Foro Compliance Latam
Perú | Alerta Oficial de Datos Personales: claves de la nueva Directiva

Perú | Alerta Oficial de Datos Personales: claves de la nueva Directiva

20-01-2026 | CPB, Noticias

1. ¿Quiénes deben designar un ODP?

A. Sector Público: Entidades del sector público y Empresas bajo FONAPE.

B: Sector Privado (empresas): Cuando el tratamiento se realiza sobre grandes volúmenes de datos personales o cuando el giro o actividad principal de la entidad implica tratamiento de datos sensibles (p.e: bancos o centros de salud).

2. Evaluación de grandes volúmenes de datos personales

La Directiva establece cinco criterios de evaluación, distinguiendo entre:

  • Criterios determinantes A, B y C.
  • Criterios complementarios (moduladores): D y E.

3. Criterios determinantes:

  1. Criterio A: número de titulares de datos personales:
  • Nivel ALTO: > 50,000 titulares.
  • Nivel MEDIO: 10,000 a 49,000 titulares.
  • Nivel Bajo: Tratamiento puntuales, ocasionales o excepcionales (campañas únicas, encuentras o proyectos específicos.

2. Criterio E: Ubicación del tratamiento:

  • Nivel ALTO: Bancos de Datos contenidos en servidores o servicios en la nube ubicados fuera del país.
  • Accesos remotos frecuentes a bancos de datos nacionales desde el extranjero (VPN, SSH, FTP, SFTP, etc). Por parte de usuarios o administrados localizados fuera del país.
  • Nivel Medio: Bancos de datos contenidos en servidores o infraestructuras localizadas en el territorio nacional.
  • Nivel Bajo: Datos gestionados locamente en soportes físicos o servidores nacionales. Sin acceso a internet ni conexiones remotas internacionales.

4. Reglas de decisión: Anexo 1 de la Directiva

1.Se considera de gran volumen de datos personales cuando:

  • Si al menos uno de los criterios determinantes A,B o C se encuentra en nivel ALTO.
  • Si al menos dos de los criterios determinantes A,B o C se encuentran en nivel MEDIO.
  • Si al menos uno de los criterios determinantes A,B o X se encuentran a nivel MEDIO, y adicionalmente, al menos uno de los criterios complementarios D o E se encuentra en nivel MEDIO o ALTO.

2. No se considera de gran volumen de datos personales cuando:

  • Si los tres criterios determinantes (A,B y C) se encuentran simultáneamente en nivel BAJO.

5. Perfil y requisitos del ODP

  1. Experiencia:
  • Experiencia general: Mínimo 2 años en labores a fines a protección de datos personales o áreas relacionadas (seguridad de la información, ciberseguridad, gobierno digital, IA, etc), de manera continua o acumulada.
  • Experiencia específica: Mínimo 1 año dedicado directamente a protección de datos personales de manera continua o acumulada.

2. Formación académica:

Se requiere al menos una de las siguientes:

  • Posgrado en protección de datos personales y/ materias afines.
  • Certificación especializada en datos personales o materias afines (mínimo 90 horas).
  • Diplomado especializado en datos personales o materias afines (mínimo 120 horas).
  • Docencia o investigación continua en la materia.

Los certificados y diplomados deben ser impartidos por instituciones de reconocido prestigio en datos personales.

6. ¿Quién NO puede ser designado ODP?

No puede ser OPD quien:

  • Tenga sentencia condenatoria firme por delito doloso.
  • Mantenga sanción o inhabilitación vigente como consecuencia de procedimientos disciplinario y otro análogo.
  • Se encuentre investigado por delitos informáticos.
  • Registre sanciones ética vinculadas al tratamiento de información y protección de datos personales.

