09-02-2026 | Albagli Zaliasnik, Noticias
Uno de los principales focos de interés actual es la relación con terceras partes y riesgos vinculados a cadena de suministro
El 27 de noviembre tuvo lugar en Santiago el evento regional más relevante de Compliance. Cerca de 300 Gerentes Legales, Compliance Officers y ejecutivos de diversos sectores y países se reunieron con el objetivo de analizar y debatir los principales desafíos y tendencias en materia de Compliance.
A lo largo de paneles y conversaciones especializadas, se abordaron temas vinculados a Compliance como herramienta estratégica para el negocio, la gestión de riesgos emergentes, la relación con terceros y los desafíos de la economía digital.
La importancia del compliance
Cabe destacar que Compliance se entiende cada vez más como un activo comercial, una ventaja competitiva, que puede ayudar a generar más negocios. Asimismo, la empresa con más altos estándares tiene mayores probabilidades de obtener contratos, especialmente con proveedores o clientes multinacionales.
En ese sentido, es clave para las áreas de Compliance de empresas escuchar al negocio, a las personas que trabajan en primera línea; entender cuáles son sus preocupaciones e inquietudes en términos de riesgo; y dónde ven brechas o aspectos sensibles.
De esta manera, las áreas de Compliance de empresas deben aprovechar lo realizado y aprendido en materia de prevención de delitos económicos para cumplir un rol fundamental en el trabajo en materias como cambio climático, derechos humanos y relación con comunidades.
Estándares y regulaciones diversas
Por otro lado, empresas multinacionales deben mantener un solo estándar global, lo que varía es la implementación. La aplicación depende de aspectos culturales e incluso de la regulación local.
Stakeholders y cadenas de suministro
Uno de los principales focos de interés actual es la relación con terceras partes y riesgos vinculados a cadena de suministro. Los panelistas coincidieron en que no se debe buscar imponer un solo programa de Compliance a todos los proveedores. De hacerlo, hay riesgo de discriminar a proveedores menos sofisticados, por ejemplo, de comunidades locales. Si bien se puede trabajar por categorías, no todos los proveedores requieren el mismo nivel de control.
Datos personales y economía digital
Además, hay otro tema relevante que se abordó durante el foro: los riesgos más importantes de la economía digital.
Dada la entrada en vigencia de la nueva Ley de Protección de Datos Personales, las mayores brechas parecieran estar en la falta de gobernanza, así como en la identificación y clasificación adecuada de los datos que tratan las organizaciones.
Por otro lado, existe consenso respecto de que la mayor parte de los incidentes de ciberseguridad se originan dentro de las organizaciones. Así, hay dos aspectos que resultan fundamentales en materia de prevención: en primer lugar, el establecimiento de políticas claras y accesibles que permitan transmitir las expectativas de la organización hacia sus colaboradores en materia de prevención. Y junto con ello, la concientización para construir una cultura organizacional digital.
Corrupción y lavado de activos
Al igual que con los denominados “riesgos tradicionales” tales como corrupción, lavado de activos y fraude, Compliance tiene un rol fundamental en liderar la gestión de riesgos asociados a la transformación tecnológica.
Con todo, si bien los riesgos y la normativa estarán en constante evolución, sabemos que navegar este nuevo contexto juntos, como una comunidad de Compliance que comparte la misión de elevar estándares en la región, nos permitirá llegar más lejos y contribuir de manera más efectiva a construir empresas más responsables y, al final del día, una sociedad mejor.
Yoab Bitran, Director de Grupo Compliance en Albagli Zaliasnik
Fuente: LexLatin
05-02-2026 | Bustamante Fabara, Noticias, Sin categoría
La Superintendencia de Protección de Datos Personales (“SPDP”) emitió dos nuevas resoluciones claves: 1. No. SPDP-SPD-2026-0005-R, que aprueba la Norma General sobre el Tratamiento de Datos Personales a Gran Escala. 2. No. SPDP-SPD-2026-0003-R, que aprueba la Norma General para el Tratamiento de Datos Personales en Actividades Familiares o Domésticas.
1. Resumen de la resolución No. SPDP-SPD-2026- 0005-R, que aprueba la Norma General sobre el Tratamiento de Datos Personales a Gran Escala.
La resolución establece un Modelo Técnico de Gran Escala (MTGE) que permite determinar, de forma objetiva y verificable, cuándo una actividad de tratamiento califica como “a gran escala”. Este modelo evalúa de manera conjunta seis variables estandarizadas, aplicables a todos los sectores:
• Número de titulares de datos personales;
• Volumen de datos personales tratados;
• Categorías de datos personales;
• Frecuencia del tratamiento;
• Permanencia del tratamiento; y,
• Alcance geográfico del tratamiento.
