Julio Ernesto Calderón nos cuenta sobre su trayectoria profesional: cómo inició su carrera en una firma de abogados en Bogotá hace más de 10 años y cómo, desde el 2007, ha estado vinculado al mundo del compliance.
En la conversación, profundizamos en temas clave como: la volatilidad de los aranceles, la proliferación de vehículos conectados y la transparencia en sostenibilidad y ESG.
Un episodio imperdible para quienes quieren entender los desafíos y oportunidades del #compliance en sectores altamente regulados y globalizados.
La Superintendecia de Transporte expidió la Resolución 14673 de 2025, mediante la cual se adiciona el Capítulo de Título V de la Circular Única de Infraestructura y Transporte. Con esta disposición, se establecen lineamientos específicos para la adopción de los Programas de Transparencia y Ética Empresarial (PTEE) por parte de las compañías del sector, en cumplimiento de lo previsto en el artículo 34-7 de la Ley 1474 de 2011, adicionado por la Ley 2195 de 2022.
De acuerdo con la resolución, deberán implementar el PTEE todas las personas jurídicas sometidas a la inspección, vigilancia y control de la Superintendencia de Transporte que desarrollen actividades empresariales y que, en consecuencia, se encuentren inscritas en el Módulo de Registro de Vigilados. Esta obligación recae sobre concesiones viales, sociedades portuarias, operadores portuarios, transporte terrestre de carga intermunicipal, aéreo de carga y pasajeros, especial fluvial, CEAS, CIAS, CDAS, Autoridades de Tránsito, Organismos de tránsito, entre otros.
Las empresas que adquieran la calidad de sujetos obligados disponen de un plazo de ocho (8) meses para diseñar e implementar el PTEE, contado desde la notificación del otorgamiento del requisito habilitante y/o registro por parte de la autoridad competente. En el caso de aquella compañías que ya contaban con dicho requisito o registro al momento de la expedición de la resolución, el término vende el 19 de mayo de 2026, ocho meses desde la fecha de publicación de la Resolución.
El programa debe incluir medidas orientadas a identificar, prevenir, gestionar y mitigas los riesgos de corrupción y soborno transnacional. Entre otros aspectos, se exige que el PTEE cuente con políticas claras de cumplimiento, procedimiento para la gestión de conflictos de interés, canales de denuncia confidenciales y seguros, reglas específicas frente a regalos, donaciones y financiación de campañas políticas, así como la adopción de un código de ética y de buen gobierno que oriente la cultura organizacional.
La resolución también impone la obligación de documentar adecuadamente el programa, de realizar procesos de capacitación periódica a empleados, administradores y contratistas, y de divulgar sus lineamientos de manera accesible tanto al interior de la organización como frente a terceros.
Cada sujeto obligado deberá designar un Oficial de Cumplimiento responsable de la administración y seguimiento del PTEE. Este funcionario debe estar domiciliado en Colombia, acreditar formación en gestión de riesgos y cumplir con requisitos de idoneidad e independencia, entre otros. El programa también impone deberes específicos a la junta directiva o máximo órgano social, al representante legal, a la revisoría fiscal y a la auditoría interna, con el fin de garantizar, actualización y supervisión del PTEE.
La superintendenica estableció un esquema de acompañamiento dirigido a pymes y mipymes del sector transporte. Este incluye la elaboración de guías metodológicas simplificadas, talleres de capacitación gratuitos y asistencia técnica, con el propósito de facilitar la implementación del programa sin generar costos ni cargas excesivas para este tipo de empresas.
El incumplimiento de la obligación de adoptar e implementar el PTEE dará lugar a sanciones administrativas por parte de la Superintendencia de Transporte, de conformidad con lo previsto en la Ley 336 de 1996 y demás disposiciones aplicables. La autoridad podrá iniciar procesos sancionatorios frente a la omisión o inadecuada aplicación de los lineamientos previstos en la resolución.