7. Funciones del ODP:

1.Funciones principales:

  • Coordinar programas de capacitación y sensibilización del personal en protección de datos personales.
  • Gestionar la conformación de un equipo de apoyo cuando las funciones de supervisión o asesoramiento lo requieran.
  • Elaborar informes, opiniones o recomendaciones técnicas sobre el cumplimiento de la normativa, dirigidos a la alta dirección o directorio.
  • Recabar información de las unidades o departamentos pertinentes para verificar el cumplimiento de la normativa.
  • Revisar periódicamente documentos emitidos por la ANPD relevantes para sus funciones.
  • Promover una cultura de protección de datos personales dentro de la entidad, organización o empresa.

2. Funciones excluidas:

El ODP no:

  • Define la finalidad del tratamiento.
  • Ejecuta directamente tratamientos de datos personales.
  • Reemplaza al responsable del tratamiento.
  • Toma decisiones propias del negocio.

8. Comunicación de designación del ODP

1. Ante la ANPD:

  • Nombres y apellidos.
  • Documento de identidad.
  • Cargo.
  • Datos de contacto.

2. Frente a los titulares:

  • Publicación del nombre completo y correo del ODP en la política de privacidad.

Si necesitas más información a asesoría en materias de protección de datos personales, escríbenos a contacto@compliancelatam.legal

Opinión | Compliance en tiempos de cambios: tecnología, cultura y equipos para no perder el rumbo por Juan José Ardiles

Opinión | Compliance en tiempos de cambios: tecnología, cultura y equipos para no perder el rumbo por Juan José Ardiles

14-01-2026 | Albagli Zaliasnik, Noticias, Opinión

I. La conexión humana en un entorno que cambia más rápido que nuestras matrices
En un entorno donde el Compliance se apoya cada vez más en tecnología, datos y automatización, el factor humano sigue siendo insustituible. Los programas más robustos que hemos visto en la región no se construyen solo desde el área legal o de cumplimiento, sino desde equipos multidisciplinarios que integran operaciones, finanzas, tecnología, comercial y recursos humanos. Esa integración es la que permite que los controles no sean percibidos como burocracia, sino como parte natural de la forma de hacer negocios.

Al mismo tiempo, la virtualidad ha traído enormes eficiencias, pero también un riesgo: perder la conexión humana que es clave para construir cultura e integridad. Las capacitaciones remotas funcionan para transmitir información, pero los momentos presenciales —talleres, sesiones de discusión, espacios de reflexión— siguen siendo críticos para generar compromiso real, confianza y conversación abierta sobre dilemas éticos. En Compliance, la tecnología escala, pero la cultura se construye en persona.

En los últimos años, el Compliance dejó de operar en un entorno relativamente estable. Hoy enfrentamos un escenario marcado por cambios regulatorios constantes, exigencias extraterritoriales, mayor presión reputacional y expectativas crecientes por parte de clientes, autoridades y stakeholders. El desafío ya no es solo “cumplir”, sino decidir correctamente en contextos de incertidumbre.

Durante el Foro Compliance Latam Chile 2025, esta realidad fue transversal a todas las conversaciones: las reglas cambian, los riesgos se sofisticaron y el margen de error es cada vez menor. En este escenario, la pregunta clave no es cuántas normas conocemos, sino cómo nos adaptamos sin perder el rumbo ético y estratégico del negocio.

II. Cumplir no es repetir reglas, es ejercer criterio de manera estratégica

Uno de los errores más comunes en los sistemas de Compliance es confundir adaptación con flexibilidad indebida. Adaptarse no significa reinterpretar la norma a conveniencia, sino entender su propósito y aplicarla de manera coherente al contexto del negocio.

Las organizaciones que mejor navegan estos escenarios son aquellas que han logrado algo clave: transformar el Compliance en una función de criterio, no solo de control. Esto implica profesionales capaces de decir “no” cuando corresponde, pero también de explicar el porqué, anticipar impactos y proponer caminos viables.

En la práctica, el Compliance efectivo no es el más rígido, sino el más claro. Y la claridad —especialmente frente a la alta dirección— es un activo estratégico.

