14-05-2026 | FERRERE, Noticias
Uruguay tiene hoy la oportunidad de observar críticamente la evolución de estos modelos y evaluar con rigor qué intervenciones son realmente necesarias, en qué ámbitos y con qué instrumentos.
El acuerdo europeo sobre el Ómnibus Digital reconoce la importancia de evaluar los costos y beneficios de cada intervención legislativa, evitando que un exceso de regulación genere efectos no deseados.
El acuerdo europeo
El 7 de mayo de 2026, el Parlamento Europeo y el Consejo de la Unión Europea alcanzaron un acuerdo provisional sobre el Ómnibus Digital de Inteligencia Artificial, que introduce modificaciones sustantivas al AI Act, la primera legislación integral en la materia a nivel mundial. El acuerdo extiende plazos de cumplimiento, simplifica cargas regulatorias y amplía el rol de los sandboxes, reconociendo que un marco normativo excesivamente complejo puede generar dificultades de implementación que terminen afectando la innovación y la efectividad misma de la regulación.
Una señal para el debate regional
La decisión europea llega en un momento particularmente relevante para Uruguay y América Latina, donde se debate activamente si corresponde y cómo regular la inteligencia artificial. El mensaje desde Bruselas es claro: incluso la jurisdicción más ambiciosa del mundo en gobernanza digital está ajustando su enfoque. No porque haya abandonado sus objetivos de protección, sino porque la experiencia demostró que una regulación cuyas cargas superan sus beneficios puede generar efectos adversos, entre ellos costos de cumplimiento desproporcionados, retrasos en la implementación y pérdida de competitividad frente a otras regiones.
El caso uruguayo
Para Uruguay, esta señal refuerza la pertinencia de un enfoque prudente e incremental. El país ya cuenta con un marco normativo vigente que ofrece garantías sólidas para la protección de los derechos de los individuos, incluyendo la Ley de Protección de Datos Personales, reconocida por la propia Comisión Europea como adecuada a sus estándares. A ello se suma la adhesión al Convenio Marco del Consejo de Europa sobre Inteligencia Artificial y Derechos Humanos, firmado en setiembre de 2025. Existen, además, normas vigentes en materia de defensa del consumidor, responsabilidad civil y propiedad intelectual, que ya ofrecen herramientas aplicables a situaciones derivadas del uso de IA. En conjunto, estos instrumentos proporcionan un piso de protección cuyo alcance merece ser debidamente ponderado antes de asumir que una legislación integral adicional es la respuesta más adecuada.
Regular cuando es necesario
Uruguay tiene hoy la oportunidad de observar críticamente la evolución de estos modelos y evaluar con rigor qué intervenciones son realmente necesarias, en qué ámbitos y con qué instrumentos. Esa evaluación debería partir de una premisa razonable: preservar su posicionamiento como hub tecnológico regional y evitar cargas que no se justifiquen frente a las garantías que ya ofrece el marco normativo vigente.
El texto del acuerdo político provisional puede consultarse en el comunicado oficial del Consejo de la UE aquí.
Para más información, escríbenos a contacto@compliancelatam.legal.
14-05-2026 | Opinión, Posse Herrera Ruiz
Por Cynthia Hernández, coordinadora de Cumplimiento en Promigas, Colombia.
¿Alguna vez te has preguntado si realmente estás gestionando el riesgo de soborno que representan esos proveedores que interactúan con entidades públicas en nombre de tu empresa?
Si la respuesta es no, o no con la profundidad suficiente, este es el momento de detenerse y reflexionar.
En la mayoría de las organizaciones contamos con proveedores de servicios legales, asesores, gestores, agencias de aduana o tramitadores que, para cumplir su labor, deben relacionarse con autoridades públicas, y los tratamos como cualquier otro tipo de proveedor o de contratista. Sin embargo, con frecuencia desconocemos cómo actúan, qué prácticas emplean o si comparten los valores éticos de la empresa. Esta omisión puede convertirse en un riesgo reputacional grave y, en muchos casos, devastador.