El resultado del MTGE debe constar en el Registro de Actividades de Tratamiento (RAT), mantenerse actualizado y es vinculante para activar obligaciones como evaluación de impacto, designación de delegado de protección de datos, incorporación en el RAT y la adopción de medidas reforzadas de cumplimiento.
La resolución también identifica supuestos de calificación directa obligatoria de gran escala, sin necesidad de aplicar el MTGE, en línea con los tratamientos predeterminados del Reglamento a la LOPDP. Estos supuestos incluyen los siguiente: Salud y otras categorías especiales; Evaluación sistemática/ exhaustiva con decisiones automatizadas con efectos jurídicos o significativos; observación/videovigilancia en espacios públicos; Biométricos o geolocalización; Información crediticia/financiera; tratamientos sistemáticos de niños, niñas y adolescentes; Transferencias sistemáticas continuas o estructurales y Servicios de mensajería acelerada/express/courier.
Adicionalmente, la resolución introduce obligaciones específicas de gobernanza, auditoría y transparencia, tales como la aplicación de los principios de privacidad desde el diseño y por defecto, auditorías periódicas y la elaboración de reportes anuales; y, de igual forma, dispone para los responsables y encargados que identifiquen que realizan tratamientos a gran escala, un plazo de noventa (90) días contados desde la vigencia de la norma para designar a su Delegado de Protección de Datos Personales y registrarlo ante la SPDP.
2. Resumen de la resolución No. SPDP-SPD-2026- 0003-R, que aprueba la Norma General para el Tratamiento de Datos Personales en Actividades Familiares o Domésticas.
La norma sobre el Tratamiento de Datos Personales en Actividades Familiares o Domésticas establece el objeto, el ámbito de aplicación y definiciones operativas para guiar a empresas, organizaciones y personas en la identificación de tratamientos realizados en el entorno doméstico y los supuestos en que estos dejan de estar excluidos de la LOPDP.
1) La resolución incorpora definiciones operativas (Difusión Pública y Entorno Digital Doméstico) que permiten interpretar el alcance del tratamiento de datos personales en entornos domésticos.
2) La SPDP emitió un procedimiento para evaluación, caso por caso, para determinar si el tratamiento de datos personales comprende actividades familiares o domésticas fundamentado en la aplicación de criterios (Finalidad, Alcance e Impacto) en función de los fenómenos tecnológicos, sociales y/o culturales que incidan en el tratamiento.
3) Por otro lado, a través de su disposición general y reformatoria, la resolución estableció reformas a tomar en consideración dentro de la resolución N° SPDP-SPDP-2024-0013-R, respecto al Reglamento para la Presentación, Recepción y Trámite de Denuncias y Solicitudes.
04-02-2026 | BLP, Noticias
El Acuerdo Interno 01-2026, emitido por el Registro de la Propiedad Intelectual (RPI) el 8 de enero de 2026, regula el uso de la notificación a través del Boletín Oficial del Registro de la Propiedad Intelectual (BORPI) como mecanismo supletorio en procedimientos administrativos de propiedad intelectual.
Este acuerdo busca atender una problemática en la tramitación de expedientes, consistente en la imposibilidad de practicar notificaciones personales cuando la dirección señalada por el solicitante resulte inexistente, imprecisa o materialmente inubicable. En ese sentido, el uso del BORPI como medio de notificación pretende evitar la paralización de los expedientes y garantizar la continuidad del trámite.
No obstante, el Acuerdo refuerza de manera significativa la carga de diligencia del solicitante o titular del expediente, al establecer que la notificación practicada por medio del BORPI surtirá plenos efectos legales dos (2) días después de su publicación.
Si bien el mecanismo busca una eficiencia administrativa, su aplicación práctica exige especial cautela, ya que es fundamental que el Registro deje constancia expresa y debidamente motivada en cada expediente de las razones que justifican la imposibilidad de la notificación personal, a fin de evitar eventuales cuestionamientos sobre la validez del acto administrativo y posibles afectaciones al derecho de defensa.
Este Acuerdo hace indispensable que los solicitantes consignen direcciones de notificación claras, reales y plenamente identificables, así como que mantengan dicha información actualizada durante el proceso del expediente. La omisión o descuido en este aspecto ya no solo genera retrasos, sino que puede traducirse directamente en la pérdida de oportunidades procesales relevantes sin notificación personal.