III. Cuando el Compliance se sienta en la mesa de decisiones

 Un punto central del panel fue el rol del Compliance en la toma de decisiones estratégicas. Mientras el Compliance permanezca aislado, operando ex post, será visto como un freno. Pero cuando se integra al negocio desde el diseño de procesos, contratos y relaciones comerciales, se convierte en un habilitador y ayuda a generar negocio mitigando riesgos o contingencias.

He visto cómo esta integración permite anticipar riesgos regulatorios, evitar conflictos de interés y proteger a la organización incluso frente a oportunidades económicamente atractivas, pero éticamente cuestionables. En esos momentos, el valor del Compliance se mide no por la sanción evitada, sino por la decisión correcta tomada a tiempo.

IV. Auditorías, homologaciones y el valor tangible del Compliance

Otro aprendizaje relevante es cómo las auditorías de clientes y los procesos de homologación han pasado de ser un trámite incómodo a una verdadera ventaja competitiva. Empresas que invierten en sistemas sólidos, trazables y bien documentados no solo cumplen: ganan confianza.

En más de una ocasión, auditorías exigentes de clientes globales han validado que el sistema funciona. El resultado no fue solo un “aprobado”, sino nuevas oportunidades de negocio, ampliación de servicios y relaciones comerciales de largo plazo. Cuando el Compliance está bien hecho, el mercado lo reconoce.

V. Proporcionalidad: el equilibrio necesario

 No todos los riesgos son iguales ni todas las empresas requieren el mismo nivel de sofisticación. La clave está en la proporcionalidad: controles adecuados al riesgo, al tamaño y a la realidad operativa.

Un Compliance sobredimensionado puede ser tan ineficiente como uno inexistente. Por ello, adaptar sin perder el rumbo implica diseñar sistemas realistas, que se vivan en el día a día y que no dependan únicamente de documentos, sino de personas formadas y comprometidas.

VI. Cultura, datos y trazabilidad: el triángulo del Compliance moderno

Si tuviera que resumir el Compliance actual en tres conceptos, serían estos: cultura, datos y trazabilidad.

  • La cultura define cómo se actúa cuando nadie mira.
  • Los datos permiten detectar desviaciones a tiempo.
  • La trazabilidad demuestra, frente a terceros, que el sistema funciona.

Cuando estos tres elementos están alineados, el Compliance deja de ser defensivo y se convierte en un pilar de confianza organizacional.

VII. Mirando hacia adelante

El Compliance del futuro no será solo más regulado, sino más observado. En ese escenario, las organizaciones que sobrevivan y crezcan serán aquellas que entiendan que adaptarse no es ceder, y que cumplir no es obedecer sin pensar.

Adaptarse sin perder el rumbo implica tener convicciones claras, sistemas sólidos y profesionales capaces de sostener decisiones difíciles. Ese es, hoy, el verdadero desafío del Compliance.

Juan José Ardiles, Gerente Corporativo Legal & Compliance en Farmex

 

Ecuador | Primeras Sanciones de la Superintendencia de Protección de Datos Personales

Ecuador | Primeras Sanciones de la Superintendencia de Protección de Datos Personales

06-01-2026 | Bustamante Fabara, Noticias

Aspectos Relevantes:
La Superintendencia de Protección de Datos Personales (“SPDP”) emitió sus primeras sanciones administrativas por infracciones graves a la Ley Orgánica de Protección de Datos Personales (“LOPDP”), tras concluir procedimientos sancionadores contra la Liga Profesional de Fútbol del Ecuador (“LIGAPRO”) y la Federación Ecuatoriana de Fútbol (“FEF”). Ambos casos se relacionan con el tratamiento de datos personales en las aplicaciones Fan ID y Fan FEF.

Hallazgos y fundamento:
Luego de requerimientos de información, actuaciones previas e inspecciones in situ, la SPDP detectó incumplimientos a medidas correctivas y verificó la existencia de una infracción grave prevista en el artículo 68.1 de la LOPDP.