¿Qué pasaría si uno de ellos, por agilizar el trámite o la gestión que le encomendaste, le ofrece una dádiva al funcionario público con el que está realizando el trámite y luego tu empresa resulta implicada en un proceso judicial, administrativo y aparece en notas de prensa desprestigiándola?
¿Tendrías cómo defender la gestión de la empresa y demostrar que ese proveedor no actuó bajo tu consentimiento y fue a espaldas de la empresa?
Solo cuando pasan este tipo de situaciones es cuando muchas veces evidenciamos que nos faltó algo en nuestro programa de transparencia, y podría ser demasiado tarde.
Entonces, ¿qué podemos hacer? ¿Por dónde empezar?
El primer paso es identificarlos. Saber quiénes son esos terceros y cuáles interactúan con entidades públicas es esencial para poder evaluarlos. A partir de allí, resulta posible diseñar un plan que permita identificar los riesgos específicos que cada proveedor representa. No es lo mismo contratar a un abogado para emitir un concepto que encomendarle la representación ante una autoridad administrativa o judicial; el nivel de exposición y riesgo es claramente distinto, incluso si el mismo abogado está ejecutando ambos servicios.
Por ello, una debida diligencia proporcional al nivel de riesgo es clave. Conocer la trayectoria del proveedor, su reputación y si cuenta o no con programas de transparencia y ética empresarial, nos permite tomar decisiones más informadas. En la práctica, gestionar estos terceros implica crear una especie de “microprograma de cumplimiento” que permita monitoreo y evaluación constante, sin perder de vista los límites legales de la relación contractual.
Ahora bien, tendemos a subestimar a las grandes empresas o con trayectoria o, al revés, a las pequeñas o que están iniciando. Tendemos también a pensar que aplicar este tipo de medidas es costoso, pero no lo es; realmente solo requiere organización y un esquema claro.
Aquí surge una inquietud válida: ¿cómo supervisar a un proveedor sin vulnerar su independencia ni generar riesgos laborales para la empresa? La respuesta está en un diseño cuidadoso de las medidas de control, recordando siempre el principio de la primacía de la realidad. Mitigar el riesgo de soborno no puede traducirse en la creación inadvertida de otro riesgo legal, como lo es el riesgo de simulación laboral o contrato realidad.
Una herramienta que recomiendo de manera transversal es la formación. Capacitar a proveedores y contratistas es una vía efectiva para mitigar el riesgo sin vulnerar la autonomía ni generar otro tipo de riesgos. Esto nos permite:
- sensibilizar sobre el riesgo de soborno y corrupción.
- reforzar la postura ética de la empresa.
- dejar evidencia de la gestión preventiva.
- generar confianza.
Estos espacios permiten algo aún más valioso: desnormalizar prácticas indebidas que, en muchos contextos, han sido asumidas como parte del día a día.
He sido testigo de cómo, a través de ejemplos y casos reales, muchos proveedores reconocen situaciones que habían vivido o conductas que habían normalizado sin ser plenamente conscientes de su impacto. Abrir esos espacios es aportar a una cultura de transparencia que trasciende a la empresa y se proyecta a la sociedad, ya que no debemos olvidar que a través de un programa de transparencia efectivo también estamos transformando la sociedad.
En síntesis, identificar, evaluar, capacitar y acompañar a los proveedores que hablan en nuestro nombre no solo protege la reputación empresarial, sino que contribuye a construir entornos más íntegros y confiables.
La prevención del soborno no es solo una obligación normativa; es una responsabilidad ética con el país y con el futuro que queremos construir.
Cynthia Hernández, coordinadora de Cumplimiento en Promigas, Colombia.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal.
12-05-2026 | Albagli Zaliasnik, Noticias
Aun cuando exista habilitación legal para tratar datos personales en investigaciones por acoso laboral, el empleador debe cumplir estrictamente con los principios de confidencialidad y seguridad.