Con esta regulación, la Superintendencia de Transporte busca elevar los estándares de integridad y cumplimiento en el sector, al exigir que las empresas vigiladas adopten mecanismos internos efectivos contra la corrupción y el soborno transnacional: además, esta norma muestra el esfuerzo de dicha entidad por fortalecer los programas de cumplimiento de sus vigilancias, y se suma a la obligación de tales entidades de implementar un SARLAFT según lo dispuesto en la Resolución 2338 de 2025.
Si necesitas más información, escríbenos a contacto@compliancelatam.legal y te pondremos en contacto con la firma que representa la plataforma en Colombia, Posse Herrera Ruiz.
Se establecen principios rectores que deben regir el desarrollo, implementación y uso de la Inteligencia Artificial (IA) en todo ámbito. Algunos ejemplos son los siguientes:
No discriminación
Privacidad de los datos personales
Protección de derechos fundamentales
Respecto al derecho de autor
Seguridad, proporcionalidad y fiabilidad
Sostenibilidad
Supervisión Humana
Transparencia
CLASIFICACION DE RIESGOS
El Reglamento clasifica los sistemas de IA en tres categorías de riesgo:
USO INDEBIDO: Sistemas de IA que se usen para impactar de manera irreversible, significativa y negativa en los derechos fundamentales y bienestar de las personas. Este uso está prohibido.
RIESGO ALTO: Sistemas de IA cuyo uso puede suponer un riesgo para la vida humana, la dignidad, la libertad, la seguridad física y demás derechos fundamentales de las personas. Su uso se encuentra permitido sólo si se cumplen con determinadas obligaciones y medidas.
RIESGO ACEPTABLE: Todos los sistemas de IA que no se encuentren comprendidos en las dos clasificaciones anteriores. Su uso se encuentra permitido en cumplimiento de la normativa respectiva.
OBLIGACIONES GENERALES APLICABLES AL SECTOR PRIVADO
Se contemplan las siguientes obligaciones que deben ser cumplidas por todo desarrollador o implementador de los sistemas basados en IA:
Establecer políticas y procedimientos que permitan preservar la seguridad, transparencia y privacidad.
Fomentar la educación y concientización interna de los colaboradores respecto a los riesgos asociados al uso de IA.
OBLIGACIONES APLICABLES AL SECTOR PRIVADO PARA SISTEMAS DE RIESGO ALTO
Asimismo, se establecen obligaciones que deben ser cumplidas específicamente en el desarrollo o implementación de sistemas basados en IA de riesgo alto:
Transparencia algorítmica: Implementar mecanismos que permitan informar al usuario, de forma previa, clara y sencilla, sobre la finalidad o uso del sistema basado en IA, sus funcionalidades y el tipo de decisiones que puede tomar (por ejemplo, mediante etiquetado).
Supervisión humana: Implementar mecanismos de supervisión humana en la toma de decisiones que pudiesen implicar un impacto significativo en sectores de salud, educación, justicia, finanzas y acceso a programas y servicios básicos.
Documentación: Mantener un registro actualizado sobre los principios del funcionamiento del sistema, las fuentes de datos utilizadas y la lógica del algoritmo, los impactos sociales y éticos esperados.
SUPERVISIÓN E IMPLEMENTACIÓN
La Secretaría de Gobierno y Transformación Digital (SGTD) tendrá a su cargo realizar acciones de monitoreo y supervisión sobre el desarrollo e implementación de sistemas de IA de riesgo alto o uso indebido, así como la identificación y provisión de cursos, programas, talleres y otras modalidades formativas para crear capacidades en IA.
El Reglamento entra en vigencia el 22 de enero del 2026.
Sin embargo, se contempla un cronograma de implementación para las obligaciones mencionadas de acuerdo al rubro de uso del sistema de IA:
Sectores de salud, educación, justicia, seguridad, economía y finanzas: 10 de setiembre del 2026
Sectores de transporte, comercio y trabajo: 10 de setiembre del 2027
Sectores de producción, agricultura, energía y minería: 10 de setiembre del 2028
Usos no incluidos en sectores anteriores: 10 de setiembre del 2026.