Sanciones impuestas

1. Liga Profesional de Fútbol del Ecuador (LIGAPRO)

  • Multa: USD 259.644,01
  • Obligaciones adicionales:
    • Notificar a 14.398 titulares que su consentimiento no fue válidamente obtenido.
    • Eliminar dichos datos de todas sus bases.

2. Federación Ecuatoriana de Fútbol (FEF)

  • Multa: USD 194.856,16
  • Obligaciones Adicionales:
    • Actualizar su Registro de Actividades de Tratamiento.
    • Implementar una Política de Protección de Datos acorde con la LOPDP.
    • Notificar a los titulares sobre la invalidez del consentimiento recabado.
    • Eliminar los datos tratados mediante el aplicativo Fan FEF.

Publicación de resoluciones
La SPDP indicó que las resoluciones completas —incluyendo fundamentos jurídicos, hallazgos técnicos y actuaciones procesales— estarán disponibles en su sitio web institucional.

Relevancia institucional
Estas decisiones constituyen un precedente clave en la aplicación de la LOPDP y envían un mensaje claro a responsables y encargados del tratamiento: la gestión de datos personales debe realizarse con rigor, transparencia y responsabilidad proactiva.

La SPDP reiteró que continuará actuando con estricto apego al debido proceso para garantizar la protección efectiva de los derechos de los ciudadanos.

Si necesitas más información, puedes escribirnos a contacto@compliancelatam.legal y te pondremos en contacto con la firma que representa la plataforma en Ecuador.

Colombia | Supertransporte exige implementación de un Programa de Transparencia y Ética Empresarial

06-01-2026 | Posse Herrera Ruiz, Sin categoría

La Superintendencia de Transporte expidió la Resolución 14673 de 2025, mediante la cual se adiciona el Capítulo 10 del Título V de la Circular Única de Infraestructura y Transporte. Con esta disposición, se establecen lineamientos específicos para la adopción de los Programas de Transparencia y Ética Empresarial (PTEE) por parte de las compañías del sector, en cumplimiento de lo previsto en el artículo 34-7 de la Ley 1474 de 2011, adicionado por la Ley 2195 de 2022.

De acuerdo con la resolución, deberán implementar el PTEE todas las personas jurídicas sometidas a la inspección, vigilancia y control de la Superintendencia de Transporte que desarrollen actividades empresariales y que, en consecuencia, se encuentren inscritas en el Módulo de Registro de Vigilados. Esta obligación recae sobre concesiones viales, sociedades portuarias, operadores portuarios, transporte terrestre decarga intermunicipal, aéreo de carga y pasajeros, especial, fluvial, CEAS, CIAS, CDAS, Autoridades de Tránsito, Organismos de tránsito, entre otros. Las empresas que adquieran la calidad de sujetos obligados disponen de un plazo de ocho (8) meses para diseñar e implementar el PTEE, contado desde la notificación del otorgamiento del requisito habilitante y/o registro por parte de la autoridad competente. En el caso de aquellas compañías que ya contaban con dicho requisito o registro al momento de la expedición de la resolución, el término vence el 19 de mayo de 2026, ocho meses desde la fecha de publicación de la Resolución.

El programa debe incluir medidas orientadas a identificar, prevenir, gestionar y mitigar los riesgos de corrupción y soborno transnacional. Entre otros aspectos, se exige que el PTEE cuente con políticas claras de cumplimiento, procedimientos para la gestión de conflictos de interés, canales de denuncia confidenciales y seguros, reglas específicas frente a regalos, donaciones y financiación de campañas políticas, así como la adopción de un código de ética y de buen gobierno que oriente la cultura organizacional. La resolución también impone la obligación de documentar adecuadamente el programa, de realizar procesos de capacitación periódica a empleados, administradores y contratistas, y de divulgar sus lineamientos de manera accesible tanto al interior de la organización como frente a terceros.