El pasado 25 de febrero de 2025, la Agencia Española de Protección de Datos (AEPD) inició un procedimiento sancionatorio en contra de una empresa, luego de recibir dos reclamaciones por parte de trabajadores que indicaban que esta había revelado su identidad como denunciante y denunciado en un proceso de acoso laboral, divulgando sus nombres y apellidos.
En efecto, el origen de este conflicto se dio a raíz de una denuncia por acoso laboral que presentaron cinco trabajadores en contra de 10 denunciados, a propósito de la cual la empresa decidió abrir la respectiva investigación interna.
De este modo, el 31 de julio de 2024 dicho empleador envió un correo electrónico al Comité de Empresa informando que daba por finalizada la investigación, adjuntando la respectiva resolución a cada una de las cinco personas denunciantes y a los 10 denunciados, revelando así la identidad de cada uno de ellos y exponiendo sus nombres, apellidos y puestos de trabajo.
Por esta razón, la parte reclamante sostenía que, en definitiva, todo el centro de trabajo sabía que era una de las denunciantes y, asimismo, que conocía a todos los denunciados, siendo que ella no había autorizado que se divulgara su identidad, lo que generó que uno de los denunciados publicara en un grupo de trabajo de WhatsApp (el mismo día del conocimiento de la resolución), un emoji de beso junto con la frase: “Gracias por la denuncia”.
Por su parte, la empresa —al plantear su defensa—, sostuvo, fundamentalmente, que no era posible apreciar una infracción a la Ley de Datos Personales, ya que todos los interesados estaban al tanto de todas las identidades de los afectados desde el principio y, además, dado que la denuncia que dio origen al procedimiento interno de investigación por acoso había sido planteada ante el Comité de Empresa, sin invocarse el derecho al anonimato de los denunciantes, ni tampoco haber sido solicitado por ellos.
De esta forma, la AEPD centró el análisis no en la licitud de la investigación interna en sí misma, sino en la forma en que la empresa comunicó el cierre del procedimiento.
En particular, estimó que existían indicios suficientes de una vulneración del principio de integridad y confidencialidad, debido a que la empresa permitió que denunciantes y denunciados accedieran a la identidad de todos los intervinientes en el procedimiento, exponiendo información especialmente sensible en el contexto de una denuncia por acoso laboral.
Así, el problema jurídico del caso no radicó en la procedencia de tramitar la denuncia, sino en la falta de resguardo de la confidencialidad de quienes participaron en ella.
Sobre lo anterior, termina proponiendo —atendida la gravedad de la posible infracción y el nivel de negligencia del empleador—, la imposición de una multa administrativa, efectiva, proporcional y disuasoria ascendente a €200.000, además de la adopción de medidas correctivas, si proceden (en este caso, que la empresa adopte, en un plazo de tres meses, las medidas adecuadas para garantizar la confidencialidad de los datos personales).
Finalmente, es del caso señalar que, ante la decisión de iniciar un procedimiento sancionatorio que, adoptado por la AEPD, la empresa optó por asumir su responsabilidad, ello con el propósito de reducir la cuantía de la multa impuesta, pagando en definitiva la suma de €120.000.
Así las cosas, este caso resulta especialmente interesante como referencia comparada desde la experiencia española, más aún considerando que a partir del próximo 1 de diciembre de 2026 entrará en vigencia en nuestro país la Ley N° 21.719, que regula la protección y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales, autoridad que cumplirá un rol equivalente al que actualmente ejerce la AEPD en España.
En ese contexto, se trata de un caso plenamente extrapolable a Chile, particularmente en el marco de la Ley Karin, pues aun cuando exista una habilitación legal para tratar datos personales en el curso de investigaciones por acoso laboral, ello no releva al empleador del deber de cumplir estrictamente con los principios de confidencialidad y seguridad que rigen todo tratamiento de datos.