Si necesitas más información y saber como impacta en tu organización, escríbenos a contacto@compliancelatam.legal
La Agencia Nacional de Ciberseguridad inició una consulta pública sobre Operadores de Importancia Vital, disponible entre el 16 de septiembre y el 16 de octubre.
La Agencia Nacional de Ciberseguridad de Chile (ANCI) ha publicado la Resolución Exenta N.º 50, mediante la cual se aprueba la nómina preliminar de Operadores de Importancia Vital (OIV), en el contexto del primer proceso de calificación establecido por la Ley N.º 21.663, conocida como la Ley Marco de Ciberseguridad.
El proceso de calificación abarca organismos de la Administración del Estado, empresas públicas, empresas del Estado y empresas privadas que proveen servicios esenciales en sectores como:
Generación, transmisión o distribución eléctrica: 307 organizaciones.
Telecomunicaciones: 52 instituciones.
Infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros: 748 empresas.
Banca, servicios financieros y medios de pago: 111 instituciones.
Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos: 326 prestadores.
Empresas públicas creadas por ley: 21 empresas.
Organismos de la Administración del Estado: 147.
El objetivo de esta resolución es dar inicio a un proceso de consulta pública, permitiendo que las instituciones públicas y privadas incluidas en la lista preliminar puedan presentar observaciones, así como acompañar todos los antecedentes y documentos que estimen pertinentes, ya sea para objetar su precalificación, o bien, solicitar que sean calificadas.
La consulta estará disponible desde el 16 de septiembre y por un plazo de 30 días corridos, a través del portal oficial de la ANCI. Durante este período, las entidades preliminarmente calificadas deberán presentar sus observaciones por escrito, con los fundamentos correspondientes y en relación con el proceso de calificación como Operadores de Importancia Vital.
El nuevo Reglamento del Modelo de Prevención de Infracciones fija lineamientos y certificación para programas de cumplimiento en protección de datos
Actualmente se encuentra en proceso de toma de razón por parte de la Contraloría el Decreto N° 662/2025 del Ministerio de Hacienda, mediante el cual se aprueba el Reglamento del Modelo de Prevención de Infracciones, previsto en el artículo 49 de la Ley de Protección de Datos Personales.
El reglamento tiene por objetivo establecer los requisitos, modalidades y procedimientos para la implementación, registro y supervisión de los Modelos de Prevención de Infracciones.
Aunque su adopción es voluntaria, se deja claro que ello no exime a los responsables del deber de implementar acciones para prevenir infracciones y cumplir con las disposiciones de la Ley de Datos.
Elementos esenciales del MPI / Programa de Cumplimiento
Los programas de cumplimiento corresponden al Modelo de Prevención de Infracciones y pueden ser adoptados por cualquier responsable de datos, persona natural o jurídica. Entre sus principales contenidos se incluyen:
Individualización del responsable de datos y su representante legal.
Designación del Delegado de Protección de Datos (DPO), con definición de sus medios y facultades.
Se contempla la modalidad de “DPO as a Service”, obligándose siempre a designar a una persona natural en el contrato.
Caracterización de los datos personales tratados, incluyendo categorías, finalidades, fuentes, bases de licitud, plazos de conservación y existencia de decisiones automatizadas.
Posibilidad de cumplimiento con Registro de Actividades de Tratamiento (RAT) con contenidos mínimos definidos en la norma.
Identificación de actividades de tratamiento de mayor riesgo, incorporándolas en una matriz de riesgos graduada según las sanciones de la ley.
Protocolos, reglas y procedimientos específicos para que las personas que intervienen en actividades de tratamiento o procesos desempeñen sus tareas previniendo infracciones.
Mecanismos internos de reporte y denuncia ante el DPO, garantizando la reserva de identidad del denunciante y la prohibición de medidas desfavorables en su contra.
Sanciones administrativas internas y procedimientos sancionatorios aplicables por infracción a las normas internas.