Cada sujeto obligado deberá designar un Oficial de Cumplimiento responsable de la administración y seguimiento del PTEE. Este funcionario debe estar domiciliado en Colombia, acreditar formación en gestión de riesgos y cumplir con requisitos de idoneidad e independencia, entre otros. El programa también impone deberes específicos a la junta directiva o máximo órgano social, al representante legal, a la revisoría fiscal y a la auditoría interna, con el fin de garantizar la adecuada implementación, actualización y supervisión del PTEE. La Superintendencia estableció un esquema de acompañamiento dirigido a pymes y mipymes del sector transporte. Este incluye la elaboración de guías metodológicas simplificadas, talleres de capacitación gratuitos y asistencia técnica, con el propósito de facilitar la implementación del programa sin generar costos ni cargas excesivas para este tipo de empresas. El incumplimiento de la obligación de adoptar e implementar el PTEE dará lugar a sanciones administrativas por parte de la Superintendencia de Transporte, de conformidad con lo previsto en la Ley 336 de 1996 y demás disposiciones aplicables. La autoridad podrá iniciar procesos sancionatorios frente a la omisión o inadecuada aplicación de los lineamientos previstos en la resolución.

Con esta regulación, la Superintendencia de Transporte busca elevar los estándares de integridad y cumplimiento en el sector, al exigir que las empresas vigiladas adopten mecanismos internos efectivos contra la corrupción y el soborno transnacional; además, esta norma muestra el esfuerzo de dicha entidad por fortalecer los programas de cumplimiento de sus vigiladas, y se suma a la obligación de tales entidades de implementar un SARLAFT según lo dispuesto en la Resolución 2338 de 2025.

Colombia | El departamento de Estado de los Estados Unidos designa al clan del Golfo como organización terrorista extranjera: principales implicaciones para empresas con operaciones en Colombia

Colombia | El departamento de Estado de los Estados Unidos designa al clan del Golfo como organización terrorista extranjera: principales implicaciones para empresas con operaciones en Colombia

29-12-2025 | Noticias, Posse Herrera Ruiz

El 16 de diciembre de 2025, el Departamento de Estado de los Estados Unidos anunció la designación del Clan del Golfo como organización Terrorista Extranjera (Foreign Terrorist Organization – FTO) y comoTerrorista Global Especialmente Designado (Specially Designated Global Terrorist – SDGT), en virtud de la sección 219 de la Immigration and Nationality Act y de la Executive Order 13224. La designación surtirá efectos una vez sea publicada en el Federal Register.

El Clan de del Golfo, con bases principal en Colombia, es una organización criminal transnacional con miles de miembros, cuya principal flujo de ingresos proviene del narcotráfico, particularmente del tráfico de cocaína. Las autoridades estadounidenses atribuyen al grupo ataques violentos contra funcionarios públicos, fuerzas de seguridad y población civil.

Esta decisión se enmarca en una política más amplia de Estados Unidos orientada a utilizar herramienta de derecho antiterrorista para enfrentar organizaciones criminales transnacionales en América Latina, lo cual tiene implicaciones relevantes para las empresas que operan directa o indirectamente en Colombia.

Implicaciones legales clave de la designación:

La inclusión del Clan de Golfo en las listad de FTO y SDGT activa un régimen jurídico significativamente más estricto, entre otros:

  • Prohibición absoluta para personas y entidades estadounidenses de proporcionar apoyo financiero o de cualquier otra naturaleza a la organización.
  • Exposición a responsabilidad penal y civil en EE.UU. por “apoyo material” a la organización.
  • Ampliación del riesgo de aplicación extraterritorial del régimen de sanciones, especialmente cuando existan nexos con el sistema financiero estadounidense.

Mapeo de riesgos para compañías con operaciones en Colombia:

La designación incrementa de forma sustancia el perfil de riesgo para empresas que operan en sectores o regiones donde el Clan del Golfo tiene presencia histórica o influencia territorial.

