcance. 

Decisiones Automatizadas y Derecho a Impugnación.  Cuando se utilice la IA comercialmente o para acceder a derechos o servicios dentro de la república, se estará en la obligación de informar al usuario de sí, la decisión fue adoptada directamente por la IA o fue impulsada por esta. Además, se establecerán mecanismos para que los ciudadanos puedan impugnar dichas decisiones ante una persona natural competente, quien podrá confirmar, modificar o revocar la resolución. 

Protección de Datos Personales y Seguridad. El uso de datos personales en el desarrollo de IA deberá cumplir con la Ley de Protección de Datos Personales y con las normativas de seguridad emitidas por la ANIA y ACE. 

Protección de la propiedad intelectual en el desarrollo de IA. La propiedad intelectual de la IA, incluidas patentes, derechos de autor y secretos industriales, pertenece exclusivamente a su creador. En proyectos colaborativos, los derechos deben definirse mediante acuerdos previos. Los algoritmos, bases de datos y sistemas de IA desarrollados en el país están protegidos por la ley, prohibiéndose su uso o divulgación sin autorización del propietario. 

Libre Competencia y Desarrollo de IA de Código Abierto. Se prohíbe la imposición de restricciones arbitrarias en el desarrollo de IA de código abierto; igualmente, se fomentará la participación internacional en proyectos de IA, garantizando la colaboración y el acceso a innovaciones tecnológicas. 

Este decreto está sujeto a posibles modificaciones antes de su publicación en el Diario Oficial. La Ley IA entrará en vigencia ocho días después de su publicación en el Diario Oficial.