En conclusión, el Acuerdo Interno 01-2026 representa un cambio operativo en la gestión de expedientes ante el Registro, que busca la continuidad administrativa, pero incrementa el nivel de riesgo para los administrados respecto a las notificaciones. La recomendación es reforzar controles internos y el seguimiento periódico de publicaciones en el BORPI.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal
28-01-2026 | Albagli Zaliasnik, Opinión
El Día Internacional de la Protección de Datos Personales, que se celebra hoy, es un buen marco para repasar las principales lecciones que hemos ido rescatando a partir de la implementación de esta normativa en Chile. No se trata de consejos teóricos, sino que se desprenden del levantamiento, la coordinación interna y, sobre todo, de la ejecución de la puesta en marcha de esta nueva ley, que comenzará a regir el 1 de diciembre. Estas son nuestras recomendaciones para una ejecución óptima:
La primera lección es la transversalidad. La implementación no es un proyecto “del área legal” ni “de TI”: es un cambio de funcionamiento que atraviesa Recursos Humanos, Operaciones, Finanzas, Marketing, Servicio al cliente, y al Directorio. Cuando se aborda como una tarea aislada, el resultado suele ser predecible: se ordena el papel, pero los procesos siguen igual. Por eso “pastelero a tus pasteles” importa en doble sentido. Para la empresa, exige involucrar a todas las áreas que realmente tratan datos. Para quien asesora, exige armar equipos interdisciplinarios con especialización: no se enfrenta igual un problema laboral, uno de consumo o uno regulatorio; y lo sectorial —como salud o finanza— eleva el estándar y cambia la conversación.
La segunda lección es que, si los equipos no conversan, el programa fracasa. Las brechas más relevantes rara vez se ven en una entrevista; aparecen cuando TI explica cómo se replica un dato, cómo se integra un proveedor, quién tiene acceso real, cuánto se retiene y por qué. Una implementación efectiva implica que Seguridad entiende el riesgo, Legal entiende la legitimidad, Operaciones entiende la continuidad y Recursos Humanos entiende el impacto en las personas.
La tercera lección es convivir con incertidumbre regulatoria sin paralizarse. Todavía faltan lineamientos de la Agencia, y algunos serán determinantes, especialmente en la Evaluación de Impacto de la Protección de Datos (DPIA). Pero la operación no espera. Hay tratamientos sensibles que sostienen el día a día —por ejemplo, controles de jornada con biometría o accesos reforzados en plantas— muchas veces bajo hipótesis de excepción al consentimiento. El punto no es ralentizar el negocio; es ordenar, priorizar y gestionar el riesgo. Mapear, justificar la base de licitud, limitar el alcance a lo necesario, fijar retención y dejar trazabilidad.
La cuarta lección viene del rol que, por naturaleza, cumplen Legal y Compliance. Sin perjuicio de que la protección de datos exige una mirada integral y transversal, la experiencia aprendida con el desarrollo de los Modelos de Prevención de Delitos es clave. Estos equipos son probablemente los que mejor manejan la lógica de gobernanza, la asignación de responsabilidades en la prevención, la trazabilidad y la evidencia de cumplimiento. Y eso es precisamente lo que diferencia un programa que funciona de uno que solo “existe”. El punto no es que Legal y Compliance lo hagan solos, sino que lideren con método y se apoyen en los recursos y especialidades que el desafío requiere.
Este año confirma algo que en Compliance ya sabemos: lo que no se operacionaliza, se diluye. En protección de datos ocurre lo mismo. Si el cumplimiento se traduce en procesos, cultura y evidencia, la organización llega preparada. Si queda en intención y documentos declarativos, llega tarde.
Yoab Bitran, Director del Grupo Compliance y Antonia Nudman, Asociada Senior az Tech en Albagli Zaliasnik.
Fuente: Diario Financiero, 28 de enero 2026.
20-01-2026 | CPB, Noticias
1. ¿Quiénes deben designar un ODP?
A. Sector Público: Entidades del sector público y Empresas bajo FONAPE.
B: Sector Privado (empresas): Cuando el tratamiento se realiza sobre grandes volúmenes de datos personales o cuando el giro o actividad principal de la entidad implica tratamiento de datos sensibles (p.e: bancos o centros de salud).
2. Evaluación de grandes volúmenes de datos personales
La Directiva establece cinco criterios de evaluación, distinguiendo entre:
- Criterios determinantes A, B y C.
- Criterios complementarios (moduladores): D y E.
3. Criterios determinantes:
- Criterio A: número de titulares de datos personales:
- Nivel ALTO: > 50,000 titulares.
- Nivel MEDIO: 10,000 a 49,000 titulares.
- Nivel Bajo: Tratamiento puntuales, ocasionales o excepcionales (campañas únicas, encuentras o proyectos específicos.