  1. Las empresas pueden enfrentar riesgos si, de manera directa o indirecta:
  • Realizan pagos, directa o indirectamente, a actores que tengan vínculos con el Clan del Golfo, incluidos esquemas de extorsión o “vacunas”.
  • Contratan proveedores, transportistas, intermediarios o socios locales que operan en la zona de influencia de la organización o tienen vínculos con ella.
  • Mantienen relaciones comerciales con terceros que operan en zonas de alta influencia del grupo sin controles reforzados de debida diligencia.
  • Ejecutan transacciones que involucren el uso del dólar.

2. Riesgos penales y civiles bajo legislación estadounidense:

El marco de “apoyo material” al terrorismo es amplio y puede abarcar conductas como la provisión de bienes o ser servicios de cualquier naturaleza. Esto eleva el riesgo de:

  • Investigaciones por autoridades estadounidenses.
  • Acciones civiles por parte de víctimas.
  • Daños reputacionales significativos para grupos empresariales multinacionales.

3. Riesgos operativos y de seguridad:

Desde una perspectiva operativa, la designación puede generar:

  • Mayor presión de las autoridades controlados por el grupo.
  • Incremento de la volatilidad en ciertas regiones, con impactos en logística, transporte y continuidad del negocio.
  • Riesgos adicionales para empleados, contratistas e infraestructura.

4. Riesgos en procesos de fusiones y adquisiones e inversión:

Transacciones que involucren activos, tierras, consecciones o empresas ubicadas en zonas con presencia del Clan de Golfo requerirán:

  • Debida diligencia intensificada.
  • Evaluación de pasivos contingentes asociados a relaciones históricas con terceros locales.

Ajustes en representaciones, garantías y mecanismos de indemnidad.

Recomendaciones práticas para las empresas:

Ante este nuevo escenario, es recomendable que las empresas:

1.Actualicen sus programas de cumplimiento y respectivas matrices de riesgo incorporando explícitamente riesgos de terrorismo y sanciones internacionales.

2. Reforzar procesos de debida diligencia sobre terceros, incluyendo proveedores, contratistas, distribuidores y socios locales.

3. Refuercen la debida diligencia sobre terceros, especialmente en sectores y regiones de mayor exposición.

4. Revisen políticas y controles internos en materia de AML/CFT, sanciones y gestión de pagos atípicos.

5. Capaciten a equipos locales y regionales sobre los efectos prácticos de las designaciones de FTO y SDGT.

6. Establezcan procedimientos claros de respuesta frente a extorsión, coerción o interrupciones operativas.

7. Lleven a cabo un proceso de actualización de la información de sus contrapartes para identificar los riesgos que estas representan para la compañia.

En caso de tener dudas, puedes escribirnos a contacto@compliancelatam.legal y te pondremos en contacto con la firma que representa a la plataforma en Colombia, Posse Herrera Ruiz.

Óscar Tutasaura, Socio y Manuela Jaramillo, Asociada en Posse Herrera Ruiz.

Opinión | La cultura de compliance como instrumento de adaptación al futuro por Oscar Tutasaura y Santiago Bernal

Opinión | La cultura de compliance como instrumento de adaptación al futuro por Oscar Tutasaura y Santiago Bernal

22-12-2025 | Opinión, Posse Herrera Ruiz

La corrupción, el lavado de activos y la financiación del terrorismo son fenómenos internacionales que generan constantes desafíos para los Estados, que se ven obligados a diseñar y ajustar su marco regulatorio para hacer frente a una amenaza global. En este escenario, el compliance cobra una relevancia particular: se ha convertido en una de las herramientas más efectivas para enfrentar estructuras criminales cada vez más organizadas, complejas, poderosas y que trascienden fronteras. Con su evolución, también surgen nuevos retos para las empresas, que además de ser las principales obligadas a cumplir con lineamientos cambiantes, son la base misma de la economía.