De ello se sigue que la sola existencia de una base normativa que permita investigar no basta por sí sola, sino que también resulta indispensable contar con políticas internas claras, canales de denuncia seguros, protocolos de acceso restringido y resguardos efectivos que eviten la exposición indebida de información especialmente sensible.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal.
05-05-2026 | Albagli Zaliasnik, Noticias
¿Por dónde partir?
Riesgo inherente: es el riesgo “en bruto”, lo que podría pasar si una actividad se realiza sin considerar controles.
Por ejemplo: pagos, contratación de terceros, donaciones o interacción con autoridades.
El rol de los controles
Los controles buscan reducir ese riesgo inherente. Pero no basta con que existan, deben funcionar en la práctica.
Pueden ser:
- Automatizados, más efectivos.
- Manuales, más vulnerables.
El resultado: riesgo residual
Es lo que queda después de aplicar controles.
Riesgo inherente → controles → riesgo residual
Es decir, el nivel real de exposición con el que opera la empresa. Este nivel nunca es cero.
¿Por qué nunca desaparece?
Porque siempre existen:
- Errores humanos.
- Cambios regulatorios.
- Falta de información.
- Nuevos riesgos.
¿Por qué importa?
El riesgo residual permite:
- Priorizar recursos.
- Detectar brechas de control.
- Demostrar cumplimiento (con evidencia).
Importante: no se trata de eliminar el riesgo, sino de gestionarlo de forma estratégica.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal.
04-05-2026 | Basham, Noticias
En un entorno donde la innovación tecnológica avanza con velocidad y las regulaciones se complejizan, el compliance se ha convertido en un pilar esencial para las empresas del sector. Compañías globales como Xiaomi, que operan en múltiples mercados y marcos regulatorios, buscan asegurar la gestión ética, la transparencia y la adecuada gobernanza no solo para garantizar el cumplimiento normativo, sino para reforzar la confianza de los consumidores, socios y autoridades.
En esta conversación con el Regional Head of Legal and Compliance LATAM en Xiaomi, Rafael López, exploramos cómo la compañía aborda estos desafíos en América Latina, las estrategias que sustentan su cultura de integridad y la visión del futuro del cumplimiento en un ecosistema empresarial cada vez más digital y exigente.
¿Cómo describiría la estrategia de Xiaomi para fortalecer la función de Legal y Compliance en Latinoamérica y cómo se articula con la visión global de la compañía?
Es un esfuerzo combinado que se implementa a nivel global con pauta desde nuestra sede central. En Xiaomi, todo actuar debe ser ético y de conformidad con las leyes aplicables. En ese sentido, desde el área de Compliance buscamos constantemente crear y actualizar políticas que deben permear a todo el equipo, desde altos ejecutivos —incluyendo a la C-Suite— hasta practicantes o miembros más jóvenes. Para esto, dar entrenamiento y capacitación constante con relación a este tema es fundamental. Dentro de esos entrenamientos, existen algunos que se dan a nivel global mientras que otros tantos son creados y realizados de manera regional, tomando en consideración las particularidades de cada mercado local.
Desde su posición regional, ¿cuáles considera que son los principales riesgos y desafíos de cumplimiento que enfrenta el negocio en los distintos mercados latinoamericanos?
Creo que la falta de coordinación regulatoria que existe entre los mercados del continente. Tenemos países que van varios años adelante usando políticas de privacidad más estrictas y similares a un Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), tenemos países que ya contemplan la responsabilidad penal para las personas morales y, también, tenemos naciones cuya legislación en torno al cumplimiento es poca o bien, no es ejecutable.
¿Qué elementos definen la cultura de integridad y cumplimiento dentro de Xiaomi, y cómo se promueve entre los colaboradores y socios externos?