Cláusulas de difusión interna y canales de comunicación efectivos para asegurar la comprensión y cumplimiento del programa.
Cualquier otra disposición necesaria o útil para el cumplimiento de las normas aplicables a la protección de datos personales.
Delegado de Protección de Datos (DPO) – Funciones Reforzadas
El documento establece de forma detallada el rol del DPO, quien se convierte en el pilar técnico-jurídico del MPI. Entre sus funciones y obligaciones destacan, entre otras:
Informar y asesorar al responsable, a terceros encargados/mandatarios y a los dependientes sobre las disposiciones legales aplicables al tratamiento de datos personales.
Participar en la revisión y modificación del programa de cumplimiento, proponiendo ajustes cuando detecte riesgos u oportunidades de mejora.
Promover la difusión, conocimiento, comprensión y cumplimiento de la política que dicte el responsable en materia de protección de datos.
Supervisar el cumplimiento normativo, evaluando periódicamente la eficacia de las medidas adoptadas y verificando la corrección de posibles desviaciones.
Comunicar directamente a la autoridad competente cualquier infracción a la norma aplicable al tratamiento de datos de la que tome conocimiento, sin interferencias del responsable.
Impulsar la formación y capacitación permanente del personal en materia de protección de datos.
Asesorar al responsable en la identificación de los riesgos asociados a las actividades de tratamiento que realice la entidad y en la adopción de medidas preventivas.
Garantizar canales de comunicación seguros y confidenciales con titulares, personal interno y terceros, velando por la reserva de identidad de denunciantes.
Certificación y supervisión
La disposición establece el procedimiento para la aprobación, certificación, registro, implementación y supervisión de los programas de cumplimiento.
La certificación será otorgada por la agencia mediante procedimiento iniciado por el interesado, con vigencia de 3 años y causales de caducidad como revocación, disolución de la persona jurídica o cese voluntario de la actividad.
El Reglamento sobre Modelos de Prevención de Infracciones se presenta como un marco operativo que orienta a los responsables de datos en la adopción de buenas prácticas de cumplimiento.
Aunque su implementación no es obligatoria, en la práctica se transforma en un estándar de referencia que fortalece la gobernanza de datos, refuerza la confianza frente a titulares y autoridades y permite anticipar riesgos regulatorios, aportando evidencia concreta de debida diligencia.
Para mas información nos pueden escribir a contacto@compliancelatam.legal
En América Latina, el área de Compliance ha evolucionado significativamente en los últimos años. Lo que antes era visto como una función reactiva y centrada en el cumplimiento normativo, hoy se posiciona como un eje estratégico que conecta ética, sostenibilidad, innovación y gobernanza. Esta transformación responde a un entorno regulatorio más complejo, a mayores exigencias de transparencia y a una creciente conciencia social sobre la integridad corporativa.
El profesional moderno de Compliance debe ir más allá del conocimiento normativo. Se espera que tenga visión estratégica, capacidad de liderazgo, habilidades analíticas y una comunicación efectiva. En América Latina, donde los marcos regulatorios varían entre países y los riesgos reputacionales son altos, el rol del profesional de cumplimiento se vuelve aún más crítico. La participación en procesos de monitoreo internacional, como los realizados por el Departamento de Justicia de EE.UU. (DOJ), demuestra la sofisticación técnica y diplomática que se requiere.
La integración entre Compliance y ESG (ambiental, social y gobernanza) se ha fortalecido en América Latina. Las empresas que adoptan prácticas sostenibles encuentran en el área de cumplimiento un aliado para monitorear cadenas de suministro, prevenir violaciones de derechos humanos y garantizar la transparencia en sus reportes corporativos. Esta sinergia refuerza la reputación y la resiliencia organizacional.
La transformación digital ha permitido que el Compliance sea más ágil y predictivo. Herramientas como inteligencia artificial, automatización de procesos, dashboards en tiempo real y RegTechs han revolucionado la forma en que se gestionan los riesgos. En América Latina, estas tecnologías están siendo adoptadas progresivamente, especialmente en sectores financieros e industriales.