2. Criterio E: Ubicación del tratamiento:
- Nivel ALTO: Bancos de Datos contenidos en servidores o servicios en la nube ubicados fuera del país.
- Accesos remotos frecuentes a bancos de datos nacionales desde el extranjero (VPN, SSH, FTP, SFTP, etc). Por parte de usuarios o administrados localizados fuera del país.
- Nivel Medio: Bancos de datos contenidos en servidores o infraestructuras localizadas en el territorio nacional.
- Nivel Bajo: Datos gestionados locamente en soportes físicos o servidores nacionales. Sin acceso a internet ni conexiones remotas internacionales.
4. Reglas de decisión: Anexo 1 de la Directiva
1.Se considera de gran volumen de datos personales cuando:
- Si al menos uno de los criterios determinantes A,B o C se encuentra en nivel ALTO.
- Si al menos dos de los criterios determinantes A,B o C se encuentran en nivel MEDIO.
- Si al menos uno de los criterios determinantes A,B o X se encuentran a nivel MEDIO, y adicionalmente, al menos uno de los criterios complementarios D o E se encuentra en nivel MEDIO o ALTO.
2. No se considera de gran volumen de datos personales cuando:
- Si los tres criterios determinantes (A,B y C) se encuentran simultáneamente en nivel BAJO.
5. Perfil y requisitos del ODP
- Experiencia:
- Experiencia general: Mínimo 2 años en labores a fines a protección de datos personales o áreas relacionadas (seguridad de la información, ciberseguridad, gobierno digital, IA, etc), de manera continua o acumulada.
- Experiencia específica: Mínimo 1 año dedicado directamente a protección de datos personales de manera continua o acumulada.
2. Formación académica:
Se requiere al menos una de las siguientes:
- Posgrado en protección de datos personales y/ materias afines.
- Certificación especializada en datos personales o materias afines (mínimo 90 horas).
- Diplomado especializado en datos personales o materias afines (mínimo 120 horas).
- Docencia o investigación continua en la materia.
Los certificados y diplomados deben ser impartidos por instituciones de reconocido prestigio en datos personales.
6. ¿Quién NO puede ser designado ODP?
No puede ser OPD quien:
- Tenga sentencia condenatoria firme por delito doloso.
- Mantenga sanción o inhabilitación vigente como consecuencia de procedimientos disciplinario y otro análogo.
- Se encuentre investigado por delitos informáticos.
- Registre sanciones ética vinculadas al tratamiento de información y protección de datos personales.
7. Funciones del ODP:
1.Funciones principales:
- Coordinar programas de capacitación y sensibilización del personal en protección de datos personales.
- Gestionar la conformación de un equipo de apoyo cuando las funciones de supervisión o asesoramiento lo requieran.
- Elaborar informes, opiniones o recomendaciones técnicas sobre el cumplimiento de la normativa, dirigidos a la alta dirección o directorio.
- Recabar información de las unidades o departamentos pertinentes para verificar el cumplimiento de la normativa.
- Revisar periódicamente documentos emitidos por la ANPD relevantes para sus funciones.
- Promover una cultura de protección de datos personales dentro de la entidad, organización o empresa.
2. Funciones excluidas:
El ODP no:
- Define la finalidad del tratamiento.
- Ejecuta directamente tratamientos de datos personales.
- Reemplaza al responsable del tratamiento.
- Toma decisiones propias del negocio.
8. Comunicación de designación del ODP
1. Ante la ANPD:
- Nombres y apellidos.
- Documento de identidad.
- Cargo.
- Datos de contacto.
2. Frente a los titulares:
- Publicación del nombre completo y correo del ODP en la política de privacidad.
Si necesitas más información a asesoría en materias de protección de datos personales, escríbenos a contacto@compliancelatam.legal
14-01-2026 | Albagli Zaliasnik, Noticias, Opinión
I. La conexión humana en un entorno que cambia más rápido que nuestras matrices
En un entorno donde el Compliance se apoya cada vez más en tecnología, datos y automatización, el factor humano sigue siendo insustituible. Los programas más robustos que hemos visto en la región no se construyen solo desde el área legal o de cumplimiento, sino desde equipos multidisciplinarios que integran operaciones, finanzas, tecnología, comercial y recursos humanos. Esa integración es la que permite que los controles no sean percibidos como burocracia, sino como parte natural de la forma de hacer negocios.
Al mismo tiempo, la virtualidad ha traído enormes eficiencias, pero también un riesgo: perder la conexión humana que es clave para construir cultura e integridad. Las capacitaciones remotas funcionan para transmitir información, pero los momentos presenciales —talleres, sesiones de discusión, espacios de reflexión— siguen siendo críticos para generar compromiso real, confianza y conversación abierta sobre dilemas éticos. En Compliance, la tecnología escala, pero la cultura se construye en persona.