Capacitación constante, adaptabilidad y permeabilidad a los mercados locales, políticas de cero tolerancia ante un actuar sin ética y algunos otros. Se promueve desde lo más alto de la corporación, con un ejemplo por parte de los directores tanto en la sede central como en las respectivas regiones. De igual manera, se hacen llegar nuestras políticas y materiales relacionados al cumplimiento a partes relacionadas y proveedores a fin de que los conozcan, estudien y acepten actuar conforme a los mismos.
¿Cómo se logra armonizar las políticas y estándares globales de compliance con los marcos regulatorios locales de cada país en la región?
Este es sin duda uno de los retos más grandes, pero nosotros siempre actuamos bajo el estándar de “quien puede lo más, puede lo menos”. En ese sentido, buscamos que nuestras políticas y procesos sean lo más robustos posibles. De esta manera, si son aceptados y validados en los mercados más complejos será fácil ejecutarlos en mercados más laxos o menos maduros.
La digitalización está transformando todas las áreas corporativas. ¿Qué rol juegan la tecnología y la innovación en la gestión de Legal y Compliance en Xiaomi?
Sin duda es una herramienta que nos permite hacer nuestro trabajo de manera más sencilla. Creo que las distintas herramientas tecnológicas nos ayudan a llevar un mejor control respecto a lo que se implementa. También, facilita el trabajo a la hora de llevar a cabo investigaciones complejas, sobre todo cuando se tiene que hacer a distancia.
¿De qué manera el área de Compliance colabora con las áreas de negocio para garantizar que el crecimiento comercial se desarrolle dentro de los más altos estándares éticos y regulatorios?
Con presencia en las operaciones y una constante política de entrenamiento a todas las áreas. De igual manera, estableciendo con ejemplos reales cuando alguien falta a las políticas y ejecutando las consecuencias necesarias. Hacer saber a los funcionarios y directivos que sus actos pueden tener repercusiones no solo en la empresa, sino en su esfera jurídica como personas físicas, también ayuda a concientizar sobre la importancia de un actuar ético.
¿Qué iniciativas o acciones considera más efectivos para fomentar una cultura preventiva y de responsabilidad en materia de cumplimiento en toda la organización?
Entrenamientos constantes y sanciones reales para aquellos que no siguen las políticas, manuales y cuyo actuar no es ético.
Desde su experiencia, ¿cuáles han sido las principales lecciones aprendidas al liderar la función de Legal y Compliance en una región tan diversa como Latinoamérica?
El que puede lo más, puede lo menos. Nunca es tarde para empezar. Es fundamental crear modelos de prevención y no de reacción, pues cuando se está reaccionando normalmente ya es tarde.
¿Qué aspectos considera que podrían fortalecerse en la práctica del cumplimiento a nivel regional para afrontar con mayor solidez los nuevos retos regulatorios y éticos?
Legislación más actualizada y realmente ejecutable. Interacción y homogeneidad entre entidades regulatorias. Cuando se tome como referencia legislación de otro continente o región, adaptarlo con base en la realidad histórica del país en el que será ejercida.
¿Qué consejos le daría a los profesionales legales que quieren desempeñarse en el área de compliance de las empresas?
Primero, que entiendan que compliance no es lo mismo que legal, aunque sin duda se pueden complementar muy bien. Por un lado, legal es el área encargada de interpretar, estudiar y definir las leyes y regulaciones aplicables buscando definir una estrategia sólida para lograr los objetivos deseados. Por otra parte, Compliance es responsable de tomar dichas interpretaciones y asegurarse de su ejecución y cumplimiento.
Si deseas más información, escríbenos a contacto@compliancelatam.legal.
28-04-2026 | FERRERE, Noticias
Las nuevas obligaciones también tendrán cierto impacto en los sujetos obligados del sector financiero.
El pasado 19 de marzo, el Poder Ejecutivo promulgó la Ley 20.469, que incorpora cambios significativos al régimen general de prevención de lavado de activos y financiamiento del terrorismo (PLAFT) en Uruguay. Esto implica que los sujetos obligados del sector no financiero deberán:
- adecuar sus matrices de riesgo, tanto de la empresa como de sus clientes;
- adaptar manuales de prevención en materia de PLAFT;
- y fortalecer las políticas de gobierno corporativo en torno a los directivos y la alta gerencia.