El contexto latinoamericano presenta desafíos únicos para el Compliance: corrupción estructural en algunos sectores, falta de cultura ética consolidada, diversidad normativa entre países y presión de organismos internacionales por mayor transparencia. Por ello, el enfoque estratégico debe considerar el contexto local junto con estándares globales.
El Compliance ha dejado de ser solo un escudo contra sanciones. Es una plataforma de confianza, una herramienta de competitividad y un vehículo de transformación cultural. Las empresas que lo integran a su estrategia no solo cumplen con la ley: lideran con propósito y construyen organizaciones más éticas, sostenibles y resilientes.
Referencias Bibliográficas
KPMG América Latina. (2023). Informe sobre la madurez del Compliance en la región.
Deloitte LATAM & Pacto Global ONU. (2022). Integridad Corporativa en América Latina.
(2021). Gobernanza y cumplimiento en América Latina: desafíos y oportunidades.
Nunes, K. R. et al. (2025). Compliance y Gobernanza Corporativa: El rol del derecho en la gestión empresarial moderna.
—————————————————————————————————-
🇧🇷 O Compliance como Pilar Estratégico na América Latina
Na América Latina, a área de Compliance evoluiu significativamente nos últimos anos. O que antes era visto como uma função reativa e focada no cumprimento normativo, hoje se posiciona como um eixo estratégico que conecta ética, sustentabilidade, inovação e governança. Essa transformação responde a um ambiente regulatório mais complexo, a maiores exigências de transparência e a uma crescente consciência social sobre a integridade corporativa.
O profissional moderno de Compliance deve ir além do conhecimento normativo. Espera-se que tenha visão estratégica, capacidade de liderança, habilidades analíticas e comunicação eficaz. Na América Latina, onde os marcos regulatórios variam entre os países e os riscos reputacionais são elevados, o papel do profissional de compliance torna-se ainda mais crítico. A participação em processos de monitoramento internacional, como os realizados pelo Departamento de Justiça dos EUA (DOJ), demonstra a sofisticação técnica e diplomática exigida.
A integração entre Compliance e ESG (ambiental, social e governança) se fortaleceu na América Latina. As empresas que adotam práticas sustentáveis encontram na área de compliance um aliado para monitorar cadeias de suprimentos, prevenir violações de direitos humanos e garantir transparência em seus relatórios corporativos. Essa sinergia reforça a reputação e a resiliência organizacional.
A transformação digital permitiu que o Compliance se tornasse mais ágil e preditivo. Ferramentas como inteligência artificial, automação de processos, painéis em tempo real e RegTechs revolucionaram a forma como os riscos são gerenciados. Na América Latina, essas tecnologias estão sendo adotadas progressivamente, especialmente nos setores financeiro e industrial.
O contexto latino-americano apresenta desafios únicos para o Compliance: corrupção estrutural em alguns setores, ausência de uma cultura ética consolidada, diversidade normativa entre os países e pressão de organismos internacionais por maior transparência. Por isso, a abordagem estratégica deve considerar o contexto local juntamente com os padrões globais.
O Compliance deixou de ser apenas um escudo contra sanções. É uma plataforma de confiança, uma ferramenta de competitividade e um veículo de transformação cultural. As empresas que o integram à sua estratégia não apenas cumprem a lei: lideram com propósito e constroem organizações mais éticas, sustentáveis e resilientes.
Referências Bibliográficas:
KPMG América Latina. (2023). Informe sobre a maturidade do Compliance na região.
Deloitte LATAM & Pacto Global ONU. (2022). Integridade Corporativa na América Latina.
CEPAL. (2021). Governança e compliance na América Latina: desafios e oportunidades.
Nunes, K. R. et al. (2025). Compliance e Governança Corporativa: O papel do direito na gestão empresarial moderna.
Victor Alota, Coordenador Global de Compliance en Braskem