En los últimos años, el Compliance dejó de operar en un entorno relativamente estable. Hoy enfrentamos un escenario marcado por cambios regulatorios constantes, exigencias extraterritoriales, mayor presión reputacional y expectativas crecientes por parte de clientes, autoridades y stakeholders. El desafío ya no es solo “cumplir”, sino decidir correctamente en contextos de incertidumbre.
Durante el Foro Compliance Latam Chile 2025, esta realidad fue transversal a todas las conversaciones: las reglas cambian, los riesgos se sofisticaron y el margen de error es cada vez menor. En este escenario, la pregunta clave no es cuántas normas conocemos, sino cómo nos adaptamos sin perder el rumbo ético y estratégico del negocio.
II. Cumplir no es repetir reglas, es ejercer criterio de manera estratégica
Uno de los errores más comunes en los sistemas de Compliance es confundir adaptación con flexibilidad indebida. Adaptarse no significa reinterpretar la norma a conveniencia, sino entender su propósito y aplicarla de manera coherente al contexto del negocio.
Las organizaciones que mejor navegan estos escenarios son aquellas que han logrado algo clave: transformar el Compliance en una función de criterio, no solo de control. Esto implica profesionales capaces de decir “no” cuando corresponde, pero también de explicar el porqué, anticipar impactos y proponer caminos viables.
En la práctica, el Compliance efectivo no es el más rígido, sino el más claro. Y la claridad —especialmente frente a la alta dirección— es un activo estratégico.
III. Cuando el Compliance se sienta en la mesa de decisiones
Un punto central del panel fue el rol del Compliance en la toma de decisiones estratégicas. Mientras el Compliance permanezca aislado, operando ex post, será visto como un freno. Pero cuando se integra al negocio desde el diseño de procesos, contratos y relaciones comerciales, se convierte en un habilitador y ayuda a generar negocio mitigando riesgos o contingencias.
He visto cómo esta integración permite anticipar riesgos regulatorios, evitar conflictos de interés y proteger a la organización incluso frente a oportunidades económicamente atractivas, pero éticamente cuestionables. En esos momentos, el valor del Compliance se mide no por la sanción evitada, sino por la decisión correcta tomada a tiempo.
IV. Auditorías, homologaciones y el valor tangible del Compliance
Otro aprendizaje relevante es cómo las auditorías de clientes y los procesos de homologación han pasado de ser un trámite incómodo a una verdadera ventaja competitiva. Empresas que invierten en sistemas sólidos, trazables y bien documentados no solo cumplen: ganan confianza.
En más de una ocasión, auditorías exigentes de clientes globales han validado que el sistema funciona. El resultado no fue solo un “aprobado”, sino nuevas oportunidades de negocio, ampliación de servicios y relaciones comerciales de largo plazo. Cuando el Compliance está bien hecho, el mercado lo reconoce.
V. Proporcionalidad: el equilibrio necesario
No todos los riesgos son iguales ni todas las empresas requieren el mismo nivel de sofisticación. La clave está en la proporcionalidad: controles adecuados al riesgo, al tamaño y a la realidad operativa.
Un Compliance sobredimensionado puede ser tan ineficiente como uno inexistente. Por ello, adaptar sin perder el rumbo implica diseñar sistemas realistas, que se vivan en el día a día y que no dependan únicamente de documentos, sino de personas formadas y comprometidas.
VI. Cultura, datos y trazabilidad: el triángulo del Compliance moderno
Si tuviera que resumir el Compliance actual en tres conceptos, serían estos: cultura, datos y trazabilidad.
- La cultura define cómo se actúa cuando nadie mira.
- Los datos permiten detectar desviaciones a tiempo.
- La trazabilidad demuestra, frente a terceros, que el sistema funciona.
Cuando estos tres elementos están alineados, el Compliance deja de ser defensivo y se convierte en un pilar de confianza organizacional.
VII. Mirando hacia adelante
El Compliance del futuro no será solo más regulado, sino más observado. En ese escenario, las organizaciones que sobrevivan y crezcan serán aquellas que entiendan que adaptarse no es ceder, y que cumplir no es obedecer sin pensar.
Adaptarse sin perder el rumbo implica tener convicciones claras, sistemas sólidos y profesionales capaces de sostener decisiones difíciles. Ese es, hoy, el verdadero desafío del Compliance.
Juan José Ardiles, Gerente Corporativo Legal & Compliance en Farmex