El alcance de estas nuevas obligaciones también tendrá cierto impacto en los sujetos obligados del sector financiero. Los cambios, que aún están supeditados a su futura reglamentación, pueden sintetizarse en los siguientes aspectos:
- Abogados, escribanos, contadores y toda otra persona física o jurídica
Las transacciones inmobiliarias que impliquen dación de pago, permuta o pagos realizados total o parcialmente con activos virtuales, estarán sujetas a controles en materia de prevención de lavado de activos para estas categorías de sujetos obligados.
- Nuevos sujetos obligados
- Fiduciarios no financieros: se incluye a los fiduciarios no financieros, tanto generales como profesionales, como nuevos sujetos obligados, pero bajo la supervisión de la Secretaría Nacional para la Lucha contra el Lavado de Activos y Financiamiento del Terrorismo (SENACLAFT).
- Organizaciones sin fines de lucro: se amplía esta categoría, incorporando a los sindicatos y organizaciones empresariales como sujetos obligados.
- Prestadores de Servicios de Administración, Contabilidad y Procesamiento de Datos (BPO): se determina que los BPO que apoyen actividades financieras desarrolladas en el exterior deberán registrarse ante SENACLAFT, en las condiciones que determine la reglamentación.
- Ampliación de procesos de debida diligencia
Estos procesos deberán también realizarse sobre accionistas, socios, inversores o aportantes de fondos de cualquier tipo, sujeto al alcance que determine la futura reglamentación.
- Presunción de bajo riesgo para el sector no financiero
Se elimina la presunción de bajo riesgo para operaciones bancarizadas de los sujetos del sector no financiero.
- Restricciones al uso de efectivo
Se reduce el umbral mínimo para operaciones en efectivo fijada en 1.000.000 UI (unidades indexadas) a los siguientes mínimos:
- 000 UI;
- el 5% del valor total de la operación, siempre que dicho monto no supere las 450.000 UI.
- Inmovilización de fondos y protección de terceros
Se amplía a 5 días hábiles la obligación de inmovilizar fondos cuando exista resolución fundada de la Unidad de Información y Análisis Financiero, en el marco de un reporte de operación sospechosa. Asimismo, se incorpora la posibilidad de liberaciones parciales a solicitud de terceros de buena fe.
- Nuevo régimen de responsabilidad para directivos y la alta gerencia
Bajo el nuevo régimen, y sujeto a lo que determine la reglamentación, los directivos y la alta gerencia (no definida) podrán incurrir en responsabilidad administrativa, siendo pasibles de sanciones (apercibimiento, observación o multa), lo que estaba reservado exclusivamente a los sujetos obligados.
- Delitos precedentes
Se incorporan el delito ambiental de introducción de desechos tóxicos y el fraude en las entidades integrantes del sistema financiero nacional.
- Umbrales únicos
Se uniformizan los umbrales económicos definidos para calificar como actividades delictivas precedentes de lavado de activo, de acuerdo con el siguiente detalle:
- Defraudación tributaria: por monto superior a 400.000 UI.
- Defraudación aduanera: por monto superior a 400.000 UI.
- Contrabando, estafa, aprobación indebida y ciberdelitos: por monto superior a 100.000 UI.
- Delito de asistencia al lavado de activos
Se adecúa la definición de “asistencia”, asociándola a los delitos de lavado de activos (conversión, transferencia, posesión, tenencia y ocultamiento), para diferenciarla de la “asistencia” de actividades delictivas precedentes.
- Otros
Se prevén reformas en materia de diseño institucional, cooperación del sector público y cooperación internacional, aspectos procesales y penales, decomisos y extradición, entre otros.
Para solicitar más información, escríbenos a contacto@compliancelatam.legal.