En Colombia, desde 2020, las autoridades de control y vigilancia de diferentes sectores han intensificado sus esfuerzos por regular, de forma cada vez más estricta, la manera en que las empresas identifican, controlan y mitigan los riesgos de lavado de activos, financiación del terrorismo y soborno transnacional a los que se encuentran expuestas. A modo de ejemplo, pueden mencionarse las Resoluciones 2328 y 14673 de 2025, mediante las cuales la Superintendencia de Transporte de Colombia creó los sistemas SARLAFT (para el control del lavado de activos) y PTEE (para el control del riesgo de corrupción), ahora de obligatorio cumplimiento para todas las empresas sometidas a su vigilancia. Las últimas resoluciones de esta Superintendencia siguen una tendencia generalizada de las entidades administrativas colombianas, que recientemente han expedido normas para obligar a ciertas compañías a implementar programas de cumplimiento, y que además definen su contenido mínimo.

Estas medidas, además de imponer cargas adicionales a las compañías, evidencian el compromiso creciente del Estado por robustecer el compliance a nivel nacional, siguiendo las tendencias globales de lucha contra la corrupción, el lavado de activos y el terrorismo. Se trata de una regulación cada vez más estricta y dinámica, en la que constantemente se imparten nuevos lineamientos a través de pronunciamientos e interpretaciones de las entidades administrativas, y se robustecen las sanciones por incumplimiento, que en el último año incluso se han hecho extensivas a funcionarios de las empresas.

Este panorama representa un desafío particular para las empresas extranjeras con operaciones en Colombia, muchas de las cuales ya cuentan con políticas globales de prevención del lavado de activos, la financiación del terrorismo, la corrupción y el soborno. La implementación de los sistemas domésticos, además de poder parecer redundante, exige un esfuerzo adicional para armonizar las políticas globales con las exigencias locales y, al mismo tiempo, ajustarlas al contexto colombiano. Todo ello, sumado a la obligación de actualizar periódicamente los programas para asegurar su efectividad.

¿Cómo pueden las empresas prepararse para enfrentar estos desafíos?

La respuesta va más allá de un monitoreo regulatorio riguroso o de la simple actualización constante de los programas de compliance. La mejor manera de adaptarse a los cambios regulatorios es a través de una cultura organizacional sólida, edificada en torno al conocimiento, la apropiación y el reconocimiento de la importancia del cumplimiento. De poco sirve tener un programa completo, robusto y actualizado si los miembros de la organización no están en condiciones de aplicarlo: quedará condenado a ser un mero documento sin utilidad práctica, un “compliance de papel”.

Una vez las organizaciones empresariales interiorizan que sus esfuerzos deben encaminarse a construir una cultura organizacional de compliance y no únicamente a fortalecer sus manuales y documentos internos, la efectividad de estos programas aumentará de forma significativa. Ya que, es mucho más sencillo adaptarse a nuevas regulaciones cuando los miembros de la organización comprenden qué, por qué y para qué deben adaptar su comportamiento.

Por ello, resulta necesario que las compañías construyan una conciencia integral en materia de cumplimiento, en la que cualquier miembro, independientemente del país en el que se encuentre, identifique y reconozca la importancia del compliance para su labor y para la organización. Esto facilita incluso la adaptación a regulaciones domésticas específicas, como el SAGRILAFT y el PTEE en el caso colombiano. Si toda la compañía está alineada con unas máximas de cumplimiento, los efectos de un cambio regulatorio no se perciben como una carga nociva, sino como una oportunidad de fortalecimiento.

El compliance, entonces, no debe ser una práctica aislada ni segmentada por regiones o países. Debe consolidarse como una cultura organizacional transnacional, capaz de adaptarse y nutrirse de las exigencias particulares que imponga cada jurisdicción. Ese debe ser el foco del compliance del futuro: no sólo producir normas y manuales, sino lograr que estas sean conocidas, comprendidas y aplicadas. Porque, al final, de nada sirve una norma si nadie la incorpora en su manera de trabajar.

Oscar Tutasaura Socio, Derecho Corporativo, Fusiones y Adquisiciones, Privatizaciones, Cumplimiento e Investigaciones Internas y Santiago Bernal, Asociado Senior, Derecho Penal Corporativo, Cumplimiento e investigaciones internas en Posse Herrera Ruiz.